Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Conditions préalables à l' AWS Fargate assistance (Amazon ECS uniquement)
Cette section inclut les conditions préalables à la surveillance du comportement d'exécution de vos ressources Fargate-AmazonECS. Une fois ces conditions préalables remplies, voirActiver la surveillance du GuardDuty temps d'exécution.
Validation des exigences architecturales
La plate-forme que vous utilisez peut avoir un impact sur GuardDuty la manière dont l'agent de sécurité prend GuardDuty en charge la réception des événements d'exécution de vos ECS clusters Amazon. Vous devez confirmer que vous utilisez l'une des plateformes vérifiées.
- Considérations initiales :
-
La AWS Fargate plate-forme de vos ECS clusters Amazon doit être Linux. La version de plateforme correspondante doit être au moins
1.4.0, ouLATEST. Pour plus d'informations sur les versions de plate-forme, consultez les versions de la plate-forme Linux dans le manuel Amazon Elastic Container Service Developer Guide.Les versions de la plateforme Windows ne sont pas encore prises en charge.
Plateformes vérifiées
La distribution et l'CPUarchitecture du système d'exploitation ont un impact sur le support fourni par l'agent GuardDuty de sécurité. Le tableau suivant présente la configuration vérifiée pour le déploiement de l'agent de GuardDuty sécurité et la configuration de la surveillance du temps d'exécution.
| Distribution du système d'exploitation1 | Support du noyau | Architecture CPU | |
|---|---|---|---|
| 64 bits (AMD64) | Gravitone (1) ARM64 | ||
| Linux | eBPF, Tracepoints, Kprobe | Pris en charge | Pris en charge |
1 Support pour différents systèmes d'exploitation : GuardDuty a vérifié la prise en charge de l'utilisation de Runtime Monitoring sur les systèmes d'exploitation répertoriés dans le tableau précédent. Si vous utilisez un autre système d'exploitation et que vous parvenez à installer correctement l'agent de sécurité, vous obtiendrez peut-être toutes les valeurs de sécurité attendues dont l' GuardDuty exactitude a été vérifiée pour la distribution du système d'exploitation répertoriée.
Fournir ECR les autorisations et les détails du sous-réseau
Avant d'activer la surveillance du temps d'exécution, vous devez fournir les informations suivantes :
- Fournir un rôle d'exécution de tâches avec des autorisations
-
Le rôle d'exécution des tâches nécessite que vous disposiez de certaines autorisations Amazon Elastic Container Registry (AmazonECR). Vous pouvez soit utiliser la politique mazonECSTask ExecutionRolePolicy gérée A, soit ajouter les autorisations suivantes à votre
TaskExecutionRolepolitique :... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...Pour restreindre davantage les ECR autorisations Amazon, vous pouvez ajouter le ECR référentiel Amazon URI qui héberge l'agent GuardDuty de sécurité pour AWS Fargate (Amazon ECS uniquement). Pour de plus amples informations, veuillez consulter Référentiel pour GuardDuty agent sur AWS Fargate (Amazon ECS uniquement).
- Fournir des détails sur le sous-réseau dans la définition des tâches
-
Vous pouvez soit fournir les sous-réseaux publics en tant qu'entrée dans la définition de votre tâche, soit créer un point de ECR VPC terminaison Amazon.
-
Utilisation de l'option de définition des tâches : pour exécuter le CreateServiceet UpdateServiceAPIsdans le Amazon Elastic Container Service API Reference, vous devez transmettre les informations du sous-réseau. Pour plus d'informations, consultez les définitions des ECS tâches Amazon dans le manuel Amazon Elastic Container Service Developer Guide.
-
En utilisant l'option Amazon ECR VPC Endpoint — Fournissez le chemin réseau vers Amazon ECR — Assurez-vous que le ECR référentiel URI Amazon hébergeant l'agent GuardDuty de sécurité est accessible au réseau. Si vos tâches Fargate doivent être exécutées dans un sous-réseau privé, Fargate aura besoin du chemin réseau pour télécharger le conteneur. GuardDuty
Pour plus d'informations sur l'activation de Fargate pour télécharger GuardDuty le conteneur, consultez la section Utilisation des ECR images Amazon avec Amazon ECS dans le guide de l'utilisateur d'Amazon Elastic Container Registry.
-
Validation de la politique de contrôle des services de votre organisation
Cette étape est nécessaire pour GuardDuty prendre en charge la surveillance du temps d'exécution et évaluer la couverture des différents types de ressources.
Si vous avez défini une politique de contrôle des services (SCP) pour gérer les autorisations au sein de votre organisation, vérifiez que la limite des autorisations n'est pas restrictive guardduty:SendSecurityTelemetry dans votre politique TaskExecutionRole et dans la vôtre.
La politique suivante est un exemple d'autorisation de la guardduty:SendSecurityTelemetry stratégie :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ..., ..., "guardduty:SendSecurityTelemetry" ], "Resource": "*" } ] }
-
Suivez les étapes suivantes pour vérifier que la limite des autorisations n'est pas restrictive
guardduty:SendSecurityTelemetry:Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, sous Gestion des accès, sélectionnez Rôles.
-
Choisissez le nom du rôle pour la page de détails.
-
Développez la section Limite des autorisations. Assurez-vous que le n'
guardduty:SendSecurityTelemetryest pas refusé ou restreint.
-
Suivez les étapes suivantes pour vérifier que les limites d'autorisations de votre
TaskExecutionRolepolitique ne sont pas restrictivesguardduty:SendSecurityTelemetry:Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, sous Gestion des accès, sélectionnez Politiques.
-
Choisissez le nom de la politique pour la page de détails.
-
Sous l'onglet Entités jointes, consultez la section Les entités jointes en tant que limite d'autorisations. Assurez-vous que le n'
guardduty:SendSecurityTelemetryest pas refusé ou restreint.
Pour plus d'informations sur les politiques et les autorisations, consultez la section Limites des autorisations dans le guide de IAM l'utilisateur.
Si vous êtes un compte membre, connectez-vous à l'administrateur délégué associé. Pour plus d'informations sur la gestion SCPs de votre organisation, voir Politiques de contrôle des services (SCPs).
CPUet limites de mémoire
Dans la définition de la tâche Fargate, vous devez spécifier la valeur et CPU la valeur de mémoire au niveau de la tâche. Le tableau suivant indique les combinaisons valides de valeurs de niveau de tâche CPU et de mémoire, ainsi que la limite de mémoire maximale de l'agent de GuardDuty sécurité correspondant pour le GuardDuty conteneur.
| Valeur CPU | Valeur de mémoire | GuardDuty limite de mémoire maximale de l'agent |
|---|---|---|
256 (0,25 V) CPU |
512 MiB, 1 Go, 2 Go |
128 Mo |
512 (0,5 VCPU) |
1 Go, 2 Go, 3 Go, 4 Go |
|
1024 (1 vCPU) |
2 GO, 3 GO, 4 GO |
|
5 GO, 6 GO, 7 GO, 8 GO |
||
2048 (2 vCPU) |
Entre 4 Go et 16 Go par incréments de 1 Go |
|
4096 (4 vCPU) |
Entre 8 Go et 20 Go par incréments de 1 Go |
|
8192 (8 vCPU) |
Entre 16 Go et 28 Go par incréments de 4 Go |
256 Mo |
Entre 32 Go et 60 Go par incréments de 4 Go |
512 Mo |
|
16384 (16 vCPU) |
Entre 32 Go et 120 Go par incréments de 8 Go |
1 Go |
Après avoir activé la surveillance du temps d'exécution et vérifié que l'état de couverture de votre cluster est sain, vous pouvez configurer et consulter les métriques Container Insight. Pour plus d’informations, consultez Configuration de la surveillance sur le ECS cluster Amazon.
L'étape suivante consiste à configurer la surveillance du temps d'exécution ainsi que l'agent de sécurité.
