Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda harus mempertimbangkan satu instance kontainer dan aksesnya dalam model ancaman Anda. Misalnya, satu tugas yang terpengaruh mungkin dapat memanfaatkan IAM izin tugas yang tidak terinfeksi pada instance yang sama.
Kami menyarankan Anda menggunakan yang berikut ini untuk membantu mencegah hal ini:
-
Jangan gunakan hak administrator saat menjalankan tugas Anda.
-
Tetapkan peran tugas dengan akses paling tidak istimewa ke tugas Anda.
Agen kontainer secara otomatis membuat token dengan ID kredenal unik yang digunakan untuk mengakses ECS sumber daya Amazon.
-
Untuk mencegah container yang dijalankan oleh tugas yang menggunakan mode
awsvpc
jaringan mengakses informasi kredensi yang diberikan ke profil EC2 instans Amazon, sambil tetap mengizinkan izin yang disediakan oleh peran tugas, tetapkan variabel konfigurasiECS_AWSVPC_BLOCK_IMDS
agen ke true dalam file konfigurasi agen dan restart agen. -
Gunakan Amazon GuardDuty Runtime Monitoring untuk mendeteksi ancaman untuk cluster dan container dalam lingkungan Anda AWS . Runtime Monitoring menggunakan agen GuardDuty keamanan yang menambahkan visibilitas runtime ke ECS beban kerja Amazon individual, misalnya, akses file, eksekusi proses, dan koneksi jaringan. Untuk informasi selengkapnya, lihat GuardDutyRuntime Monitoring di Panduan GuardDuty Pengguna.