Mengaktifkan Runtime Monitoring untuk Amazon ECS - Amazon Elastic Container Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan Runtime Monitoring untuk Amazon ECS

Anda dapat mengonfigurasi GuardDuty untuk mengelola agen keamanan secara otomatis untuk semua cluster Fargate Anda.

Prasyarat

Berikut ini adalah prasyarat untuk menggunakan Runtime Monitoring:

  • Versi platform Fargate harus 1.4.0 atau lebih baru untuk Linux.

  • IAMperan dan izin untuk AmazonECS:

    • Tugas Fargate harus menggunakan peran eksekusi tugas. Peran ini memberikan izin tugas untuk mengambil, memperbarui, dan mengelola agen GuardDuty keamanan atas nama Anda. Untuk informasi selengkapnya, lihat IAMPeran eksekusi ECS tugas Amazon.

    • Anda mengontrol Runtime Monitoring untuk klaster dengan tag yang telah ditentukan sebelumnya. Jika kebijakan akses membatasi akses berdasarkan tag, Anda harus memberikan izin eksplisit kepada IAM pengguna untuk menandai klaster. Untuk informasi selengkapnya, lihat IAMtutorial: Menentukan izin untuk mengakses AWS sumber daya berdasarkan tag di Panduan IAM Pengguna.

  • Menghubungkan ke ECR repositori Amazon:

    Agen GuardDuty keamanan disimpan di ECR repositori Amazon. Setiap tugas mandiri dan layanan harus memiliki akses ke repositori. Anda dapat menggunakan salah satu opsi berikut:

    • Untuk tugas di subnet publik, Anda dapat menggunakan alamat IP publik untuk tugas tersebut, atau membuat VPC titik akhir untuk Amazon ECR di subnet tempat tugas berjalan. Untuk informasi selengkapnya, lihat VPCTitik akhir ECR antarmuka Amazon (AWS PrivateLink) di Panduan Pengguna Amazon Elastic Container Registry.

    • Untuk tugas di subnet pribadi, Anda dapat menggunakan gateway Network Address Translation (NAT), atau membuat VPC titik akhir untuk Amazon ECR di subnet tempat tugas berjalan.

      Untuk informasi selengkapnya, lihat Subnet pribadi dan NAT gateway.

  • Anda harus memiliki AWSServiceRoleForAmazonGuardDuty peran untuk GuardDuty. Untuk informasi selengkapnya, lihat Izin peran terkait layanan GuardDuty di Panduan Pengguna Amazon GuardDuty.

  • File apa pun yang ingin Anda lindungi dengan Runtime Monitoring harus dapat diakses oleh pengguna root. Jika Anda mengubah izin file secara manual, Anda harus mengaturnya ke755.

Berikut ini adalah prasyarat untuk menggunakan Runtime Monitoring pada instans kontainer: EC2

  • Anda harus menggunakan versi Amazon 20230929 atau yang lebih baru ECS -AMI.

  • Anda harus menjalankan ECS agen Amazon ke versi 1.77 atau yang lebih baru pada instance container.

  • Anda harus menggunakan versi kernel 5.10 atau yang lebih baru.

  • Untuk informasi tentang sistem operasi dan arsitektur Linux yang didukung, lihat Model operasi dan beban kerja mana yang didukung GuardDuty Runtime Monitoring.

  • Anda dapat menggunakan Systems Manager untuk mengelola instance container Anda. Untuk informasi selengkapnya, lihat Menyiapkan Systems Manager untuk EC2 instance di Panduan AWS Systems Manager Session Manager Pengguna.

Prosedur

Anda mengaktifkan Runtime Monitoring di GuardDuty. Untuk informasi tentang cara mengaktifkan fitur, lihat Mengaktifkan Pemantauan Runtime di GuardDuty Panduan Pengguna Amazon.