Cakupan runtime dan pemecahan masalah untuk klaster Amazon ECS - Amazon GuardDuty
Meninjau statistik cakupanPerubahan status cakupan dengan EventBridge notifikasiMemecahkan masalah cakupan runtime Amazon ECS -Fargate

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cakupan runtime dan pemecahan masalah untuk klaster Amazon ECS

Cakupan runtime untuk ECS klaster Amazon mencakup tugas yang sedang berjalan dan instans ECS penampung AWS Fargate Amazon. 1

Untuk ECS klaster Amazon yang berjalan di Fargate, cakupan runtime dinilai pada tingkat tugas. Cakupan runtime ECS cluster mencakup tugas-tugas Fargate yang sudah mulai berjalan setelah Anda mengaktifkan Runtime Monitoring dan konfigurasi agen otomatis untuk Fargate (hanya). ECS Secara default, tugas Fargate tidak dapat diubah. GuardDuty tidak akan dapat menginstal agen keamanan untuk memantau kontainer pada tugas yang sudah berjalan. Untuk memasukkan tugas Fargate seperti itu, Anda harus berhenti dan memulai tugas lagi. Pastikan untuk memeriksa apakah layanan terkait didukung.

Untuk informasi tentang ECS wadah Amazon, lihat Pembuatan kapasitas.

Meninjau statistik cakupan

Statistik cakupan untuk ECS sumber daya Amazon yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase ECS klaster Amazon yang sehat di semua ECS cluster Amazon yang dipilih. Wilayah AWS Ini termasuk cakupan untuk ECS cluster Amazon yang terkait dengan instance Fargate dan AmazonEC2. Persamaan berikut mewakili ini sebagai:

(Cluster sehat/Semua cluster) * 100

Pertimbangan

  • Statistik cakupan untuk ECS klaster mencakup status cakupan tugas Fargate atau instance ECS kontainer yang terkait dengan cluster tersebut. ECS Status cakupan tugas Fargate mencakup tugas yang sedang berjalan atau baru saja selesai berjalan.

  • Di tab cakupan runtime ECS cluster, bidang yang dicakup instance Container menunjukkan status cakupan instance container yang terkait dengan cluster Amazon Anda. ECS

    Jika ECS klaster Amazon Anda hanya berisi tugas Fargate, hitungannya muncul sebagai 0/0.

  • Jika ECS klaster Amazon Anda dikaitkan dengan EC2 instans Amazon yang tidak memiliki agen keamanan, ECS klaster Amazon juga akan memiliki status cakupan Tidak Sehat.

    Untuk mengidentifikasi dan memecahkan masalah cakupan untuk EC2 instans Amazon terkait, lihat instans Memecahkan masalah cakupan EC2 runtime Amazon AmazonEC2.

Pilih salah satu metode akses untuk meninjau statistik cakupan akun Anda.

Console

  • Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  • Di panel navigasi, pilih Runtime Monitoring.

  • Pilih tab cakupan Runtime.

  • Di bawah tab cakupan runtime ECS cluster, Anda dapat melihat statistik cakupan yang dikumpulkan berdasarkan status cakupan setiap ECS klaster Amazon yang tersedia di tabel daftar Clusters.

    • Anda dapat memfilter tabel daftar Cluster dengan kolom berikut:

      • ID Akun

      • Nama Cluster

      • Jenis manajemen agen

      • Status cakupan

  • Jika salah satu ECS kluster Amazon Anda memiliki status Cakupan sebagai Tidak Sehat, kolom Masalah menyertakan informasi tambahan tentang alasan status Tidak Sehat.

    Jika ECS klaster Amazon dikaitkan dengan EC2 instans Amazon, navigasikan ke tab cakupan runtime EC2 instans dan filter menurut bidang nama Cluster untuk melihat Masalah terkait.

API/CLI

  • Jalankan ListCoverageAPIdengan ID detektor valid Anda sendiri, Wilayah saat ini, dan titik akhir layanan. Anda dapat memfilter dan mengurutkan daftar instance menggunakan iniAPI.

    • Anda dapat mengubah contoh filter-criteria dengan salah satu opsi berikut untukCriterionKey:

      • ACCOUNT_ID

      • ECS_CLUSTER_NAME

      • COVERAGE_STATUS

      • MANAGEMENT_TYPE

    • Anda dapat mengubah contoh AttributeName sort-criteria dengan opsi berikut:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • ISSUE

      • ECS_CLUSTER_NAME

      • UPDATED_AT

        Bidang akan diperbarui hanya ketika tugas baru dibuat di ECS klaster Amazon terkait atau ada perubahan dalam status cakupan yang sesuai.

    • Anda dapat mengubah max-results (hingga 50).

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectors API.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Jalankan GetCoverageStatisticsAPIuntuk mengambil statistik agregat cakupan berdasarkan. statisticsType

    • Anda dapat mengubah contoh statisticsType ke salah satu opsi berikut:

      • COUNT_BY_COVERAGE_STATUS— Merupakan statistik cakupan untuk ECS cluster yang dikumpulkan berdasarkan status cakupan.

      • COUNT_BY_RESOURCE_TYPE— Statistik cakupan dikumpulkan berdasarkan jenis AWS sumber daya dalam daftar.

      • Anda dapat mengubah contoh filter-criteria dalam perintah. Anda dapat menggunakan opsi berikut untukCriterionKey:

        • ACCOUNT_ID

        • ECS_CLUSTER_NAME

        • COVERAGE_STATUS

        • MANAGEMENT_TYPE

        • INSTANCE_ID

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectors API.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Untuk informasi selengkapnya tentang masalah cakupan, lihatMemecahkan masalah cakupan runtime Amazon ECS -Fargate.

Perubahan status cakupan dengan EventBridge notifikasi

Status cakupan ECS klaster Amazon Anda mungkin tampak tidak sehat. Untuk mengetahui kapan status pertanggungan berubah, kami sarankan Anda untuk memantau status pertanggungan secara berkala, dan memecahkan masalah jika status menjadi tidak sehat. Atau, Anda dapat membuat EventBridge aturan Amazon untuk menerima pemberitahuan saat status cakupan berubah dari Tidak Sehat menjadi Sehat atau lainnya. Secara default, GuardDuty publikasikan ini di EventBridge bus untuk akun Anda.

Skema pemberitahuan sampel

Dalam EventBridge aturan, Anda dapat menggunakan contoh peristiwa dan pola peristiwa yang telah ditentukan sebelumnya untuk menerima pemberitahuan status cakupan. Untuk informasi selengkapnya tentang membuat EventBridge aturan, lihat Membuat aturan di Panduan EventBridge Pengguna Amazon.

Selain itu, Anda dapat membuat pola acara khusus dengan menggunakan skema pemberitahuan contoh berikut. Pastikan untuk mengganti nilai untuk akun Anda. Untuk mendapatkan pemberitahuan saat status cakupan ECS klaster Amazon Anda berubah dari Healthy keUnhealthy, detail-type seharusnya GuardDuty Runtime Protection Unhealthy. Untuk mendapatkan pemberitahuan ketika status cakupan berubah dari Unhealthy keHealthy, ganti nilai dengan detail-type GuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Akun AWS ID",
  "time": "event timestamp (string)",
  "region": "Wilayah AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Memecahkan masalah cakupan runtime Amazon ECS -Fargate

Jika status cakupan ECS klaster Amazon Anda tidak sehat, Anda dapat melihat alasannya di bawah kolom Masalah.

Tabel berikut menyediakan langkah-langkah pemecahan masalah yang disarankan untuk masalah Fargate (khusus ECS Amazon). Untuk informasi tentang masalah cakupan EC2 instans Amazon, lihat Memecahkan masalah cakupan EC2 runtime Amazon EC2 instans Amazon.

Jenis masalah Informasi tambahan Langkah pemecahan masalah yang disarankan

Agen tidak melaporkan

Agen tidak melaporkan tugas di TaskDefinition - 'TASK_DEFINITION'

Validasi bahwa VPC titik akhir untuk tugas ECS klaster Amazon Anda telah dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Memvalidasi konfigurasi VPC titik akhir.

Jika organisasi Anda memiliki kebijakan kontrol layanan (SCP), validasi bahwa batas izin tidak membatasi izin. guardduty:SendSecurityTelemetry Untuk informasi selengkapnya, lihat Memvalidasi kebijakan kontrol layanan organisasi Anda.

VPC_ISSUE; for task in TaskDefinition - 'TASK_DEFINITION'

Lihat detail VPC masalah di informasi tambahan.

Agen keluar

ExitCode: EXIT_CODE untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Lihat detail masalah di informasi tambahan.

Alasan: REASON untuk tugas-tugas di TaskDefinition - 'TASK_DEFINITION'

ExitCode: EXIT_CODE dengan alasan: 'EXIT_CODE'untuk tugas-tugas di TaskDefinition - 'TASK_DEFINITION'

Agen keluar: Alasan:CannotPullContainerError: tarik manifes gambar telah dicoba lagi...

Peran eksekusi tugas harus memiliki izin Amazon Elastic Container Registry (AmazonECR) berikut:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Untuk informasi selengkapnya, lihat Berikan ECR izin dan detail subnet.

Setelah Anda menambahkan ECR izin Amazon, Anda harus memulai ulang tugas.

Jika masalah berlanjut, lihatAWS Step Functions Alur kerja saya gagal secara tak terduga.

VPCPembuatan Endpoint Gagal

Mengaktifkan privat DNS membutuhkan keduanya enableDnsSupport dan enableDnsHostnames VPC atribut yang disetel ke for true vpcId (Layanan:ECS, Kode Status: 400, ID Permintaan: a1b2c3d4-5678-90ab-cdef-EXAMPLE11111).

Pastikan bahwa VPC atribut berikut diatur ke trueenableDnsSupport danenableDnsHostnames. Untuk informasi selengkapnya, lihat DNSatribut di VPC.

Jika Anda menggunakan VPC Konsol Amazon di https://console.aws.amazon.com/vpc/untuk membuat AmazonVPC, pastikan untuk memilih Aktifkan DNS nama host dan Aktifkan DNS resolusi. Untuk informasi selengkapnya, lihat opsi VPC konfigurasi.

Agen tidak disediakan

Pemanggilan yang tidak didukung oleh SERVICE untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Tugas ini dipanggil oleh a SERVICE yang tidak didukung.

CPUArsitektur yang tidak didukung 'TYPE'untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Tugas ini berjalan pada CPU arsitektur yang tidak didukung. Untuk informasi tentang CPU arsitektur yang didukung, lihatMemvalidasi persyaratan arsitektur.

TaskExecutionRolehilang dari TaskDefinition - 'TASK_DEFINITION'

Peran eksekusi ECS tugas tidak ada. Untuk informasi tentang menyediakan peran eksekusi tugas dan izin yang diperlukan, lihatBerikan ECR izin dan detail subnet.

Konfigurasi jaringan 'CONFIGURATION_DETAILS' tidak ada untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Masalah konfigurasi jaringan mungkin muncul karena VPC konfigurasi yang hilang, atau subnet yang hilang atau kosong.

Validasi bahwa konfigurasi jaringan Anda benar. Untuk informasi selengkapnya, lihat Berikan ECR izin dan detail subnet.

Untuk informasi selengkapnya, lihat parameter definisi ECS tugas Amazon di Panduan Pengembang Layanan Kontainer Elastis Amazon.

Lainnya

Masalah tak dikenal, untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Gunakan pertanyaan-pertanyaan berikut untuk mengidentifikasi akar penyebab masalah:

  • Apakah tugas dimulai sebelum Anda mengaktifkan Runtime Monitoring?

    Di AmazonECS, tugasnya tidak dapat diubah. Untuk menilai perilaku runtime dari tugas Fargate yang sedang berjalan, pastikan Runtime Monitoring sudah diaktifkan, lalu restart tugas GuardDuty untuk menambahkan sespan container.

  • Apakah tugas ini bagian dari penerapan layanan yang dimulai sebelum Anda mengaktifkan Runtime Monitoring?

    Jika ya, Anda dapat memulai ulang layanan atau memperbarui layanan forceNewDeployment dengan menggunakan langkah-langkah dalam Memperbarui layanan.

    Anda juga dapat menggunakan UpdateServiceatau AWS CLI.

  • Apakah tugas diluncurkan setelah mengecualikan ECS cluster dari Runtime Monitoring?

    Saat Anda mengubah GuardDuty tag yang telah ditentukan sebelumnya dari GuardDutyManaged - true menjadi GuardDutyManaged -false, tidak GuardDuty akan menerima peristiwa runtime untuk cluster. ECS

  • Apakah layanan Anda berisi tugas yang memiliki format lamataskArn?

    GuardDuty Runtime Monitoring tidak mendukung cakupan untuk tugas yang memiliki format lama. taskArn

    Untuk informasi tentang Nama Sumber Daya Amazon (ARNs) untuk ECS sumber daya Amazon, lihat Nama Sumber Daya Amazon (ARNs) dan IDs.