Prasyarat untuk dukungan (khusus AWS Fargate Amazon) ECS - Amazon GuardDuty
Memvalidasi persyaratan arsitekturBerikan ECR izin dan detail subnetMemvalidasi kebijakan kontrol layanan organisasi AndaCPUdan batas memori

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk dukungan (khusus AWS Fargate Amazon) ECS

Bagian ini mencakup prasyarat untuk memantau perilaku runtime sumber daya Fargate-Amazon Anda. ECS Setelah prasyarat ini terpenuhi, lihat. Mengaktifkan GuardDuty Runtime Monitoring

Memvalidasi persyaratan arsitektur

Platform yang Anda gunakan dapat memengaruhi cara agen GuardDuty keamanan mendukung GuardDuty dalam menerima peristiwa runtime dari ECS kluster Amazon Anda. Anda harus memvalidasi bahwa Anda menggunakan salah satu platform terverifikasi.

Pertimbangan awal:

AWS Fargate Platform untuk ECS cluster Amazon Anda harus Linux. Versi platform yang sesuai harus setidaknya1.4.0, atauLATEST. Untuk informasi selengkapnya tentang versi platform, lihat versi platform Linux di Panduan Pengembang Layanan Amazon Elastic Container.

Versi platform Windows belum didukung.

Platform terverifikasi

Distribusi dan CPU arsitektur OS berdampak pada dukungan yang diberikan oleh agen GuardDuty keamanan. Tabel berikut menunjukkan konfigurasi terverifikasi untuk menerapkan agen GuardDuty keamanan dan mengonfigurasi Runtime Monitoring.

Distribusi OS 1 Dukungan kernel CPUarsitektur
x64 () AMD64 Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Didukung Didukung

1 Support untuk berbagai sistem operasi - GuardDuty telah memverifikasi dukungan untuk menggunakan Runtime Monitoring pada sistem operasi yang tercantum dalam tabel sebelumnya. Jika Anda menggunakan sistem operasi yang berbeda dan berhasil menginstal agen keamanan, Anda mungkin mendapatkan semua nilai keamanan yang diharapkan yang GuardDuty telah diverifikasi untuk menyediakan distribusi OS yang terdaftar.

Berikan ECR izin dan detail subnet

Sebelum mengaktifkan Runtime Monitoring, Anda harus memberikan rincian berikut:

Berikan peran eksekusi tugas dengan izin

Peran eksekusi tugas mengharuskan Anda memiliki izin Amazon Elastic Container Registry (AmazonECR) tertentu. Anda dapat menggunakan kebijakan mazonECSTask ExecutionRolePolicy terkelola A atau menambahkan izin berikut ke TaskExecutionRole kebijakan Anda:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Untuk lebih membatasi ECR izin Amazon, Anda dapat menambahkan ECR repositori Amazon URI yang menampung agen GuardDuty keamanan untuk (hanya AWS Fargate Amazon). ECS Untuk informasi selengkapnya, lihat Repositori untuk GuardDuty agen di (hanya AWS Fargate AmazonECS).

Berikan detail subnet dalam definisi tugas

Anda dapat memberikan subnet publik sebagai masukan dalam definisi tugas Anda atau membuat titik ECR VPC akhir Amazon.

  • Menggunakan opsi definisi tugas - Menjalankan CreateServicedan UpdateServiceAPIsdi APIReferensi Layanan Amazon Elastic Container mengharuskan Anda untuk meneruskan informasi subnet. Untuk informasi selengkapnya, lihat definisi ECS tugas Amazon di Panduan Pengembang Layanan Kontainer Elastis Amazon.

  • Menggunakan opsi ECR VPC titik akhir Amazon - Menyediakan jalur jaringan ke Amazon ECR - Pastikan bahwa ECR repositori Amazon URI yang menampung agen GuardDuty keamanan dapat diakses jaringan. Jika tugas Fargate Anda akan berjalan di subnet pribadi, maka Fargate akan membutuhkan jalur jaringan untuk mengunduh wadah. GuardDuty

    Untuk informasi tentang mengaktifkan Fargate mengunduh penampung, lihat Menggunakan GuardDuty gambar Amazon dengan Amazon di ECR Panduan Pengguna ECS Amazon Elastic Container Registry.

Memvalidasi kebijakan kontrol layanan organisasi Anda

Langkah ini diperlukan GuardDuty untuk mendukung Runtime Monitoring dan menilai cakupan di berbagai jenis sumber daya.

Jika Anda telah menyiapkan kebijakan kontrol layanan (SCP) untuk mengelola izin di organisasi Anda, validasi bahwa batas izin tidak membatasi guardduty:SendSecurityTelemetry dalam kebijakan Anda dan kebijakannya. TaskExecutionRole

Kebijakan berikut adalah contoh untuk mengizinkan guardduty:SendSecurityTelemetry kebijakan:

{
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [
                ...,
                ...,               
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

  1. Gunakan langkah-langkah berikut untuk memvalidasi bahwa batas Izin tidak membatasi: guardduty:SendSecurityTelemetry

    1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

    2. Di panel navigasi, di bawah Manajemen akses, pilih Peran.

    3. Pilih nama Peran untuk halaman detail.

    4. Perluas bagian batas Izin. Pastikan bahwa guardduty:SendSecurityTelemetry tidak ditolak atau dibatasi.

  2. Gunakan langkah-langkah berikut untuk memvalidasi bahwa batas Izin untuk TaskExecutionRole kebijakan Anda tidak membatasi: guardduty:SendSecurityTelemetry

    1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

    2. Di panel navigasi, di bawah Manajemen akses, pilih Kebijakan.

    3. Pilih nama Kebijakan untuk halaman detail.

    4. Di bawah tab Entitas terlampir, lihat bagian Terlampir sebagai batas izin. Pastikan bahwa guardduty:SendSecurityTelemetry tidak ditolak atau dibatasi.

Untuk informasi tentang kebijakan dan izin, lihat Batas izin di IAMPanduan Pengguna.

Jika Anda adalah akun anggota, hubungkan dengan administrator yang didelegasikan terkait. Untuk informasi tentang mengelola SCPs organisasi Anda, lihat Kebijakan kontrol layanan (SCPs).

CPUdan batas memori

Dalam definisi tugas Fargate, Anda harus menentukan nilai CPU dan memori di tingkat tugas. Tabel berikut menunjukkan kombinasi yang valid dari tingkat tugas CPU dan nilai memori, dan batas memori maksimum agen GuardDuty keamanan yang sesuai untuk wadah. GuardDuty

Nilai CPU Nilai memori GuardDuty batas memori maksimum agen

256 (.25 vCPU)

512 MiB, 1 GB, 2GB

128 MB

512 (.5 v) CPU

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Antara 4 GB dan 16 GB dalam peningkatan 1 GB

4096 (4 vCPU)

Antara 8 GB dan 20 GB dalam peningkatan 1 GB

8192 (8 v) CPU

Antara 16 GB dan 28 GB dalam peningkatan 4 GB

270 MB

Antara 32 GB dan 60 GB dalam peningkatan 4 GB

512 MB

16384 (16 v) CPU

Antara 32 GB dan 120 GB dalam peningkatan 8 GB

1 GB

Setelah mengaktifkan Runtime Monitoring dan menilai bahwa status cakupan klaster Anda Sehat, Anda dapat menyiapkan dan melihat metrik wawasan Container. Untuk informasi selengkapnya, lihat Menyiapkan pemantauan di ECS klaster Amazon.

Langkah selanjutnya adalah mengkonfigurasi Runtime Monitoring dan juga mengkonfigurasi agen keamanan.