Attivazione del monitoraggio del runtime per Amazon ECS - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attivazione del monitoraggio del runtime per Amazon ECS

Puoi attivare il Runtime Monitoring per i cluster con EC2 istanze o quando hai bisogno di un controllo granulare del Runtime Monitoring a livello di cluster su Fargate.

Di seguito sono riportati i prerequisiti per l'utilizzo di Runtime Monitoring:

  • La versione della piattaforma Fargate deve essere 1.4.0 o successiva per Linux.

  • IAMruoli e autorizzazioni per AmazonECS:

    • Le attività Fargate devono utilizzare un ruolo di esecuzione delle attività. Questo ruolo concede alle attività l'autorizzazione a recuperare, aggiornare e gestire il GuardDuty security agent per conto dell'utente. Per ulteriori informazioni, consulta IAMRuolo di esecuzione delle ECS attività di Amazon.

    • Puoi controllare il Runtime Monitoring per un cluster con un tag predefinito. Se le tue politiche di accesso limitano l'accesso in base ai tag, devi concedere autorizzazioni esplicite IAM agli utenti per etichettare i cluster. Per ulteriori informazioni, consulta il IAMtutorial: Definire le autorizzazioni per accedere alle AWS risorse in base ai tag nella Guida per l'utente. IAM

  • Connessione al ECR repository Amazon:

    Il GuardDuty security agent è archiviato in un ECR repository Amazon. Ogni attività autonoma e di servizio deve avere accesso al repository. Puoi utilizzare una delle seguenti opzioni:

    • Per le attività nelle sottoreti pubbliche, puoi utilizzare un indirizzo IP pubblico per l'attività o creare un VPC endpoint per Amazon ECR nella sottorete in cui viene eseguita l'attività. Per ulteriori informazioni, consulta Amazon ECR interface VPC endpoints (AWS PrivateLink) nella Amazon Elastic Container Registry User Guide.

    • Per le attività in sottoreti private, puoi utilizzare un gateway Network Address Translation (NAT) o creare un VPC endpoint per Amazon ECR nella sottorete in cui viene eseguita l'attività.

      Per ulteriori informazioni, consulta Subnet e gateway privati. NAT

  • Devi avere il AWSServiceRoleForAmazonGuardDuty ruolo per GuardDuty. Per ulteriori informazioni, consulta la pagina relativa alle autorizzazioni dei ruoli collegati ai servizi GuardDuty nella Amazon GuardDuty User Guide.

  • Tutti i file che desideri proteggere con Runtime Monitoring devono essere accessibili dall'utente root. Se hai modificato manualmente le autorizzazioni di un file, devi impostarlo 755 su.

Di seguito sono riportati i prerequisiti per l'utilizzo di Runtime Monitoring sulle istanze dei EC2 container:

  • È necessario utilizzare la versione 20230929 o successiva di Amazon ECS -AMI.

  • È necessario eseguire ECS l'agente Amazon alla versione 1.77 o successiva sulle istanze del contenitore.

  • È necessario utilizzare la versione del kernel 5.10 o successiva.

  • Per informazioni sui sistemi operativi e sulle architetture Linux supportati, consulta Quali modelli operativi e carichi di lavoro supporta GuardDuty il Runtime Monitoring.

  • È possibile utilizzare Systems Manager per gestire le istanze dei container. Per ulteriori informazioni, vedere Configurazione di Systems Manager per EC2 le istanze nella Guida per l'AWS Systems Manager Session Manager utente.

Si attiva Runtime Monitoring in GuardDuty. Per informazioni su come abilitare la funzionalità, consulta Enabling Runtime Monitoring nella Amazon GuardDuty User Guide.