Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Copertura del runtime e risoluzione dei problemi per i cluster Amazon ECS

PDF
RSS
Modalità Focus
Copertura del runtime e risoluzione dei problemi per i cluster Amazon ECS - Amazon GuardDuty
Revisione delle statistiche di coperturaModifica dello stato della copertura con EventBridge notificheRisoluzione dei problemi di copertura del runtime di Amazon ECS-Fargate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

La copertura del runtime per i cluster Amazon ECS include le attività in esecuzione e le istanze di AWS Fargate container Amazon ECS. 1

Per un cluster Amazon ECS eseguito su Fargate, la copertura del runtime viene valutata a livello di attività. La copertura del runtime dei cluster ECS include le attività Fargate che sono iniziate a essere eseguite dopo aver abilitato il monitoraggio del runtime e la configurazione automatica degli agenti per Fargate (solo ECS). Per impostazione predefinita, un'attività Fargate è immutabile. GuardDuty non sarà in grado di installare il security agent per monitorare i contenitori sulle attività già in esecuzione. Per includere un'attività Fargate di questo tipo, è necessario interromperla e riavviarla. Assicurati di controllare se il servizio associato è supportato.

Per informazioni sul contenitore Amazon ECS, consulta Creazione di capacità.

Revisione delle statistiche di copertura

Le statistiche di copertura per le risorse Amazon ECS associate al tuo account o ai tuoi account membro sono la percentuale di cluster Amazon ECS integri rispetto a tutti i cluster Amazon ECS selezionati. Regione AWS Ciò include la copertura per i cluster Amazon ECS associati alle istanze Fargate e Amazon. EC2 L'equazione seguente rappresenta questa percentuale come:

(Cluster integri/Tutti i cluster)*100

Considerazioni

  • Le statistiche di copertura per il cluster ECS includono lo stato di copertura delle attività Fargate o delle istanze di container ECS associate a quel cluster ECS. Lo stato di copertura delle attività di Fargate include le attività che sono in esecuzione o che sono state completate di recente.

  • Nella scheda Copertura del runtime dei cluster ECS, il campo Istanze di container coperte indica lo stato di copertura delle istanze di container associate al tuo cluster Amazon ECS.

    Se il tuo cluster Amazon ECS contiene solo attività Fargate, il conteggio appare come 0/0.

  • Se il tuo cluster Amazon ECS è associato a un' EC2 istanza Amazon che non dispone di un agente di sicurezza, anche il cluster Amazon ECS avrà uno stato di copertura Unhealthy.

    Per identificare e risolvere il problema di copertura per l' EC2 istanza Amazon associata, consulta per le istanze Risoluzione dei problemi EC2 di copertura del runtime di Amazon Amazon EC2.

Scegli uno dei metodi di accesso per esaminare le statistiche di copertura dei tuoi account.

Console

  • Accedi AWS Management Console e apri la console all'indirizzo. GuardDuty https://console.aws.amazon.com/guardduty/

  • Nel riquadro di navigazione, scegli Runtime Monitoring.

  • Scegli la scheda Runtime coverage.

  • Nella scheda Runtime Coverage dei cluster ECS, puoi visualizzare le statistiche di copertura aggregate in base allo stato di copertura di ogni cluster Amazon ECS disponibile nella tabella Elenco dei cluster.

    • Puoi filtrare la tabella dell'elenco dei cluster in base alle seguenti colonne:

      • ID account

      • Nome del cluster

      • Tipo di gestione dell'agente

      • Stato copertura

  • Se uno dei tuoi cluster Amazon ECS ha lo stato di copertura come Non integro, la colonna Problema include informazioni aggiuntive sul motivo dello stato Non integro.

    Se i tuoi cluster Amazon ECS sono associati a EC2 un'istanza Amazon, vai alla scheda di copertura del runtime dell'EC2 istanza e filtra in base al campo Nome cluster per visualizzare il problema associato.

API/CLI

  • Esegui l'ListCoverageAPI con il tuo ID di rilevamento, la regione corrente e l'endpoint di servizio validi. Puoi filtrare e ordinare l'elenco delle istanze utilizzando questa API.

    • Puoi modificare il filter-criteria di esempio con una delle opzioni seguenti per CriterionKey:

      • ACCOUNT_ID

      • ECS_CLUSTER_NAME

      • COVERAGE_STATUS

      • MANAGEMENT_TYPE

    • Puoi modificare il AttributeName di esempio in sort-criteria con una delle opzioni seguenti:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • ISSUE

      • ECS_CLUSTER_NAME

      • UPDATED_AT

        Il campo viene aggiornato solo quando viene creata una nuova attività nel cluster Amazon ECS associato o quando viene modificato lo stato di copertura corrispondente.

    • È possibile modificare max-results (fino a 50).

    • Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Esegui l'GetCoverageStatisticsAPI per recuperare le statistiche aggregate sulla copertura basate su. statisticsType

    • Puoi modificare il statisticsType di esempio con una delle opzioni seguenti:

      • COUNT_BY_COVERAGE_STATUS— Rappresenta le statistiche di copertura per i cluster ECS aggregate per stato di copertura.

      • COUNT_BY_RESOURCE_TYPE— Statistiche di copertura aggregate in base al tipo di AWS risorsa nell'elenco.

      • È possibile modificare il filter-criteria di esempio nel comando. Puoi utilizzare le seguenti opzioni per CriterionKey:

        • ACCOUNT_ID

        • ECS_CLUSTER_NAME

        • COVERAGE_STATUS

        • MANAGEMENT_TYPE

        • INSTANCE_ID

    • Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
anchoranchor

  • Accedi AWS Management Console e apri la console all'indirizzo. GuardDuty https://console.aws.amazon.com/guardduty/

  • Nel riquadro di navigazione, scegli Runtime Monitoring.

  • Scegli la scheda Runtime coverage.

  • Nella scheda Runtime Coverage dei cluster ECS, puoi visualizzare le statistiche di copertura aggregate in base allo stato di copertura di ogni cluster Amazon ECS disponibile nella tabella Elenco dei cluster.

    • Puoi filtrare la tabella dell'elenco dei cluster in base alle seguenti colonne:

      • ID account

      • Nome del cluster

      • Tipo di gestione dell'agente

      • Stato copertura

  • Se uno dei tuoi cluster Amazon ECS ha lo stato di copertura come Non integro, la colonna Problema include informazioni aggiuntive sul motivo dello stato Non integro.

    Se i tuoi cluster Amazon ECS sono associati a EC2 un'istanza Amazon, vai alla scheda di copertura del runtime dell'EC2 istanza e filtra in base al campo Nome cluster per visualizzare il problema associato.

Per ulteriori informazioni sui problemi di copertura, vedereRisoluzione dei problemi di copertura del runtime di Amazon ECS-Fargate.

Modifica dello stato della copertura con EventBridge notifiche

Lo stato di copertura del tuo cluster Amazon ECS potrebbe apparire come Non integro. Per sapere quando lo stato della copertura cambia, ti consigliamo di monitorare periodicamente lo stato della copertura e di risolvere i problemi se lo stato diventa Non integro. In alternativa, puoi creare una EventBridge regola Amazon per ricevere una notifica quando lo stato della copertura cambia da Insalutare a Healthy o altro. Per impostazione predefinita, GuardDuty lo pubblica nel EventBridge bus relativo al tuo account.

Schema di esempio delle notifiche

EventBridge Di norma, è possibile utilizzare gli eventi e i modelli di eventi di esempio predefiniti per ricevere notifiche sullo stato della copertura. Per ulteriori informazioni sulla creazione di una EventBridge regola, consulta Create rule nella Amazon EventBridge User Guide.

Inoltre, puoi creare un pattern di eventi personalizzato utilizzando lo schema di esempio delle notifiche seguente. Assicurati di sostituire i valori per il tuo account. Per ricevere una notifica quando lo stato di copertura del tuo cluster Amazon ECS cambia da Healthy aUnhealthy, detail-type dovresti farlo. GuardDuty Runtime Protection Unhealthy Per ricevere una notifica quando lo stato della copertura cambia da Unhealthy aHealthy, sostituisci il valore di detail-type conGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Account AWS ID",
  "time": "event timestamp (string)",
  "region": "Regione AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Risoluzione dei problemi di copertura del runtime di Amazon ECS-Fargate

Se lo stato di copertura del tuo cluster Amazon ECS non è integro, puoi visualizzare il motivo nella colonna Problema.

La tabella seguente fornisce i passaggi consigliati per la risoluzione dei problemi di Fargate (solo Amazon ECS). Per informazioni sui problemi di copertura delle EC2 istanze Amazon, consulta Risoluzione dei problemi EC2 di copertura del runtime di Amazon per EC2 le istanze Amazon.

Tipo di problema Informazioni supplementari Fasi consigliate per la risoluzione dei problemi

L'agente non effettua la segnalazione

Agente che non effettua la segnalazione per le attività in TaskDefinition - 'TASK_DEFINITION'

Verifica che l'endpoint VPC per l'attività del tuo cluster Amazon ECS sia configurato correttamente. Per ulteriori informazioni, consulta Convalida della configurazione degli endpoint VPC.

Se la tua organizzazione ha una policy di controllo dei servizi (SCP), verifica che il limite delle autorizzazioni non limiti l'autorizzazione. guardduty:SendSecurityTelemetry Per ulteriori informazioni, consulta Convalida della politica di controllo dei servizi dell'organizzazione.

VPC_ISSUE; for task in TaskDefinition - 'TASK_DEFINITION'

Visualizza i dettagli del problema VPC nelle informazioni aggiuntive.

L'agente è uscito

ExitCode: EXIT_CODE per le attività in TaskDefinition - 'TASK_DEFINITION'

Visualizza i dettagli del problema nelle informazioni aggiuntive.

Motivo: REASON per attività in TaskDefinition - 'TASK_DEFINITION'

ExitCode: EXIT_CODE con motivo: 'EXIT_CODE' per le attività in TaskDefinition - 'TASK_DEFINITION'

Agente chiuso: Motivo:CannotPullContainerError: pull image manifest è stato riprovato...

Il ruolo di esecuzione dell'attività deve disporre delle seguenti autorizzazioni Amazon Elastic Container Registry (Amazon ECR):

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Per ulteriori informazioni, consulta Fornisci le autorizzazioni ECR e i dettagli della sottorete.

Dopo aver aggiunto le autorizzazioni Amazon ECR, devi riavviare l'attività.

Se il problema persiste, consulta. Il mio AWS Step Functions flusso di lavoro non funziona in modo imprevisto

Creazione degli endpoint VPC non riuscita

L'abilitazione del DNS privato richiede entrambi enableDnsSupport gli attributi enableDnsHostnames VPC impostati true su vpcId for (Service EC2:, Status Code:400, Request ID:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Assicurati che i seguenti attributi VPC siano impostati su trueenableDnsSupport e enableDnsHostnames. Per ulteriori informazioni, consulta Attributi DNS nel VPC.

Se utilizzi la console Amazon VPC su https://console.aws.amazon.com/vpc/per creare Amazon VPC, assicurati di selezionare sia Abilita nomi host DNS che Abilita risoluzione DNS. Per ulteriori informazioni, consulta Opzioni di configurazione del VPC.

Agente non fornito

Richiamata non supportata da SERVICE for task (s) in TaskDefinition - 'TASK_DEFINITION'

Questa attività è stata richiamata da un comando SERVICE non supportato.

Architettura CPU 'TYPE' non supportata per le attività in TaskDefinition - 'TASK_DEFINITION'

Questa attività è in esecuzione su un'architettura CPU non supportata. Per informazioni sulle architetture CPU supportate, vedere. Convalida dei requisiti relativi all'architettura

TaskExecutionRolemancante da TaskDefinition - 'TASK_DEFINITION'

Manca il ruolo di esecuzione delle attività ECS. Per informazioni su come fornire il ruolo di esecuzione dell'attività e le autorizzazioni richieste, vedere. Fornisci le autorizzazioni ECR e i dettagli della sottorete

Configurazione di rete 'CONFIGURATION_DETAILS' mancante per le attività in TaskDefinition - 'TASK_DEFINITION'

I problemi di configurazione della rete possono verificarsi a causa della configurazione VPC mancante o di sottoreti mancanti o vuote.

Verifica che la configurazione di rete sia corretta. Per ulteriori informazioni, consulta Fornisci le autorizzazioni ECR e i dettagli della sottorete.

Per ulteriori informazioni, consulta i parametri di definizione delle attività di Amazon ECS nella Amazon Elastic Container Service Developer Guide.

Le attività avviate quando i cluster avevano un tag di esclusione sono escluse dal Runtime Monitoring. ID attività interessati: 'TASK_ID

Quando modifichi il GuardDuty tag predefinito da GuardDutyManaged - true a GuardDutyManaged -false, non GuardDuty riceverà gli eventi di runtime per questo cluster Amazon ECS.

Aggiorna il tag a GuardDutyManaged - true e quindi riavvia l'attività.

I servizi distribuiti quando i cluster avevano il tag di esclusione sono esclusi dal Runtime Monitoring. Nome/i dei servizi interessati: '' SERVICE_NAME

Quando i servizi distribuiti con il tag di esclusione GuardDutyManaged -false, non GuardDuty riceveranno eventi di runtime per questo cluster Amazon ECS.

Aggiorna il tag a GuardDutyManaged - true e quindi ridistribuisci il servizio.

Le attività avviate prima dell'attivazione della configurazione automatica dell'agente non sono coperte. ID attività interessati: '' TASK_ID

Se il cluster contiene un'attività avviata prima di abilitare la configurazione automatizzata dell'agente per Amazon ECS, non GuardDuty sarà in grado di proteggerla. Riavvia l'attività affinché venga monitorata da. GuardDuty

I servizi distribuiti prima di abilitare la configurazione automatica degli agenti non sono coperti. Nome/i dei servizi interessati: '' SERVICE_NAME

Quando i servizi vengono distribuiti prima di abilitare la configurazione automatizzata degli agenti per Amazon ECS, non GuardDuty riceverà eventi di runtime per i cluster ECS.

Il servizio 'SERVICE_NAME' richiede una nuova implementazione per la correzione e la risoluzione dei problemi. Consulta la documentazione, Nome/i dei servizi interessati: '' SERVICE_NAME

Un servizio avviato prima dell'attivazione del Runtime Monitoring non è supportato.

Puoi riavviare il servizio o aggiornarlo con l'forceNewDeploymentopzione seguendo i passaggi riportati in Aggiornamento di un servizio Amazon ECS utilizzando la console nella Amazon Elastic Container Service Developer Guide. In alternativa, puoi anche utilizzare i passaggi riportati UpdateServicenel riferimento all'API di Amazon Elastic Container Service.

Le attività avviate prima di abilitare il Runtime Monitoring richiedono un riavvio. ID attività interessati: '' TASK_ID_1

In Amazon ECS, le attività sono immutabili. Per valutare il comportamento di runtime o un' AWS Fargate attività in esecuzione, assicurati che Runtime Monitoring sia già abilitato, quindi riavvia l'attività per GuardDuty aggiungere il sidecar del contenitore.

Altri

Problema non identificato, per le attività in TaskDefinition - 'TASK_DEFINITION'

Utilizza le seguenti domande per identificare la causa principale del problema:

  • L'attività è iniziata prima di abilitare il Runtime Monitoring?

    In Amazon ECS, le attività sono immutabili. Per valutare il comportamento di runtime di un'attività Fargate in esecuzione, assicuratevi che Runtime Monitoring sia già abilitato, quindi riavviate l'attività per GuardDuty aggiungere il sidecar del contenitore.

  • Questa attività fa parte di una distribuzione di servizi iniziata prima di abilitare il Runtime Monitoring?

    In caso affermativo, è possibile riavviare il servizio o aggiornarlo forceNewDeployment utilizzando la procedura descritta in Aggiornamento di un servizio.

    Puoi anche usare UpdateServiceo AWS CLI.

  • L'attività è stata avviata dopo aver escluso il cluster ECS dal Runtime Monitoring?

    Quando si modifica il GuardDuty tag predefinito da GuardDutyManaged - true a GuardDutyManaged -false, non GuardDuty riceverà gli eventi di runtime per il cluster ECS.

  • Il tuo servizio contiene un'attività che ha un vecchio formato di? taskArn

    GuardDuty Runtime Monitoring non supporta la copertura per le attività che hanno il vecchio formato ditaskArn.

    Per informazioni su Amazon Resource Names (ARNs) per le risorse Amazon ECS, consulta Amazon Resource Names (ARNs) e IDs.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.