Amazon ECS の Amazon EC2 コンテナインスタンスのセキュリティに関する考慮事項
脅威モデル内での単一のコンテナインスタンスとそのアクセスを考慮する必要があります。たとえば、影響を受けるひとつのタスクが、同じインスタンス上の感染していないタスクの IAM アクセス許可を利用できる場合があります。
これを防ぐには、次のことを行うことをお勧めします。
-
タスクを実行するときは、管理者権限を使用しないでください。
-
タスクに割り当てるタスクロールは最小特権にします。
コンテナエージェントは、Amazon ECS リソースへのアクセスに使用される固有の認証情報 ID を持つトークンを自動的に作成します。
-
awsvpc
ネットワークモードを使用するタスクで実行されたコンテナが、Amazon EC2 のインスタンスプロファイルに入力されている認証情報にアクセスするのを防止しつつ、タスクロールで指定されている許可を有効にするには、エージェントの設定ファイルでECS_AWSVPC_BLOCK_IMDS
エージェント設定変数を [true] に設定し、そのエージェントを再起動します。 -
Amazon GuardDuty ランタイムモニタリングを使用して、AWS 環境内のクラスターとコンテナの脅威を検出します。Runtime Monitoring では、ファイルアクセス、プロセス実行、ネットワーク接続などの個々の Amazon ECS ワークロードを実行時に可視化する、GuardDuty セキュリティエージェントを使用します。詳細については、「GuardDuty ユーザーガイド」の「GuardDuty ランタイムモニタリング」を参照してください。