Amazon ECS のランタイムモニタリングを有効にする - Amazon Elastic Container Service

Amazon ECS のランタイムモニタリングを有効にする

GuardDuty を設定して、すべての Fargate クラスターのセキュリティエージェントが自動的に管理されるようにすることができます。

前提条件

ランタイムモニタリングを使用するための前提条件は次のとおりです。

  • Fargate プラットフォームバージョンは Linux では 1.4.0 以降である必要があります。

  • Amazon ECS の IAM ロールとアクセス許可:

    • Fargate タスクはタスク実行ロールを使用する必要があります。このロールは、ユーザーに代わって GuardDuty セキュリティエージェントを取得、更新、管理するアクセス許可をタスクに付与します。詳細については、「Amazon ECS タスク実行IAM ロール」を参照してください。

    • 事前定義されたタグを使用してクラスターのランタイムモニタリングを制御します。アクセスポリシーによりタグに基づいてアクセスが制限されている場合は、クラスターにタグを付けるための明示的なアクセス許可を IAM ユーザーに付与する必要があります。詳細については、「IAM ユーザーガイド」の「IAM チュートリアル: タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する」を参照してください。

  • Amazon ECR リポジトリへの接続:

    GuardDuty セキュリティエージェントは Amazon ECR リポジトリに保存されます。スタンドアロンタスクとサービスタスクにはそれぞれリポジトリへのアクセスが必要です。次のオプションの 1 つを使用できます。

    • パブリックサブネット内のタスクでは、タスクにパブリック IP アドレスを使用するか、タスクが実行されるサブネットに Amazon ECR の VPC エンドポイントを作成することができます。詳細については、Amazon Elastic コンテナレジストリ ユーザーガイドAmazon ECR Interface VPC エンドポイント(AWS PrivateLink)を参照してください。

    • プライベートサブネットのタスクでは、ネットワークアドレス変換 (NAT) ゲートウェイを使用するか、タスクが実行されるサブネットに Amazon ECR の VPC エンドポイントを作成することができます。

      詳細については、「プライベートサブネットと NAT ゲートウェイ」を参照してください。

  • GuardDuty の AWSServiceRoleForAmazonGuardDuty ロールが必要です。詳細については、「Amazon GuardDuty ユーザーガイド」の 「GuardDuty でのサービスにリンクされたロールのアクセス許可」を参照してください。

  • ランタイムモニタリングで保護するファイルは、すべてルートユーザーによってアクセスできる必要があります。ファイルのアクセス許可を手動で変更した場合は、755 に設定する必要があります。

EC2 コンテナインスタンスでランタイムモニタリングを使用するための前提条件は次のとおりです。

手順

GuardDuty でランタイムモニタリングを有効にします。この機能を有効にする方法については、「Amazon GuardDuty ユーザーガイド」の「ランタイムモニタリングを有効にする」を参照してください。