Amazon ECS のランタイムモニタリングを有効にする
GuardDuty を設定して、すべての Fargate クラスターのセキュリティエージェントが自動的に管理されるようにすることができます。
前提条件
ランタイムモニタリングを使用するための前提条件は次のとおりです。
-
Fargate プラットフォームバージョンは Linux では
1.4.0
以降である必要があります。 Amazon ECS の IAM ロールとアクセス許可:
-
Fargate タスクはタスク実行ロールを使用する必要があります。このロールは、ユーザーに代わって GuardDuty セキュリティエージェントを取得、更新、管理するアクセス許可をタスクに付与します。詳細については、「Amazon ECS タスク実行IAM ロール」を参照してください。
-
事前定義されたタグを使用してクラスターのランタイムモニタリングを制御します。アクセスポリシーによりタグに基づいてアクセスが制限されている場合は、クラスターにタグを付けるための明示的なアクセス許可を IAM ユーザーに付与する必要があります。詳細については、「IAM ユーザーガイド」の「IAM チュートリアル: タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する」を参照してください。
-
-
Amazon ECR リポジトリへの接続:
GuardDuty セキュリティエージェントは Amazon ECR リポジトリに保存されます。スタンドアロンタスクとサービスタスクにはそれぞれリポジトリへのアクセスが必要です。次のオプションの 1 つを使用できます。
-
パブリックサブネット内のタスクでは、タスクにパブリック IP アドレスを使用するか、タスクが実行されるサブネットに Amazon ECR の VPC エンドポイントを作成することができます。詳細については、Amazon Elastic コンテナレジストリ ユーザーガイドの Amazon ECR Interface VPC エンドポイント(AWS PrivateLink)を参照してください。
プライベートサブネットのタスクでは、ネットワークアドレス変換 (NAT) ゲートウェイを使用するか、タスクが実行されるサブネットに Amazon ECR の VPC エンドポイントを作成することができます。
詳細については、「プライベートサブネットと NAT ゲートウェイ」を参照してください。
-
GuardDuty の
AWSServiceRoleForAmazonGuardDuty
ロールが必要です。詳細については、「Amazon GuardDuty ユーザーガイド」の 「GuardDuty でのサービスにリンクされたロールのアクセス許可」を参照してください。-
ランタイムモニタリングで保護するファイルは、すべてルートユーザーによってアクセスできる必要があります。ファイルのアクセス許可を手動で変更した場合は、
755
に設定する必要があります。
EC2 コンテナインスタンスでランタイムモニタリングを使用するための前提条件は次のとおりです。
-
Amazon ECS-AMI のバージョン
20230929
以降を使用する必要があります。 -
コンテナインスタンスで Amazon ECS エージェントをバージョン
1.77
以降で実行する必要があります。 -
カーネルのバージョン
5.10
以降を使用する必要があります。 -
サポートされている Linux オペレーティングシステムとアーキテクチャについては、「GuardDuty ランタイムモニタリングがサポートしているオペレーティングシステムとワークロードはどれですか
」を参照してください。 -
Systems Manager を使用してコンテナインスタンスを管理できます。詳細については、「AWS Systems Manager Session Manager ユーザーガイド」の「Systems Manager の EC2 インスタンスのセットアップ」を参照してください。
手順
GuardDuty でランタイムモニタリングを有効にします。この機能を有効にする方法については、「Amazon GuardDuty ユーザーガイド」の「ランタイムモニタリングを有効にする」を参照してください。