Amazon EC2インスタンスのサポートの前提条件 - Amazon GuardDuty
EC2 インスタンスSSMを管理するアーキテクチャ要件の検証組織サービスコントロールポリシーの検証自動エージェント設定を使用する場合CPU およびメモリ制限次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EC2インスタンスのサポートの前提条件

このセクションでは、Amazon EC2インスタンスのランタイム動作をモニタリングするための前提条件について説明します。これらの前提条件が満たされたら、「」を参照してください GuardDuty ランタイムモニタリングの有効化

EC2 インスタンスSSMを管理する

ランタイムイベント GuardDuty をモニタリングする Amazon EC2インスタンスは AWS Systems Manager (SSM) 管理されている必要があります。これは、 GuardDuty を使用してセキュリティエージェントを自動的に管理するか、手動で管理するか ( を除く方法 2 - Linux パッケージマネージャーの使用) は関係ありません。

を使用して Amazon EC2インスタンスを管理するには AWS Systems Manager、 AWS Systems Manager ユーザーガイド「Amazon EC2インスタンス用の Systems Manager のセットアップ」を参照してください。

アーキテクチャ要件の検証

OS ディストリビューションのアーキテクチャは、 GuardDuty セキュリティエージェントの動作に影響を与える可能性があります。Amazon EC2インスタンスの Runtime Monitoring を使用する前に、次の要件を満たす必要があります。

  • 次の表は、Amazon EC2インスタンスのセキュリティエージェントをサポートする GuardDutyことが検証された OS ディストリビューションを示しています。

    OS ディストリビューション1 カーネルバージョン カーネルサポート CPU アーキテクチャ
    x64 (AMD64) Graviton (ARM64)

    • AL2 および AL2023

    • Ubuntu 20.04 および Ubuntu 22.04

    • Debian 11 と Debian 12

    5.4、5.10、5.15、6.1、6.5、6.8

    e BPF、トレースポイント、Kprobe

    サポート

    サポート

    1さまざまなオペレーティングシステムのサポート - GuardDuty は、前の表に記載されているオペレーティングシステムでランタイムモニタリングを使用するためのサポートを検証しました。別のオペレーティングシステムを使用しているときに、リストされている OS ディストリビューションで が提供することが検証 GuardDuty されたすべての期待されるセキュリティ値が得られる場合があります。

  • 追加要件 - Amazon ECS/Amazon がある場合にのみ EC2

    Amazon ECS/Amazon ではEC2、最新の Amazon ECS最適化 AMIs (2023 年 9 月 29 日以降) を使用するか、Amazon ECS エージェントバージョン v1.77.0 を使用することをお勧めします。

組織サービスコントロールポリシーの検証

組織内のアクセス許可を管理するサービスコントロールポリシー (SCP) を設定している場合は、アクセス許可の境界が を制限していないことを確認しますguardduty:SendSecurityTelemetry。では GuardDuty 、さまざまなリソースタイプでランタイムモニタリングをサポートする必要があります。

メンバーアカウントの場合は、関連する委任管理者に接続します。組織の 管理の詳細については、「サービスコントロールポリシー (SCPs)SCPs」を参照してください。

自動エージェント設定を使用する場合

を使用するには自動エージェント設定を使用する (推奨)、 が以下の前提条件を満たす AWS アカウント 必要があります。

  • 自動エージェント設定で包含タグを使用する場合、 GuardDuty を使用して新しいインスタンスのSSM関連付けを作成するには、新しいインスタンスがSSM管理され、https://console.aws.amazon.com/systems-manager/コンソールの Fleet Manager の下に表示されることを確認します。

  • 自動エージェント設定で除外タグを使用する場合:

    • アカウントの GuardDuty 自動エージェントを設定する前に、GuardDutyManagedfalse タグを追加します。

      Amazon EC2インスタンスを起動する前に、必ず除外タグを追加してください。Amazon の自動エージェント設定を有効にするとEC2、除外タグなしで起動するEC2インスタンスは、 GuardDuty 自動エージェント設定の対象となります。

    • 除外タグを機能させるには、インスタンス設定を更新して、インスタンスメタデータサービス () でインスタンス ID ドキュメントが使用可能になるようにしますIMDS。このステップを実行する手順は、 Runtime Monitoring の有効化 アカウントの の一部です。

CPU GuardDuty エージェントの および メモリ制限

CPU 制限

Amazon EC2インスタンスに関連付けられた GuardDuty セキュリティエージェントの最大CPU制限は、合計 vCPU コアの 10% です。例えば、EC2インスタンスに 4 vCPU コアがある場合、セキュリティエージェントは利用可能な合計 400% のうち最大 40% を使用できます。

メモリ制限

Amazon EC2インスタンスに関連付けられたメモリから、 GuardDuty セキュリティエージェントが使用できるメモリが制限されています。

次の表は、メモリ制限を示しています。

Amazon EC2インスタンスのメモリ

GuardDuty エージェントの最大メモリ

8 GB 未満

128 MB

32 GB 未満

256 MB

32 GB 以上

1 GB

次のステップ

次のステップでは、ランタイムモニタリングを設定し、セキュリティエージェント (自動または手動) も管理します。