Amazon ECS에 대한 Runtime Monitoring 켜기 - Amazon Elastic Container Service

Amazon ECS에 대한 Runtime Monitoring 켜기

모든 Fargate 클러스터의 보안 에이전트를 자동으로 관리하도록 GuardDuty를 구성할 수 있습니다.

사전 조건

다음은 Runtime Monitoring 사용을 위한 필수 조건입니다.

  • Fargate 플랫폼 버전은 Linux의경우 1.4.0 이상이어야 합니다.

  • Amazon ECS에 대한 IAM 역할 및 권한:

    • Fargate 작업에서는 작업 실행 역할을 사용해야 합니다. 이 역할은 사용자를 대신하여 GuardDuty 보안 에이전트를 검색, 업데이트 및 관리할 권한을 작업에 부여합니다. 자세한 정보는 Amazon ECS 태스크 실행 IAM 역할 섹션을 참조하세요.

    • 사전 정의된 태그를 사용하여 클러스터의 Runtime Monitoring을 제어합니다. 액세스 정책이 태그를 기반으로 액세스를 제한하는 경우 IAM 사용자에게 클러스터에 태그를 지정할 수 있는 명시적 권한을 부여해야 합니다. 자세한 내용은 IAM 사용 설명서의 IAM 튜토리얼: 태그를 기반으로 AWS 리소스에 액세스할 수 있는 권한 정의를 참조하세요.

  • Amazon ECR 리포지토리에 연결:

    GuardDuty 보안 에이전트는 Amazon ECR 리포지토리에 저장됩니다. 각 독립 실행형 작업 및 서비스 작업에는 리포지토리에 대한 액세스 권한이 있어야 합니다. 다음 옵션 중 하나를 사용할 수 있습니다.

    • 퍼블릭 서브넷에 있는 작업의 경우 작업에 퍼블릭 IP 주소를 사용하거나 작업이 실행되는 서브넷에서 Amazon ECR용 VPC 엔드포인트를 생성할 수 있습니다. 자세한 정보는 Amazon Elastic Container Registry 사용 설명서Amazon ECR 인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.

    • 프라이빗 서브넷에 있는 작업의 경우 Network Address Translation(NAT) 게이트웨이를 사용하거나 작업이 실행되는 서브넷에서 Amazon ECR용 VPC 엔드포인트를 생성할 수 있습니다.

      자세한 내용은 프라이빗 서브넷 및 NAT 게이트웨이를 참조하세요.

  • GuardDuty에 대한 AWSServiceRoleForAmazonGuardDuty 역할이 필요합니다. 자세한 내용은 Amazon GuardDuty 사용 설명서의 Service-linked role permissions for GuardDuty를 참조하세요.

  • Runtime Monitoring으로 보호하려는 모든 파일에는 루트 사용자가 액세스할 수 있어야 합니다. 파일의 권한을 수동으로 변경한 경우 해당 권한을 755로 설정해야 합니다.

다음은 EC2 컨테이너 인스턴스에서 Runtime Monitoring을 사용하기 위한 필수 조건입니다.

절차

GuardDuty에서 Runtime Monitoring을 활성화합니다. 기능을 활성화하는 방법에 대한 자세한 내용은 Amazon GuardDuty 사용 설명서의 Enabling Runtime Monitoring을 참조하세요.