Ativação do monitoramento de runtime para o Amazon ECS

É possível ativar o monitoramento de runtime para clusters com instâncias do EC2 ou quando precisar de controle granular do monitoramento de runtime no nível do cluster no Fargate.

Estes são os pré-requisitos para usar o monitoramento de runtime:

A versão da plataforma do Fargate deve ser 1.4.0 ou posterior para Linux.
Permissões e perfis do IAM para Amazon ECS:
- As tarefas do Fargate devem usar um perfil de execução de tarefas. Esse perfil concede às tarefas permissão para recuperar, atualizar e gerenciar o agente de segurança do GuardDuty em seu nome. Para ter mais informações, consulte Função do IAM de execução de tarefas do Amazon ECS.
- Você controla o monitoramento de runtime de um cluster com uma tag predefinida. Se suas políticas de acesso restringirem o acesso com base em tags, você deve conceder permissões explícitas aos usuários do IAM para marcar clusters. Para obter mais informações, consulte Tutorial do IAM: Definir permissões para acessar recursos da AWS com base em tags no Guia do usuário do IAM.
Conectar-se ao repositório do Amazon ECR:

O agente de segurança do GuardDuty é armazenado em um repositório do Amazon ECR. Cada tarefa autônoma e de serviço deve ter acesso ao repositório. Você pode usar uma das opções a seguir:
- Para tarefas em sub-redes públicas, você pode usar um endereço IP público para a tarefa ou criar um endpoint da VPC para o Amazon ECR na sub-rede em que a tarefa é executada. Para obter mais informações, consulte Endpoints da VPC de interface do Amazon ECR (AWS PrivateLink) no Guia do usuário do Amazon Elastic Container Registry.
- Para tarefas em sub-redes privadas, você pode usar um gateway de conversão de endereços de rede (NAT) ou criar um endpoint da VPC para o Amazon ECR na sub-rede em que a tarefa é executada.
  
  Para obter mais informações, consulte Sub-rede privada e gateway de NAT.
É necessário ter o perfil AWSServiceRoleForAmazonGuardDuty do GuardDuty. Para obter mais informações, consulte Service-linked role permissions for GuardDuty no Guia do usuário do Amazon GuardDuty.
Todos os arquivos que deseja proteger com o monitoramento de runtime devem estar acessíveis pelo usuário-raiz. Caso tenha alterado manualmente as permissões de um arquivo, você deve configurá-lo como 755.

Estes são os pré-requisitos para usar o monitoramento de runtime em instâncias de contêiner do EC2:

Você deve usar a versão 20230929 ou posterior da AMI do Amazon ECS.
Você deve executar o agente do Amazon ECS para a versão 1.77 ou posterior nas instâncias de contêiner.
Você deve usar a versão 5.10 ou posterior do kernel.
Para obter informações sobre os sistemas operacionais e arquiteturas Linux compatíveis, consulte Which operating models and workloads does GuardDuty Runtime Monitoring support.
Você pode usar o Systems Manager para gerenciar as instâncias de contêiner. Para obter mais informações, consulte Configuração do Systems Manager para instâncias do EC2 no Guia do usuário do AWS Systems Manager Session Manager.

Você ativa o monitoramento de runtime no GuardDuty. Para obter informações sobre como habilitar o recurso, consulte Enabling Runtime Monitoring no Guia do usuário do Amazon GuardDuty.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Monitoramento de runtime para workloads do EC2

Como adicionar o monitoramento de runtime a um cluster