为 Amazon ECS 开启运行时监控

您可以配置 GuardDuty，以自动管理所有 Fargate 集群的安全代理。

先决条件

以下是使用运行时监控的先决条件：

Fargate 平台版本必须为适用于 Linux 的 1.4.0 或更高版本。
Amazon ECS 的 IAM 角色和权限：
- Fargate 任务必须使用任务执行角色。此角色授予任务代表您检索、更新和管理 GuardDuty 安全代理的权限。有关更多信息，请参阅Amazon ECS 任务执行 IAM 角色。
- 您可以使用预定义的标签来控制集群的运行时监控。如果您的访问策略基于标签限制访问，则必须向您的 IAM 用户授予标记集群的明确权限。有关更多信息，请参阅《IAM 用户指南》中的 IAM 教程：基于标签定义访问 AWS 资源的权限。
连接到 Amazon ECR 存储库：

GuardDuty 安全代理存储于 Amazon ECR 存储库中。每个独立任务和服务任务都必须具有访问该存储库的权限。可以使用以下选项之一：
- 对于公有子网中的任务，您可以对任务使用公有 IP 地址，也可以在任务运行的子网中为 Amazon ECR 创建 VPC 端点。有关更多信息，请参阅 Amazon Elastic Container Registry 用户指南中的Amazon ECR 接口 VPC 端点 (AWS PrivateLink)。
- 对于私有子网中的任务，您可以使用网络地址转换（NAT）网关，也可以在任务运行的子网中为 Amazon ECR 创建 VPC 端点。
  
  有关更多信息，请参阅私有子网和 NAT 网关。
您必须对 GuardDuty 具有 AWSServiceRoleForAmazonGuardDuty 角色。有关更多信息，请参阅《Amazon GuardDuty 用户指南》中的 GuardDuty 的服务相关角色权限。
要用运行时监控保护的任何文件都必须能够由根用户访问。如果您手动更改了文件的权限，则必须将其设置为 755。

以下是在 EC2 容器实例上使用运行时监控的先决条件：

您必须使用版本 20230929 或更高版本的 Amazon ECS-AMI。
您必须在容器实例上运行版本 1.77 或更高版本的 Amazon ECS 代理。
您必须使用内核版本 5.10 或更高版本。
有关支持的 Linux 操作系统和架构的信息，请参阅 GuardDuty 运行时监控支持哪些运营模式和工作负载。
您可以使用 Systems Manager 管理您的容器实例。有关更多信息，请参阅 AWS Systems Manager Session Manager 用户指南中的为 EC2 实例设置 Systems Manager。

过程

您可以在 GuardDuty 中启用运行时监控。有关如何启用该功能的信息，请参阅《Amazon GuardDuty User Guide》中的 Enabling Runtime Monitoring。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Fargate 工作负载的运行时监控

为现有 Fargate 任务添加运行时监控