运行时监控如何与 Fargate 配合使用（仅限亚马ECS逊）

启用 GuardDuty 安全代理的影响

GuardDuty 创建虚拟私有云 (VPC) 端点和安全组

• 部署 GuardDuty 安全代理时， GuardDuty 将创建一个VPC终端节点，安全代理通过该端点将运行时事件传送到 GuardDuty。

  除了VPC终端节点外， GuardDuty 还会创建一个新的安全组。入站（入口）规则控制允许访问与安全组关联的资源的流量。 GuardDuty 添加与您的资源VPCCIDR范围相匹配的入站规则，并在CIDR范围发生变化时进行调整。有关更多信息，请参阅 Amazon VPC 用户指南中的VPCCIDR范围。

• 使用自动代理集中VPC使用——当你对某一资源类型使用 GuardDuty自动代理配置时， GuardDuty 将代表你为所有资源类型创建一个VPC终端节点VPCs。这包括集中式VPC和分支式VPCs。 GuardDuty不支持仅为集中式创建VPC端点VPC。有关集中式VPC工作原理的更多信息，请参阅AWS 白皮书《构建可扩展且安全的多VPC AWS 网络基础架构》中的接口VPC端点。

• 使用VPC终端节点不会产生额外费用。

GuardDuty 添加一个边车容器

对于开始运行的新 Fargate 任务或服务， GuardDuty 容器（边车）将自身附加到 Amazon Far ECS gate 任务中的每个容器。 GuardDuty 安全代理在连接的 GuardDuty 容器内运行。这 GuardDuty 有助于收集在这些任务中运行的每个容器的运行时事件。

启动 Fargate 任务时，如果 GuardDuty 容器（sidecar）无法在正常状态下启动，则运行时监控的设计不会阻止任务运行。

默认情况下，Fargate 任务是不可变的。 GuardDuty 当任务已经处于运行状态时，不会部署边车。要监控已在运行的任务中的容器，可以停止并重新启动该任务。

监控所有 Amazon ECS 集群

这种方法有助您在账户级别检测潜在的安全威胁。如果您 GuardDuty 想检测属于您账户的所有 Amazon ECS 集群的潜在安全威胁，请使用此方法。

排除特定的亚马逊ECS集群

如果您 GuardDuty 想检测 AWS 环境中大多数 Amazon ECS 集群的潜在安全威胁，但不包括部分集群，请使用此方法。此方法可帮助您在集群级别监控 Amazon ECS 任务中容器的运行时行为。例如，属于您账户的亚马逊ECS集群数量为 1000。但是，您只想监控 930 个 Amazon ECS 集群。

此方法要求您向不想监控的 Amazon ECS 集群添加预定义 GuardDuty 标签。有关更多信息，请参阅 管理 Fargate 的自动安全代理（仅限亚马ECS逊）。

包括特定的亚马逊ECS集群

当您想要 GuardDuty 检测某些 Amazon ECS 集群的潜在安全威胁时，请使用此方法。此方法可帮助您在集群级别监控 Amazon ECS 任务中容器的运行时行为。例如，属于您账户的亚马逊ECS集群数量为 1000。但您想监控其中 230 个集群。

此方法要求您向要监控的 Amazon ECS 集群添加预定义 GuardDuty 标签。有关更多信息，请参阅 管理 Fargate 的自动安全代理（仅限亚马ECS逊）。