本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 Fargate 的自動化安全代理程式 (ECS僅限 Amazon)
執行期監控僅支援透過 管理 Amazon ECS叢集 (AWS Fargate) 的安全代理程式 GuardDuty。不支援在 Amazon ECS叢集上手動管理安全代理程式。
在繼續本節中的步驟之前,請務必遵循 AWS Fargate (ECS僅限 Amazon) 支援的先決條件。
根據 在 Amazon 中管理 GuardDuty 安全代理程式的方法 ECS-Fargate 資源,選擇偏好的方法來為您的資源啟用 GuardDuty 自動代理程式。
在多帳戶環境中,只有委派的 GuardDuty 管理員帳戶可以啟用或停用成員帳戶的自動代理程式組態,以及管理屬於其組織中成員帳戶的 Amazon ECS叢集的自動代理程式組態。 GuardDuty 成員帳戶無法修改此組態。委派 GuardDuty 管理員帳戶使用 管理其成員帳戶 AWS Organizations。如需多帳戶環境的詳細資訊,請參閱管理多個帳戶 GuardDuty。
啟用委派 GuardDuty 管理員帳戶的自動化代理程式組態
- Manage for all Amazon ECS clusters (account level)
-
如果您選擇為所有執行期監控的帳戶啟用 ,則您有下列選項:
如果您在執行期監控區段中選擇手動設定帳戶,請執行下列動作:
-
在自動客服人員組態區段中選擇手動設定帳戶。
-
在委派 GuardDuty 管理員帳戶 (此帳戶) 區段中選擇啟用。
選擇 Save (儲存)。
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
將標籤新增至此 Amazon ECS叢集,金鑰值對為 GuardDutyManaged-false。
-
防止修改標籤,信任實體除外。禁止修改標籤中提供的政策,但使用者指南中的授權原則已修改為適用於此處。 AWS Organizations
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。
-
在導覽窗格中,選擇執行期監控。
-
在為您的帳戶啟用自動代理程式組態之前,請務必將排除標籤新增至您的 Amazon ECS叢集;否則 GuardDuty 附屬容器會連接至啟動的 Amazon ECS任務中的所有容器。
在組態索引標籤下,選擇自動化代理程式組態中的啟用。
對於尚未排除的 Amazon ECS叢集, GuardDuty 會管理附屬容器中安全代理程式的部署。
-
選擇 Save (儲存)。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
將標籤新增至您要包含所有任務的 Amazon ECS叢集。鍵/值對必須是 GuardDutyManaged-true。
-
防止修改這些標籤,但受信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
為您的 Amazon ECS叢集使用包含標籤時,您不需要透過自動化 GuardDuty 代理程式明確整合來啟用代理程式。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
為所有成員帳戶自動啟用
- Manage for all Amazon ECS clusters (account level)
-
下列步驟假設您已在執行期監控區段中為所有帳戶選擇啟用。
-
在自動代理程式組態區段中,針對所有帳戶選擇啟用。 GuardDuty 將為所有啟動的 Amazon ECS任務部署和管理安全代理程式。
-
選擇 Save (儲存)。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
將標籤新增至此 Amazon ECS叢集,金鑰值對為 GuardDutyManaged-false。
-
防止修改標籤,信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。
-
在導覽窗格中,選擇執行期監控。
-
在為您的帳戶啟用自動代理程式組態之前,請務必將排除標籤新增至您的 Amazon ECS叢集;否則 GuardDuty 附屬容器會連接至啟動的 Amazon ECS任務中的所有容器。
在組態索引標籤下,選擇編輯。
-
在自動客服人員組態區段中選擇為所有帳戶啟用
對於尚未排除的 Amazon ECS叢集, GuardDuty 會管理附屬容器中安全代理程式的部署。
-
選擇 Save (儲存)。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for selective (inclusion-only) Amazon ECS clusters (cluster
level)
-
無論您選擇如何啟用執行期監控,下列步驟都可協助您監控組織中所有成員帳戶的選擇性 Amazon ECS Fargate 任務。
-
請勿在自動客服人員組態區段中啟用任何組態。保持執行期監控組態與您在上一個步驟中選取的組態相同。
-
選擇 Save (儲存)。
-
防止修改這些標籤,但受信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
為 Amazon ECS叢集使用包含標籤時,您不需要明確啟用GuardDuty 代理程式自動管理。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
為現有的作用中成員帳戶啟用自動代理程式組態
- Manage for all Amazon ECS clusters (account level)
-
-
在執行期監控頁面的組態索引標籤下,您可以檢視自動化代理程式組態的目前狀態。
-
在自動客服人員組態窗格中,在作用中成員帳戶區段下,選擇動作。
-
從動作中選擇為所有現有作用中成員帳戶啟用。
-
選擇確認。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
將標籤新增至此 Amazon ECS叢集,金鑰值對為 GuardDutyManaged-false。
-
防止修改標籤,信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。
-
在導覽窗格中,選擇執行期監控。
-
在為您的帳戶啟用自動代理程式組態之前,請務必將排除標籤新增至您的 Amazon ECS叢集;否則 GuardDuty 附屬容器會連接至啟動的 Amazon ECS任務中的所有容器。
在組態索引標籤下方的自動客服人員組態區段中,在作用中成員帳戶下,選擇動作。
-
從動作中選擇為所有作用中成員帳戶啟用。
對於尚未排除的 Amazon ECS叢集, GuardDuty 會管理附屬容器中安全代理程式的部署。
-
選擇確認。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
將標籤新增至您要包含所有任務的 Amazon ECS叢集。鍵/值對必須是 GuardDutyManaged-true。
-
防止修改這些標籤,但受信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
為您的 Amazon ECS叢集使用包含標籤時,您不需要明確啟用自動代理程式組態。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
為新成員自動啟用自動代理程式組態
- Manage for all Amazon ECS clusters (account level)
-
-
在執行期監控頁面上,選擇編輯以更新現有組態。
-
在自動代理程式組態區段中,選取自動啟用新成員帳戶。
-
選擇 Save (儲存)。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
將標籤新增至此 Amazon ECS叢集,金鑰值對為 GuardDutyManaged-false。
-
防止修改標籤,信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。
-
在導覽窗格中,選擇執行期監控。
-
在為您的帳戶啟用自動代理程式組態之前,請務必將排除標籤新增至您的 Amazon ECS叢集;否則 GuardDuty 附屬容器會連接至啟動的 Amazon ECS任務中的所有容器。
在組態索引標籤下,選取自動化代理程式組態區段中的自動啟用新成員帳戶。
對於尚未排除的 Amazon ECS叢集, GuardDuty 會管理附屬容器中安全代理程式的部署。
-
選擇 Save (儲存)。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
將標籤新增至您要包含所有任務的 Amazon ECS叢集。鍵/值對必須是 GuardDutyManaged-true。
-
防止修改這些標籤,但受信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
為您的 Amazon ECS叢集使用包含標籤時,您不需要明確啟用自動代理程式組態。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
選擇性地為作用中的成員帳戶啟用自動代理程式組態
- Manage for all Amazon ECS (account level)
-
-
在帳戶頁面上,選取您要為其啟用執行期監控自動代理程式組態的帳戶 (ECS-Fargate)。您可以選取多個帳戶。請確定您在此步驟中選取的帳戶已啟用執行期監控。
-
從編輯保護計劃中,選擇適當的選項以啟用執行期監控自動化代理程式組態 (ECS-Fargate)。
-
選擇確認。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
將標籤新增至此 Amazon ECS叢集,金鑰值對為 GuardDutyManaged-false。
-
防止修改標籤,信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。
-
在導覽窗格中,選擇執行期監控。
-
在為您的帳戶啟用 GuardDuty 代理程式自動管理之前,請務必將排除標籤新增至您的 Amazon ECS叢集;否則 GuardDuty 附屬容器會連接至啟動的 Amazon ECS任務中的所有容器。
在帳戶頁面上,選取您要為其啟用執行期監控自動代理程式組態的帳戶 (ECS-Fargate)。您可以選取多個帳戶。請確定您在此步驟中選取的帳戶已啟用執行期監控。
對於尚未排除的 Amazon ECS叢集, GuardDuty 將管理附屬容器中安全代理程式的部署。
-
從編輯保護計劃中,選擇適當的選項以啟用執行期監控自動代理程式組態 (ECS-Fargate)。
-
選擇 Save (儲存)。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
請確定您未為具有您要監控之 Amazon ECS叢集的所選帳戶啟用自動代理程式組態 (或執行期監控自動代理程式組態 (ECS-Fargate))。
-
將標籤新增至您要包含所有任務的 Amazon ECS叢集。鍵/值對必須是 GuardDutyManaged-true。
-
防止修改這些標籤,但受信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
為您的 Amazon ECS叢集使用包含標籤時,您不需要明確啟用自動代理程式組態。
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
登入 AWS Management Console 並在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。
-
在導覽窗格中,選擇執行期監控。
-
在組態索引標籤下:
-
管理所有 Amazon ECS叢集的自動化代理程式組態 (帳戶層級)
在 AWS Fargate (ECS僅限 ) 的自動客服人員組態區段中選擇啟用。當新的 Fargate Amazon ECS任務啟動時, GuardDuty 會管理安全代理程式的部署。
-
選擇 Save (儲存)。
-
排除部分 Amazon ECS叢集 (叢集層級) 來管理自動化代理程式組態
-
將標籤新增至您要排除所有任務的 Amazon ECS叢集。鍵/值對必須是 GuardDutyManaged-false。
-
防止修改這些標籤,但受信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
在組態索引標籤下,選擇自動客服人員組態區段中的啟用。
在為您的帳戶啟用 GuardDuty 代理程式自動管理之前,請務必將排除標籤新增至您的 Amazon ECS叢集;否則,安全代理程式會部署在對應的 Amazon ECS叢集內啟動的所有任務中。
對於尚未排除的 Amazon ECS叢集, GuardDuty 將管理附屬容器中安全代理程式的部署。
-
選擇 Save (儲存)。
-
包含一些 Amazon ECS叢集 (叢集層級) 來管理自動化代理程式組態
-
將標籤新增至您要包含所有任務的 Amazon ECS叢集。鍵/值對必須是 GuardDutyManaged-true。
-
防止修改這些標籤,但受信任實體除外。除了 AWS Organizations 使用者指南中的授權原則之外,禁止修改標籤中提供的政策已修改為適用於此處。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
當您 GuardDuty 想要監控屬於 服務的任務時,它需要在啟用執行期監控之後進行新的服務部署。如果在啟用執行期監控之前已啟動特定ECS服務的最後一個部署,您可以重新啟動服務,或使用 更新服務forceNewDeployment。
如需更新服務的步驟,請參閱下列資源:
