本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Fargate (ECS僅限 Amazon) 支援的先決條件
本節包含監控 Fargate-Amazon ECS 資源執行時間行為的先決條件。符合這些先決條件後,請參閱 啟用 GuardDuty 執行期監控。
驗證架構需求
您使用的平台可能會影響 GuardDuty 安全代理程式在從 Amazon ECS叢集接收執行期事件 GuardDuty 時支援的方式。您必須確認您使用的是經過驗證的平台之一。
- 初始考量:
-
Amazon ECS叢集的 AWS Fargate 平台必須是 Linux。對應的平台版本必須至少為
1.4.0、 或LATEST。如需平台版本的詳細資訊,請參閱《Amazon Elastic Container Service 開發人員指南》中的 Linux 平台版本。尚不支援 Windows 平台版本。
已驗證的平台
作業系統分佈和CPU架構會影響安全代理程式提供的 GuardDuty支援。下表顯示部署安全代理程式和設定執行期監控的 GuardDuty已驗證組態。
| 作業系統發行版本1 | 核心支援 | CPU 架構 | |
|---|---|---|---|
| x64 (AMD64) | Graviton (ARM64) | ||
| Linux | eBPF、Tracepoints、Kprobe | 支援 | 支援 |
1支援各種作業系統 - GuardDuty 已驗證支援在上表所列的作業系統上使用執行期監控。如果您使用不同的作業系統,且能夠成功安裝安全代理程式,則可能會取得 GuardDuty 所有已驗證的預期安全值,以便提供列出的作業系統分佈。
提供ECR許可和子網路詳細資訊
啟用執行期監控之前,您必須提供下列詳細資訊:
- 為任務執行角色提供許可
-
任務執行角色需要您擁有特定 Amazon Elastic Container Registry (Amazon ECR) 許可。您可以使用 A mazonECSTaskExecutionRolePolicy受管政策,或將下列許可新增至
TaskExecutionRole政策:... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...若要進一步限制 Amazon ECR許可,您可以新增URI託管 AWS Fargate (ECS僅限 Amazon) GuardDuty 安全代理程式的 Amazon ECR儲存庫。如需詳細資訊,請參閱上的 GuardDuty AWS Fargate 代理程式儲存庫 (ECS僅限 Amazon)。
- 在任務定義中提供子網路詳細資訊
-
您可以提供公有子網路做為任務定義中的輸入,或建立 Amazon ECRVPC端點。
-
使用任務定義選項 – 在 Amazon Elastic Container Service API參考UpdateServiceAPIs中執行 CreateService和 需要您傳遞子網路資訊。如需詳細資訊,請參閱《Amazon Elastic Container Service 開發人員指南》中的 Amazon ECS任務定義。
-
使用 Amazon ECRVPC端點選項 – 提供 Amazon 的網路路徑 ECR - 確保URI託管 GuardDuty 安全代理程式的 Amazon ECR儲存庫可存取網路。如果您的 Fargate 任務將在私有子網路中執行,則 Fargate 將需要網路路徑來下載 GuardDuty 容器。
如需有關啟用 Fargate 下載 GuardDuty 容器的資訊,請參閱《Amazon Elastic Container Registry 使用者指南》中的將 Amazon ECR映像與 Amazon 搭配使用ECS。
-
驗證您的組織服務控制政策
需要此步驟 GuardDuty ,才能支援執行期監控並評估不同資源類型的涵蓋範圍。
如果您已設定服務控制政策 (SCP) 來管理組織中的許可,請驗證許可界限並未guardduty:SendSecurityTelemetry限制您的 TaskExecutionRole 及其政策。
下列政策是允許guardduty:SendSecurityTelemetry政策的範例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ..., ..., "guardduty:SendSecurityTelemetry" ], "Resource": "*" } ] }
-
使用下列步驟來驗證許可界限是否限制
guardduty:SendSecurityTelemetry:登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格中的存取管理下,選擇角色。
-
選擇詳細資訊頁面的角色名稱。
-
展開許可界限區段。確保
guardduty:SendSecurityTelemetry未被拒絕或限制。
-
使用下列步驟來驗證
TaskExecutionRole政策的許可界限不會限制guardduty:SendSecurityTelemetry:登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格中的存取管理下,選擇政策。
-
選擇詳細資訊頁面的政策名稱。
-
在已連接實體索引標籤下,檢視已連接為許可界限區段。確保
guardduty:SendSecurityTelemetry不被拒絕或受到限制。
如需政策和許可的相關資訊,請參閱IAM《 使用者指南》中的許可界限。
如果您是 成員帳戶,請與相關聯的委派管理員連線。如需有關SCPs管理組織的資訊,請參閱服務控制政策 (SCPs)。
CPU 和記憶體限制
在 Fargate 任務定義中,您必須在任務層級指定 CPU和 記憶體值。下表顯示任務層級CPU和記憶體值的有效組合,以及 GuardDuty 容器對應的 GuardDuty 安全代理程式最大記憶體限制。
| CPU 值 | 記憶體數值 | GuardDuty 代理程式記憶體上限 |
|---|---|---|
256 (.25 vCPU) |
512 MiB、1 GB、2GB |
128 MB |
512 (.5 vCPU) |
1 GB、2 GB、3 GB、4 GB |
|
1024 (1 vCPU) |
2 GB、3 GB、4 GB |
|
5 GB、6 GB、7 GB、8 GB |
||
2048 (2 vCPU) |
介於 4 GB 與 16 GB 之間,以 1 GB 為單位遞增 |
|
4096 (4 vCPU) |
介於 8 GB 到 20 GB 之間,以 1 GB 為增量單位 |
|
8192 (8 vCPU) |
介於 16 GB 到 28 GB 之間,以 4 GB 為增量單位 |
256 MB |
介於 32 GB 到 60 GB 之間,以 4 GB 為增量單位 |
512 MB |
|
16384 (16 vCPU) |
介於 32 GB 與 120 GB 之間,以 8 GB 為單位遞增 |
1 GB |
在您啟用執行期監控並評估叢集的涵蓋狀態為良好之後,您可以設定和檢視容器洞見指標。如需更多詳細資訊,在 Amazon ECS叢集上設定監控。
下一個步驟是設定執行期監控,以及設定安全代理程式。
