Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Runtime Monitoring für Amazon ECS einschalten
Sie können so konfigurieren GuardDuty , dass der Security Agent für alle Ihre Fargate-Cluster automatisch verwaltet wird.
Voraussetzungen
Im Folgenden sind die Voraussetzungen für die Verwendung von Runtime Monitoring aufgeführt:
-
Die Fargate-Plattformversion für Linux muss
1.4.0oder höher sein. IAM-Rollen und -Berechtigungen für Amazon ECS:
-
Fargate-Aufgaben müssen eine Rolle zur Aufgabenausführung verwenden. Diese Rolle erteilt den Aufgaben die Berechtigung, den GuardDuty Security Agent in Ihrem Namen abzurufen, zu aktualisieren und zu verwalten. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.
-
Sie steuern Runtime Monitoring für einen Cluster mit einem vordefinierten Tag. Wenn Ihre Zugriffsrichtlinien den Zugriff anhand von Tags einschränken, müssen Sie Ihren IAM-Benutzern explizite Berechtigungen zum Markieren von Clustern gewähren. Weitere Informationen finden Sie im IAM-Tutorial: Definieren von Berechtigungen für den Zugriff auf AWS Ressourcen anhand von Tags im IAM-Benutzerhandbuch.
-
-
Herstellen einer Verbindung mit dem Amazon-ECR-Repository:
Der GuardDuty Security Agent ist in einem Amazon ECR-Repository gespeichert. Jede eigenständige Aufgabe und Serviceaufgabe benötigt Zugriff auf das Repository. Verwenden Sie eine der folgenden Optionen:
-
Für Aufgaben in öffentlichen Subnetzen können Sie entweder eine öffentliche IP-Adresse für die Aufgabe verwenden oder einen VPC-Endpunkt für Amazon ECR in dem Subnetz erstellen, in dem die Aufgabe ausgeführt wird. Weitere Informationen finden Sie unter Amazon ECR-Schnittstellen VPC-Endpunkte (AWS PrivateLink) im Amazon Elastic Container-Registry-Benutzerhandbuch.
Für Aufgaben in privaten Subnetzen können Sie ein Network Address Translation (NAT)-Gateway verwenden oder einen VPC-Endpunkt für Amazon ECR in dem Subnetz erstellen, in dem die Aufgabe ausgeführt wird.
Weitere Informationen finden Sie unter Privates Subnetz und NAT-Gateway.
-
Sie müssen die
AWSServiceRoleForAmazonGuardDutyRolle für GuardDuty haben. Weitere Informationen finden Sie unter Service-linked Rollenberechtigungen für GuardDuty im GuardDutyAmazon-Benutzerhandbuch.-
Alle Dateien, die Sie mit Runtime Monitoring schützen möchten, müssen für den Root-Benutzer zugänglich sein. Wenn Sie die Berechtigungen einer Datei manuell geändert haben, müssen Sie sie auf
755setzen.
Nachfolgend finden Sie die Voraussetzungen für die Verwendung von Runtime Monitoring auf EC2-Container-Instances:
-
Sie müssen Version
20230929oder höher von Amazon verwenden ECS-AMI. -
Sie müssen den Amazon-ECS-Agent Version
1.77oder höher auf den Container-Instances ausführen. -
Sie müssen die Kernel-Version
5.10oder höher verwenden. -
Informationen zu den unterstützten Linux-Betriebssystemen und Architekturen finden Sie unter Welche Betriebsmodelle und Workloads unterstützt GuardDuty Runtime Monitoring
. -
Mit Systems Manager können Sie Ihre Container-Instances verwalten. Weitere Informationen finden Sie unter Einrichtung von Systems Manager für EC2-Instances im AWS Systems Manager Session Manager -Benutzerhandbuch.
Verfahren
Sie aktivieren Runtime Monitoring in. GuardDuty Informationen zur Aktivierung der Funktion finden Sie unter Enabling Runtime Monitoring im GuardDuty Amazon-Benutzerhandbuch.
