Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Considérations relatives à la sécurité des instances de conteneur Amazon EC2 pour Amazon ECS
Vous devez envisager une instance de conteneur unique et son accès dans le cadre de votre modèle de menace. Par exemple, une seule tâche affectée peut être en mesure de tirer parti des autorisations IAM d'une tâche non infectée sur la même instance.
Nous vous recommandons d'utiliser la procédure suivante pour empêcher cela :
-
N'utilisez pas les privilèges d'administrateur lors de l'exécution de vos tâches.
-
Attribuez un rôle de tâche avec un accès de moindre privilège à vos tâches.
L'agent de conteneur crée automatiquement un jeton avec un ID d'informations d'identification unique qui est utilisé pour accéder aux ressources Amazon ECS.
-
Pour empêcher les conteneurs exécutés par des tâches utilisant le mode réseau
awsvpcd'accéder aux informations d'identification fournies par le profil d'instance Amazon EC2, tout en accordant les autorisations fournies par le rôle de la tâche, définissez la variable de configuration d'agentECS_AWSVPC_BLOCK_IMDSsur true dans le fichier de configuration de l'agent et redémarrez l'agent. -
Utilisez Amazon GuardDuty Runtime Monitoring pour détecter les menaces visant les clusters et les conteneurs au sein de votre AWS environnement. La surveillance du temps d'exécution utilise un agent de GuardDuty sécurité qui augmente la visibilité de l'exécution sur les charges de travail Amazon ECS individuelles, par exemple l'accès aux fichiers, l'exécution des processus et les connexions réseau. Pour plus d'informations, consultez la section Surveillance du temps GuardDuty d'exécution dans le guide de GuardDuty l'utilisateur.
