Considérations relatives à la sécurité des instances de EC2 conteneur Amazon pour Amazon ECS - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à la sécurité des instances de EC2 conteneur Amazon pour Amazon ECS

Vous devez envisager une instance de conteneur unique et son accès dans le cadre de votre modèle de menace. Par exemple, une seule tâche affectée peut être en mesure de tirer parti des autorisations IAM d'une tâche non infectée sur la même instance.

Nous vous recommandons d'utiliser la procédure suivante pour empêcher cela :

  • N'utilisez pas les privilèges d'administrateur lors de l'exécution de vos tâches.

  • Attribuez un rôle de tâche avec un accès de moindre privilège à vos tâches.

    L'agent de conteneur crée automatiquement un jeton avec un ID d'informations d'identification unique qui est utilisé pour accéder aux ressources Amazon ECS.

  • Pour empêcher les conteneurs exécutés par des tâches utilisant le mode awsvpc réseau d'accéder aux informations d'identification fournies au profil d' EC2 instance Amazon, tout en autorisant les autorisations fournies par le rôle de tâche, définissez la variable de configuration de l'ECS_AWSVPC_BLOCK_IMDSagent sur true dans le fichier de configuration de l'agent et redémarrez l'agent.

  • Utilisez Amazon GuardDuty Runtime Monitoring pour détecter les menaces visant les clusters et les conteneurs au sein de votre AWS environnement. La surveillance du temps d'exécution utilise un agent de GuardDuty sécurité qui ajoute de la visibilité sur les charges de travail Amazon ECS individuelles, par exemple l'accès aux fichiers, l'exécution des processus et les connexions réseau. Pour plus d'informations, consultez la section Surveillance du temps GuardDuty d'exécution dans le guide de GuardDuty l'utilisateur.