Activation de la surveillance d’exécution pour Amazon ECS

Vous pouvez configurer GuardDuty pour gérer automatiquement l'agent de sécurité pour tous vos clusters Fargate.

Conditions préalables

Les conditions préalables suivantes doivent être remplies pour pouvoir utiliser la surveillance d’exécution :

La version de plateforme Fargate doit être 1.4.0 ou ultérieure pour Linux.
Rôles et autorisations IAM pour Amazon ECS :
- Les tâches Fargate doivent utiliser un rôle d’exécution de tâche. Ce rôle autorise les tâches à récupérer, mettre à jour et gérer l'agent GuardDuty de sécurité en votre nom. Pour de plus amples informations, veuillez consulter Rôle IAM d'exécution de tâche Amazon ECS.
- Vous contrôlez la surveillance d’exécution pour un cluster à l’aide d’une balise prédéfinie. Si vos politiques d’accès limitent l’accès en fonction de balises, vous devez accorder des autorisations explicites à vos utilisateurs IAM pour étiqueter les clusters. Pour plus d'informations, consultez le didacticiel IAM : Définissez les autorisations d'accès aux AWS ressources en fonction des balises du guide de l'utilisateur IAM.
Connexion au référentiel Amazon ECR :

L'agent GuardDuty de sécurité est stocké dans un référentiel Amazon ECR. Chaque tâche autonome ou tâche de service doit avoir un accès au référentiel. Vous pouvez utiliser l'une des options suivantes :
- Pour les tâches dans les sous-réseaux publics, vous pouvez soit utiliser une adresse IP publique pour la tâche, soit créer un point de terminaison de VPC pour Amazon ECR dans le sous-réseau sur lequel la tâche s’exécute. Pour plus d'informations, consultez Points de terminaison d'un VPC d'interface Amazon ECR (AWS PrivateLink) dans le Guide de l'utilisateur Amazon Elastic Container Registry.
- Pour les tâches dans des sous-réseaux privés, vous pouvez utiliser une passerelle de traduction d’adresses réseau (NAT) ou créer un point de terminaison de VPC pour Amazon ECR dans le sous-réseau sur lequel la tâche s’exécute.
  
  Pour plus d’informations, consultez la section Sous-réseau privé et passerelle NAT.
Vous devez avoir le AWSServiceRoleForAmazonGuardDuty rôle pour GuardDuty. Pour plus d'informations, consultez les autorisations relatives aux Service-linked rôles GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.
Tous les fichiers que vous souhaitez protéger avec la surveillance d’exécution doivent être accessibles par l’utilisateur racine. Si vous avez modifié manuellement les autorisations d’un fichier, vous devez le définir sur 755.

Les conditions préalables suivantes doivent être remplies pour utiliser la surveillance d’exécution sur les instances de conteneur EC2 :

Vous devez utiliser la version 20230929 ou une version ultérieure d'Amazon ECS-AMI.
Vous devez exécuter l’agent Amazon ECS version 1.77 ou ultérieure sur les instances de conteneur.
Vous devez utiliser la version du noyau 5.10 ou une version ultérieure.
Pour plus d'informations sur les systèmes d'exploitation et les architectures Linux pris en charge, consultez la section Quels sont les modèles d'exploitation et les charges de travail pris en charge par GuardDuty Runtime Monitoring.
Vous pouvez utiliser Systems Manager pour gérer vos instances de conteneur. Pour plus d’informations, consultez la section Configuration de Systems Manager pour des instances EC2 dans le Guide de l’utilisateur AWS Systems Manager Session Manager .

Procédure

Vous activez la surveillance du temps d'exécution dans GuardDuty. Pour plus d'informations sur l'activation de cette fonctionnalité, consultez la section Enabling Runtime Monitoring dans le guide de GuardDuty l'utilisateur Amazon.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance d’exécution pour les charges de travail Fargate

Ajout de la surveillance d’exécution aux tâches Fargate existantes