Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola agen keamanan otomatis untuk Fargate (hanya Amazon ECS)
Runtime Monitoring mendukung pengelolaan agen keamanan untuk cluster Amazon ECS (AWS Fargate) Anda hanya melalui. GuardDuty Tidak ada dukungan untuk mengelola agen keamanan secara manual di cluster Amazon ECS.
Sebelum melanjutkan dengan langkah-langkah di bagian ini, pastikan untuk mengikutiPrasyarat untuk dukungan (khusus AWS Fargate Amazon ECS).
BerdasarkanPendekatan untuk mengelola agen GuardDuty keamanan di sumber daya Amazon ECS-Fargate, pilih metode yang disukai untuk mengaktifkan agen GuardDuty otomatis untuk sumber daya Anda.
Dalam lingkungan beberapa akun, hanya akun GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan konfigurasi agen otomatis untuk akun anggota, dan mengelola konfigurasi agen otomatis untuk klaster Amazon ECS milik akun anggota di organisasinya. Akun GuardDuty anggota tidak dapat mengubah konfigurasi ini. Akun GuardDuty administrator yang didelegasikan mengelola akun anggota mereka menggunakan AWS Organizations. Untuk informasi selengkapnya tentang lingkungan multi-akun, lihat Mengelola beberapa akun di GuardDuty.
Mengaktifkan konfigurasi agen otomatis untuk akun administrator yang didelegasikan GuardDuty
- Manage for all Amazon ECS clusters (account level)
-
Jika Anda memilih Aktifkan untuk semua akun untuk Runtime Monitoring, maka Anda memiliki opsi berikut:
-
Pilih Aktifkan untuk semua akun di bagian Konfigurasi agen otomatis. GuardDuty akan menyebarkan dan mengelola agen keamanan untuk semua tugas Amazon ECS yang diluncurkan.
-
Pilih Konfigurasikan akun secara manual.
Jika Anda memilih Konfigurasi akun secara manual di bagian Runtime Monitoring, lakukan hal berikut:
-
Pilih Konfigurasi akun secara manual di bagian Konfigurasi agen otomatis.
-
Pilih Aktifkan di bagian akun GuardDuty administrator yang didelegasikan (akun ini).
Pilih Simpan.
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. GuardDutyManaged false
-
Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
-
Di panel navigasi, pilih Runtime Monitoring.
-
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Di bawah tab Konfigurasi, pilih Aktifkan dalam konfigurasi agen otomatis.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
-
Pilih Simpan.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus GuardDutyManaged -. true
-
Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan GuardDuty agen melalui kongifurasi agen otomatis secara eksplisit.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
Aktifkan otomatis untuk semua akun anggota
- Manage for all Amazon ECS clusters (account level)
-
Langkah-langkah berikut mengasumsikan bahwa Anda memilih Aktifkan untuk semua akun di bagian Runtime Monitoring.
-
Pilih Aktifkan untuk semua akun di bagian Konfigurasi agen otomatis. GuardDuty akan menyebarkan dan mengelola agen keamanan untuk semua tugas Amazon ECS yang diluncurkan.
-
Pilih Simpan.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. GuardDutyManaged false
-
Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
-
Di panel navigasi, pilih Runtime Monitoring.
-
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Di bawah tab Konfigurasi, pilih Edit.
-
Pilih Aktifkan untuk semua akun di bagian Konfigurasi agen otomatis
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
-
Pilih Simpan.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for selective (inclusion-only) Amazon ECS clusters (cluster
level)
-
Terlepas dari cara Anda memilih untuk mengaktifkan Runtime Monitoring, langkah-langkah berikut akan membantu Anda memantau tugas Amazon ECS Fargate selektif untuk semua akun anggota di organisasi Anda.
-
Jangan aktifkan konfigurasi apa pun di bagian Konfigurasi agen otomatis. Pertahankan konfigurasi Runtime Monitoring sama seperti yang Anda pilih pada langkah sebelumnya.
-
Pilih Simpan.
-
Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan manajemen otomatis GuardDuty agen secara eksplisit.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
Mengaktifkan konfigurasi agen otomatis untuk akun anggota aktif yang ada
- Manage for all Amazon ECS clusters (account level)
-
-
Pada halaman Runtime Monitoring, di bawah tab Konfigurasi, Anda dapat melihat status konfigurasi agen Otomatis saat ini.
-
Dalam panel konfigurasi agen otomatis, di bawah bagian Akun anggota aktif, pilih Tindakan.
-
Dari Tindakan, pilih Aktifkan untuk semua akun anggota aktif yang ada.
-
Pilih Konfirmasi.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. GuardDutyManaged false
-
Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
-
Di panel navigasi, pilih Runtime Monitoring.
-
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Di bawah tab Konfigurasi, di bagian Konfigurasi agen otomatis, di bawah Akun anggota aktif, pilih Tindakan.
-
Dari Tindakan, pilih Aktifkan untuk semua akun anggota aktif.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
-
Pilih Konfirmasi.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus GuardDutyManaged -. true
-
Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan konfigurasi agen otomatis secara eksplisit.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
Aktifkan otomatis konfigurasi agen otomatis untuk anggota baru
- Manage for all Amazon ECS clusters (account level)
-
-
Pada halaman Runtime Monitoring, pilih Edit untuk memperbarui konfigurasi yang ada.
-
Di bagian Konfigurasi agen otomatis, pilih Aktifkan secara otomatis untuk akun anggota baru.
-
Pilih Simpan.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. GuardDutyManaged false
-
Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
-
Di panel navigasi, pilih Runtime Monitoring.
-
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Di bawah tab Konfigurasi, pilih Aktifkan secara otomatis untuk akun anggota baru di bagian Konfigurasi agen otomatis.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
-
Pilih Simpan.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus GuardDutyManaged -. true
-
Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan konfigurasi agen otomatis secara eksplisit.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
Mengaktifkan konfigurasi agen otomatis untuk akun anggota aktif secara selektif
- Manage for all Amazon ECS (account level)
-
-
Pada halaman Akun, pilih akun yang ingin Anda aktifkan konfigurasi agen Runtime Monitoring-Automated agent (ECS-Fargate). Anda dapat memilih beberapa akun. Pastikan akun yang Anda pilih pada langkah ini sudah diaktifkan dengan Runtime Monitoring.
-
Dari Edit paket perlindungan, pilih opsi yang sesuai untuk mengaktifkan konfigurasi agen Runtime Monitoring-Automated agent (ECS-Fargate).
-
Pilih Konfirmasi.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. GuardDutyManaged false
-
Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
-
Di panel navigasi, pilih Runtime Monitoring.
-
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan manajemen otomatis GuardDuty agen untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Pada halaman Akun, pilih akun yang ingin Anda aktifkan konfigurasi agen Runtime Monitoring-Automated agent (ECS-Fargate). Anda dapat memilih beberapa akun. Pastikan akun yang Anda pilih pada langkah ini sudah diaktifkan dengan Runtime Monitoring.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
-
Dari Edit paket perlindungan, pilih opsi yang sesuai untuk mengaktifkan konfigurasi agen Runtime Monitoring-Automated agent (ECS-Fargate).
-
Pilih Simpan.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
Pastikan Anda tidak mengaktifkan konfigurasi agen Otomatis (atau konfigurasi agen Runtime Monitoring-Automated agent (ECS-Fargate)) untuk akun terpilih yang memiliki cluster Amazon ECS yang ingin Anda pantau.
-
Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus GuardDutyManaged -. true
-
Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan konfigurasi agen otomatis secara eksplisit.
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
-
Di panel navigasi, pilih Runtime Monitoring.
-
Di bawah tab Konfigurasi:
-
Untuk mengelola konfigurasi agen otomatis untuk semua klaster Amazon ECS (tingkat akun)
Pilih Aktifkan di bagian Konfigurasi agen otomatis untuk AWS Fargate (khusus ECS). Ketika tugas Fargate Amazon ECS baru diluncurkan, GuardDuty akan mengelola penyebaran agen keamanan.
-
Pilih Simpan.
-
Untuk mengelola konfigurasi agen otomatis dengan mengecualikan beberapa cluster Amazon ECS (tingkat cluster)
-
Tambahkan tag ke cluster Amazon ECS yang ingin Anda kecualikan semua tugasnya. Pasangan kunci-nilai harus GuardDutyManaged -. false
-
Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
Di bawah tab Konfigurasi, pilih Aktifkan di bagian Konfigurasi agen otomatis.
Selalu tambahkan tag pengecualian ke cluster Amazon ECS Anda sebelum mengaktifkan manajemen otomatis GuardDuty agen untuk akun Anda; jika tidak, agen keamanan akan digunakan di semua tugas yang diluncurkan dalam cluster Amazon ECS yang sesuai.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
-
Pilih Simpan.
-
Untuk mengelola konfigurasi agen otomatis dengan menyertakan beberapa cluster Amazon ECS (tingkat cluster)
-
Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus GuardDutyManaged -. true
-
Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam Mencegah tag diubah kecuali oleh prinsip-prinsip resmi dalam Panduan AWS Organizations Pengguna telah dimodifikasi agar dapat diterapkan di sini.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. forceNewDeployment
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
