View a markdown version of this page

Attivazione del Monitoraggio del runtime per Amazon ECS - Amazon Elastic Container Service
PrerequisitiProcedura

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attivazione del Monitoraggio del runtime per Amazon ECS

È possibile GuardDuty configurare la gestione automatica del security agent per tutti i cluster Fargate.

Prerequisiti

Di seguito sono indicati i prerequisiti per l'utilizzo di Monitoraggio del runtime:

  • La versione della piattaforma Fargate deve essere 1.4.0 o successive per Linux.

  • Ruoli IAM e autorizzazioni per Amazon ECS:

    • I processi Fargate devono utilizzare un ruolo per l'esecuzione dell'attività. Questo ruolo concede alle attività l'autorizzazione a recuperare, aggiornare e gestire il GuardDuty security agent per tuo conto. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.

    • Puoi controllare il Monitoraggio del runtime per un cluster con un tag predefinito. Se le tue policy di accesso limitano l'accesso in base ai tag, devi concedere autorizzazioni esplicite agli utenti IAM per etichettare i cluster. Per ulteriori informazioni, consulta il tutorial IAM: Definisci le autorizzazioni per accedere alle AWS risorse in base ai tag nella IAM User Guide.

  • Connessione al repository Amazon ECR:

    Il GuardDuty security agent è archiviato in un repository Amazon ECR. Ogni attività autonoma e di servizio deve avere accesso al repository. Puoi utilizzare una delle seguenti opzioni:

    • Per le attività nelle sottoreti pubbliche, puoi utilizzare un indirizzo IP pubblico o creare un endpoint VPC per Amazon ECR nella sottorete in cui viene eseguita l'attività. Per ulteriori informazioni, consulta Endpoint VPC dell'interfaccia Amazon ECR (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.

    • Per le attività in sottoreti private, puoi utilizzare un gateway Network Address Translation (NAT) o creare un endpoint VPC per Amazon ECR nella sottorete in cui viene eseguita l'attività.

      Per ulteriori informazioni, consulta Sottorete privata e gateway NAT.

  • Devi avere il AWSServiceRoleForAmazonGuardDuty ruolo per. GuardDuty Per ulteriori informazioni, consulta la pagina relativa alle autorizzazioni dei ruoli collegati ai servizi GuardDuty nella Amazon GuardDuty User Guide.

  • Tutti i file che desideri proteggere con il Monitoraggio del runtime devono essere accessibili dall'utente root. Se hai modificato manualmente le autorizzazioni di un file, devi impostarlo su 755.

Di seguito sono indicati i prerequisiti per l'utilizzo di Monitoraggio del runtime sulle istanze di container EC2:

  • È necessario utilizzare la versione 20230929 o successive dell'AMI Amazon ECS.

  • È necessario eseguire l'agente Amazon ECS nella versione 1.77 o successive sulle istanze di container.

  • È necessario utilizzare la versione 5.10 o successive.

  • Per informazioni sui sistemi operativi e sulle architetture Linux supportati, consulta Quali modelli operativi e carichi di lavoro supporta Runtime Monitoring. GuardDuty

  • Puoi utilizzare Systems Manager per gestire le istanze di container. Per ulteriori informazioni, consulta Configurazione di Systems Manager per le istanze EC2 nella Guida per l'utente di AWS Systems Manager Session Manager .

Procedura

È possibile abilitare il monitoraggio del runtime in. GuardDuty Per informazioni su come abilitare la funzionalità, consulta Enabling Runtime Monitoring nella Amazon GuardDuty User Guide.