Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione dell'agente di sicurezza automatizzato per Fargate (solo Amazon ECS)
Runtime Monitoring supporta la gestione dell'agente di sicurezza per i cluster Amazon ECS (AWS Fargate) solo tramite. GuardDuty Non è disponibile alcun supporto per la gestione manuale del security agent sui cluster Amazon ECS.
Prima di procedere con i passaggi di questa sezione, assicurati di seguire. Prerequisiti per il AWS Fargate supporto (solo Amazon ECS)
In base aApprocci per gestire gli agenti GuardDuty di sicurezza nelle risorse di Amazon ECS-Fargate, scegli un metodo preferito per abilitare l'agente GuardDuty automatizzato per le tue risorse.
Indice
In un ambiente con più account, solo l'account GuardDuty amministratore delegato può abilitare o disabilitare la configurazione automatica degli agenti per gli account dei membri e gestire la configurazione automatizzata degli agenti per i cluster Amazon ECS che appartengono agli account dei membri della loro organizzazione. Un account GuardDuty membro non può modificare questa configurazione. L'account GuardDuty amministratore delegato gestisce i propri account membro utilizzando AWS Organizations. Per ulteriori informazioni sugli ambienti con più account, vedere Gestione di più account in. GuardDuty
Abilitazione della configurazione automatizzata degli agenti per l'account amministratore delegato GuardDuty
- Manage for all Amazon ECS clusters (account level)
-
Se hai scelto Abilita per tutti gli account per il monitoraggio del runtime, hai le seguenti opzioni:
-
Scegli Abilita per tutti gli account nella sezione Configurazione automatica dell'agente. GuardDuty distribuirà e gestirà l'agente di sicurezza per tutte le attività di Amazon ECS che verranno lanciate.
-
Scegli Configura gli account manualmente.
Se hai scelto Configura gli account manualmente nella sezione Runtime Monitoring, procedi come segue:
-
Scegli Configura gli account manualmente nella sezione Configurazione automatica degli agenti.
-
Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).
Scegli Save (Salva).
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -.
GuardDutyManagedfalse -
Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/
. -
Nel pannello di navigazione, scegli Runtime Monitoring.
-
Nota
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
Nella scheda Configurazione, scegli Abilita nella configurazione automatizzata dell'agente.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
-
Scegli Save (Salva).
-
Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for selective (inclusion only) Amazon ECS clusters (cluster level)
-
-
Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -.
GuardDutyManagedtrue -
Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Nota
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente GuardDuty l'agente tramite la configurazione automatica degli agenti.
-
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
Attivazione automatica per tutti gli account dei membri
- Manage for all Amazon ECS clusters (account level)
-
I passaggi seguenti presuppongono che tu abbia scelto Abilita per tutti gli account nella sezione Runtime Monitoring.
-
Scegli Abilita per tutti gli account nella sezione Configurazione automatica dell'agente. GuardDuty distribuirà e gestirà l'agente di sicurezza per tutte le attività di Amazon ECS che verranno lanciate.
-
Scegli Save (Salva).
-
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -.
GuardDutyManagedfalse -
Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/
. -
Nel pannello di navigazione, scegli Runtime Monitoring.
-
Nota
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
Nella scheda Configurazione, scegli Modifica.
-
Scegli Abilita per tutti gli account nella sezione Configurazione automatica dell'agente
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
-
Scegli Save (Salva).
-
Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for selective (inclusion-only) Amazon ECS clusters (cluster level)
-
Indipendentemente da come scegli di abilitare il Runtime Monitoring, i seguenti passaggi ti aiuteranno a monitorare attività selettive di Amazon ECS Fargate per tutti gli account membri della tua organizzazione.
-
Non abilitare alcuna configurazione nella sezione Configurazione automatica dell'agente. Mantieni la configurazione di Runtime Monitoring uguale a quella selezionata nel passaggio precedente.
-
Scegli Save (Salva).
-
Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Nota
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la gestione automatica degli GuardDuty agenti.
-
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
Abilitazione della configurazione automatica degli agenti per gli account dei membri attivi esistenti
- Manage for all Amazon ECS clusters (account level)
-
-
Nella pagina Runtime Monitoring, nella scheda Configurazione, è possibile visualizzare lo stato corrente della configurazione automatizzata dell'agente.
-
Nel riquadro di configurazione dell'agente automatizzato, nella sezione Account membri attivi, scegli Azioni.
-
Da Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.
-
Scegli Conferma.
-
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -.
GuardDutyManagedfalse -
Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/
. -
Nel pannello di navigazione, scegli Runtime Monitoring.
-
Nota
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
Nella scheda Configurazione, nella sezione Configurazione automatizzata dell'agente, in Account membri attivi, scegli Azioni.
-
Da Operazioni, scegli Abilita per tutti gli account membri attivi.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
-
Scegli Conferma.
-
Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for selective (inclusion only) Amazon ECS clusters (cluster level)
-
-
Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -.
GuardDutyManagedtrue -
Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Nota
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la configurazione degli agenti automatizzati.
-
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
Abilita automaticamente la configurazione automatizzata degli agenti per i nuovi membri
- Manage for all Amazon ECS clusters (account level)
-
-
Nella pagina Runtime Monitoring, scegli Modifica per aggiornare la configurazione esistente.
-
Nella sezione Configurazione automatizzata dell'agente, seleziona Abilita automaticamente per nuovi account membro.
-
Scegli Save (Salva).
-
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -.
GuardDutyManagedfalse -
Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/
. -
Nel pannello di navigazione, scegli Runtime Monitoring.
-
Nota
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
Nella scheda Configurazione, seleziona Abilita automaticamente gli account dei nuovi membri nella sezione Configurazione automatica degli agenti.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
-
Scegli Save (Salva).
-
Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for selective (inclusion only) Amazon ECS clusters (cluster level)
-
-
Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -.
GuardDutyManagedtrue -
Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Nota
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la configurazione degli agenti automatizzati.
-
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
Abilitazione selettiva della configurazione automatizzata degli agenti per gli account dei membri attivi
- Manage for all Amazon ECS (account level)
-
-
Nella pagina Account, selezionare gli account per i quali si desidera abilitare la configurazione dell'agente Runtime Monitoring-Automated (ECS-Fargate). È possibile selezionare più account. Assicurati che gli account selezionati in questo passaggio siano già abilitati con Runtime Monitoring.
-
Da Modifica piani di protezione, scegli l'opzione appropriata per abilitare la configurazione automatica degli agenti di monitoraggio del runtime (ECS-Fargate).
-
Scegli Conferma.
-
Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -.
GuardDutyManagedfalse -
Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/
. -
Nel pannello di navigazione, scegli Runtime Monitoring.
-
Nota
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
Nella pagina Account, selezionare gli account per i quali si desidera abilitare la configurazione dell'agente Runtime Monitoring-Automated (ECS-Fargate). È possibile selezionare più account. Assicurati che gli account selezionati in questo passaggio siano già abilitati con Runtime Monitoring.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
-
Da Modifica piani di protezione, scegli l'opzione appropriata per abilitare la configurazione automatica degli agenti di monitoraggio del runtime (ECS-Fargate).
-
Scegli Save (Salva).
-
Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
- Manage for selective (inclusion only) Amazon ECS clusters (cluster level)
-
-
Assicurati di non abilitare la configurazione automatizzata degli agenti (o la configurazione degli agenti automatizzati di Runtime Monitoring-ECS-Fargate) per gli account selezionati che hanno i cluster Amazon ECS che desideri monitorare.
-
Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -.
GuardDutyManagedtrue -
Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
JSON- JSON
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
Nota
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la configurazione degli agenti automatizzati.
-
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
-
Accedi a AWS Management Console e apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/
-
Nel riquadro di navigazione, scegli Runtime Monitoring.
-
Nella scheda Configurazione:
-
Per gestire la configurazione automatizzata degli agenti per tutti i cluster Amazon ECS (a livello di account)
Scegli Abilita nella sezione Configurazione automatica dell'agente per AWS Fargate (solo ECS). All'avvio di una nuova attività Amazon ECS di Fargate, GuardDuty gestirà l'implementazione del security agent.
-
Scegli Save (Salva).
-
-
Per gestire la configurazione automatizzata degli agenti escludendo alcuni cluster Amazon ECS (a livello di cluster)
-
Aggiungi un tag al cluster Amazon ECS per il quale desideri escludere tutte le attività. La coppia chiave-valore deve essere -.
GuardDutyManagedfalse -
Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
- JSON
-
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
-
Nella scheda Configurazione, scegli Abilita nella sezione Configurazione automatica dell'agente.
Nota
Aggiungi sempre il tag di esclusione al tuo cluster Amazon ECS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, l'agente di sicurezza verrà distribuito in tutte le attività avviate all'interno del cluster Amazon ECS corrispondente.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
-
Scegli Save (Salva).
-
-
Per gestire la configurazione automatizzata degli agenti includendo alcuni cluster Amazon ECS (a livello di cluster)
-
Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -.
GuardDutyManagedtrue -
Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in Impedisci che i tag vengano modificati se non in base ai principi autorizzati nella Guida per l'AWS Organizations utente è stata modificata per essere applicabile qui.
- JSON
-
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:TagResource", "ecs:UntagResource" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
-
-
-
Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando
forceNewDeployment.Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
-
Aggiornamento di un servizio Amazon ECS utilizzando la console nell'Amazon Elastic Container Service Developer Guide.
-
UpdateServicenel riferimento all'API di riferimento di Amazon Elastic Container Service.
-
update-service
nel AWS CLI Command Reference.
-
