翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Fargate (Amazon ECS のみ) サポートの前提条件
このセクションでは、Fargate-Amazon ECS リソースのランタイム動作をモニタリングするための前提条件について説明します。これらの前提条件が満たされた後、「GuardDuty Runtime Monitoring の有効化」を参照してください。
トピック
アーキテクチャ要件の検証
使用するプラットフォームは、Amazon ECS クラスターからランタイムイベントを受信する際に GuardDuty セキュリティエージェントが GuardDuty をサポートする方法に影響を与える可能性があります。検証済みのプラットフォームのいずれかを使用していることを検証する必要があります。
- 最初の検討事項:
-
Amazon ECS クラスターの AWS Fargate プラットフォームは Linux である必要があります。対応するプラットフォームバージョンは少なくとも
1.4.0またはLATESTである必要があります。有効なプラットフォームバージョンの詳細については、「Amazon Elastic Container Service デベロッパーガイド」の「Linux プラットフォームのバージョン」を参照してください。Windows プラットフォームバージョンはまだサポートされていません。
検証済みプラットフォーム
OS ディストリビューションと CPU アーキテクチャは、GuardDuty セキュリティエージェントが提供するサポートに影響します。次の表は、GuardDuty セキュリティエージェントをデプロイし、Runtime Monitoring を設定するための検証済み設定を示しています。
| OS ディストリビューション1 | カーネルサポート | CPU アーキテクチャ x64 (AMD64) | CPU アーキテクチャ Graviton (ARM64) |
|---|---|---|---|
| Linux | eBPF、Tracepoints、Kprobe | サポート対象 | サポート |
1 さまざまなオペレーティングシステムのサポート - GuardDuty は、前の表に記載されているオペレーティングシステムでの Runtime Monitoring のサポートを検証しました。GuardDuty セキュリティエージェントは、前の表に記載されていないオペレーティングシステムでも実行できますが、GuardDuty チームは予想されるセキュリティ値を保証できません。
コンテナイメージアクセスの前提条件
以下の前提条件は、Amazon ECR リポジトリから GuardDuty サイドカーコンテナイメージにアクセスするのに役立ちます。
アクセス許可の要件
タスク実行ロールには、GuardDuty セキュリティエージェントコンテナイメージをダウンロードするための特定の Amazon Elastic Container Registry (Amazon ECR) アクセス許可が必要です。
... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...
Amazon ECR アクセス許可をさらに制限するには、GuardDuty セキュリティエージェントをホストする Amazon ECR リポジトリ URI を追加します AWS Fargate (Amazon ECS のみ)。詳細については、「Amazon ECR リポジトリホスティング GuardDuty エージェント」を参照してください。
AmazonECSTaskExecutionRolePolicy マネージドポリシーを使用するか、TaskExecutionRole ポリシーに上記のアクセス許可を追加できます。
タスク定義の設定
Amazon ECS サービスを作成または更新する際には、タスク定義でサブネット情報を提供する必要があります。
「Amazon Elastic Container Service API リファレンス] の [CreateService] API と [UpdateService] API を実行するには、サブネット情報を渡す必要があります。詳細については、「Amazon Elastic Container Service デベロッパーガイド」の「Amazon ECS のタスク定義」を参照してください。
ネットワーク接続要件
Amazon ECR から GuardDuty コンテナイメージをダウンロードするには、ネットワーク接続を確保する必要があります。この要件は、Amazon ECR を使用してセキュリティエージェントをホストするため、GuardDuty に固有のものです。ネットワーク設定に応じて、以下のいずれかのオプションを実装する必要があります。
- オプション 1 - パブリックネットワークアクセスの使用 (利用可能な場合)
-
Fargate タスクがアウトバウンドインターネットアクセスのあるサブネットで実行されている場合、追加のネットワーク設定は必要ありません。
- オプション 2 - Amazon VPC エンドポイントを使用する (プライベートサブネット用)
-
Fargate タスクがインターネットアクセスできないプライベートサブネットで実行される場合は、GuardDuty セキュリティエージェントをホストする ECR リポジトリ URI がネットワークにアクセスできるようにするために、ECR の VPC エンドポイントを設定する必要があります。これらのエンドポイントがないと、プライベートサブネットのタスクは GuardDuty コンテナイメージをダウンロードできません。
VPC エンドポイントのセットアップ手順については、「Amazon Elastic コンテナレジストリ ユーザーガイド」の 「Amazon ECR 用の VPC エンドポイントを作成する」を参照してください。
Fargate で GuardDuty コンテナをダウンロードできるようにする方法については、「Amazon Elastic Container Registry ユーザーガイド」の「Using Amazon ECR images with Amazon ECS」を参照してください。
セキュリティグループの構成
GuardDuty コンテナイメージは Amazon ECR にあり、Amazon S3 アクセスが必要です。この要件は、Amazon ECR からのコンテナイメージのダウンロードに固有です。ネットワークアクセスが制限されたタスクでは、S3 へのアクセスを許可するようにセキュリティグループを設定する必要があります。
セキュリティグループに、ポート 443 の S3 マネージドプレフィックスリスト (pl-xxxxxxxx) へのトラフィックを許可するアウトバウンドルールを追加します。アウトバウンドルールを追加するには、「Amazon VPC ユーザーガイド」の「セキュリティグループの設定」を参照してください。
AWSマネージドプレフィックスリストをコンソールで表示したり、 AWS Command Line Interface (AWS CLI) を使用して説明したりするには、「Amazon VPC ユーザーガイド」のAWS「 マネージドプレフィックスリスト」を参照してください。
マルチアカウント環境での組織サービスコントロールポリシーの検証
このセクションでは、サービスコントロールポリシー (SCP) の設定を検証して、組織全体で Runtime Monitoring が期待どおりに動作することを確認する方法について説明します。
組織内のアクセス許可を管理するために 1 つ以上のサービスコントロールポリシーを設定している場合は、guardduty:SendSecurityTelemetry アクションを拒否しないことを検証する必要があります。SCP の仕組みについては、「AWS Organizations ユーザーガイド」の「SCP の評価」を参照してください。
メンバーアカウントの場合は、関連する委任管理者に接続します。組織の SCP の管理については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシー(SCP)」を参照してください。
マルチアカウント環境で設定したすべての SCP に対して次の手順を実行します。
SCP で guardduty:SendSecurityTelemetry が否定されていないことを検証するには
-
https://console.aws.amazon.com/organizations/
で Organizations コンソールを開きます。組織の管理アカウントで、IAM ロールとしてサインインするか、ルートユーザーとしてサインインする (推奨されません) 必要があります。 -
左のナビゲーションペインで [ポリシー] を選択します。次に、[サポートされているポリシータイプ] で、[サービスコントロールポリシー] を選択します。
-
[サービスコントロールポリシー] ページで、検証するポリシーの名前を選択します。
-
ポリシーの詳細ページで、このポリシーのコンテンツを表示します。
guardduty:SendSecurityTelemetryアクションを拒否しないことを確認してください。次の SCP ポリシーは、
guardduty:SendSecurityTelemetryアクションを拒否しない例です。ポリシーがこのアクションを拒否する場合は、ポリシーを更新する必要があります。詳細については、「AWS Organizations ユーザーガイド」の「Update a service control policy (SCP)」を参照してください。
ロールのアクセス許可とポリシーのアクセス許可の境界の検証
次のステップを使用して、ロールとそのポリシーに関連付けられたアクセス許可の境界が guardduty:SendSecurityTelemetry アクションを制限しないことを確認します。
ロールとそのポリシーのアクセス許可の境界を表示するには
にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 -
左のナビゲーションペインの [アクセス管理] で、[ロール] を選択します。
-
[ロール] ページで、作成したロール
TaskExecutionRole -
選択したロールのページで、[アクセス許可] タブで、このロールに関連付けられたポリシー名を展開します。次に、このポリシーが
guardduty:SendSecurityTelemetryを制限していないことを確認します。 -
アクセス許可の境界が設定されている場合は、このセクションを展開します。次に、各ポリシーを展開して、
guardduty:SendSecurityTelemetryアクションが制限されていないことを確認します。ポリシーは次の Example SCP policy のようになります。必要に応じて、次のいずれかのアクションを実行します。
-
ポリシーを変更するには、[編集] を選択します。このポリシーの[アクセス許可の変更] ページで、ポリシーエディタでポリシーを更新します。JSON スキーマが有効であることを確認してください。その後、[Next] を選択します。その後、変更を確認して保存することができます。
-
このアクセス許可の境界を変更して別の境界を選択するには、[境界の変更] を選択します。
-
このアクセス許可の境界を削除するには、[境界の削除] を選択します。
IAM ポリシーの管理の詳細については、「IAM ユーザーガイド」の「AWS Identity and Access Managementでのポリシーとアクセス管理」を参照してください。
-
CPU とメモリの制限
Fargate タスク定義では、CPU 値とメモリの値をタスクレベルで指定する必要があります。次の表は、タスクレベルの CPU 値とメモリの値の有効な組み合わせ、および、対応する GuardDuty コンテナの最大メモリ制限を示しています。
| CPU の値 | メモリの値 | GuardDuty エージェントの最大メモリ制限 |
|---|---|---|
256 (.25 vCPU) |
512 MiB、1 GB、2 GB |
128 MB |
512 (.5 vCPU) |
1 GB、2 GB、3 GB、4 GB |
|
1,024 (1 vCPU) |
2 GB、3 GB、4 GB |
|
5 GB、6 GB、7 GB、8 GB |
||
2,048 (2 vCPU) |
4 GB ~ 16 GB (1 GB のインクリメント) |
|
4,096 (4 vCPU) |
8 GB ~ 20 GB (1 GB のインクリメント) |
|
8192 (8 vCPU) |
16 GB~28 GB (4 GB のインクリメント) |
256 MB |
32 GB~60 GB (4 GB のインクリメント) |
512 MB |
|
16384 (16 vCPU) |
32 GB~120 GB (8 GB のインクリメント) |
1 GB |
Runtime Monitoring を有効にして、クラスターのカバレッジステータスが [正常] と評価されると、コンテナインサイトメトリクスを設定および表示できます。詳細については、Amazon ECS クラスターでの監視設定 を参照してください。
次のステップでは、Runtime Monitoring を設定し、セキュリティエージェントも設定します。
