

# Amazon ECS에 대한 Runtime Monitoring 켜기
<a name="ecs-guard-duty-configure-automatic-guard-duty"></a>

모든 Fargate 클러스터의 보안 에이전트를 자동으로 관리하도록 GuardDuty를 구성할 수 있습니다.



## 사전 조건
<a name="ecs-guard-duty-configure-automatic-guard-duty-prerequisite"></a>

다음은 Runtime Monitoring 사용을 위한 필수 조건입니다.
+ Fargate 플랫폼 버전은 Linux의경우 `1.4.0` 이상이어야 합니다.
+ Amazon ECS에 대한 IAM 역할 및 권한:
  + Fargate 작업에서는 작업 실행 역할을 사용해야 합니다. 이 역할은 사용자를 대신하여 GuardDuty 보안 에이전트를 검색, 업데이트 및 관리할 권한을 작업에 부여합니다. 자세한 내용은 [Amazon ECS 태스크 실행 IAM 역할](task_execution_IAM_role.md)을 참조하세요.
  + 사전 정의된 태그를 사용하여 클러스터의 Runtime Monitoring을 제어합니다. 액세스 정책이 태그를 기반으로 액세스를 제한하는 경우 IAM 사용자에게 클러스터에 태그를 지정할 수 있는 명시적 권한을 부여해야 합니다. 자세한 내용은 **IAM 사용 설명서의 [IAM 튜토리얼: 태그를 기반으로 AWS 리소스에 액세스할 수 있는 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)를 참조하세요.
+ Amazon ECR 리포지토리에 연결:

  GuardDuty 보안 에이전트는 Amazon ECR 리포지토리에 저장됩니다. 각 독립 실행형 작업 및 서비스 작업에는 리포지토리에 대한 액세스 권한이 있어야 합니다. 다음 옵션 중 하나를 사용할 수 있습니다.
  + 퍼블릭 서브넷에 있는 작업의 경우 작업에 퍼블릭 IP 주소를 사용하거나 작업이 실행되는 서브넷에서 Amazon ECR용 VPC 엔드포인트를 생성할 수 있습니다. 자세한 정보는 *Amazon Elastic Container Registry 사용 설명서*의 [Amazon ECR 인터페이스 VPC 엔드포인트(AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html)를 참조하세요.
  + 프라이빗 서브넷에 있는 작업의 경우 Network Address Translation(NAT) 게이트웨이를 사용하거나 작업이 실행되는 서브넷에서 Amazon ECR용 VPC 엔드포인트를 생성할 수 있습니다.

    자세한 내용은 [프라이빗 서브넷 및 NAT 게이트웨이](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/networking-outbound.html#networking-private-subnet)를 참조하세요.
+ GuardDuty에 대한 `AWSServiceRoleForAmazonGuardDuty` 역할이 필요합니다. 자세한 내용은 *Amazon GuardDuty 사용 설명서*의 [Service-linked role permissions for GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions.html)를 참조하세요.
+ Runtime Monitoring으로 보호하려는 모든 파일에는 루트 사용자가 액세스할 수 있어야 합니다. 파일의 권한을 수동으로 변경한 경우 해당 권한을 `755`로 설정해야 합니다.

다음은 EC2 컨테이너 인스턴스에서 Runtime Monitoring을 사용하기 위한 필수 조건입니다.
+ Amazon ECS-AMI의 버전 `20230929` 이상을 사용해야 합니다.
+ 컨테이너 인스턴스에서 버전 `1.77` 이상으로 Amazon ECS 에이전트를 실행해야 합니다.
+ 커널 버전 `5.10` 이상을 사용해야 합니다.
+ 지원되는 Linux 운영 체제 및 아키텍처에 대한 자세한 내용은 [GuardDuty Runtime Monitoring에서 지원하는 운영 모델 및 워크로드는 무엇인가요?](https://aws.amazon.com//guardduty/faqs/?nc1=h_ls#product-faqs#guardduty-faqs#guardduty-ecs-runtime-monitoring)를 참조하세요.
+ System Manager를 사용하여 컨테이너 인스턴스를 관리할 수 있습니다. 자세한 내용은 *AWS Systems Manager Session Manager 사용 설명서*의 [EC2 인스턴스용 Systems Manager 설정](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)을 참조하세요.

## 절차
<a name="ecs-guard-duty-configure-automatic-guard-duty-procedure"></a>

GuardDuty에서 Runtime Monitoring을 활성화합니다. 기능을 활성화하는 방법에 대한 자세한 내용은 **Amazon GuardDuty 사용 설명서의 [Enabling Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)을 참조하세요.