# Amazon ECS 的 Amazon EC2 容器实例安全注意事项
<a name="ec2-security-considerations"></a>

您应该考虑在威胁模型中使用单个容器实例及其访问权限。例如，单个受影响的任务可能能够在同一实例上利用未受影响任务的 IAM 权限。

建议您使用以下方式来帮助防止此情况：
+ 运行任务时请勿使用管理员权限。
+ 为任务分配具有最低权限访问权限的任务角色。

  容器代理会自动创建具有唯一凭证 ID 的令牌，该令牌用于访问 Amazon ECS 资源。
+ 要防止使用 `awsvpc` 网络模式的任务运行的容器访问提供给 Amazon EC2 实例配置文件的凭证信息（同时仍允许任务角色提供的权限），请将代理配置文件中的 `ECS_AWSVPC_BLOCK_IMDS` 代理配置变量设置为 true，然后重新启动代理。
+ 使用 Amazon GuardDuty 运行时监控来检测 AWS 环境中集群和容器的威胁。运行时监控使用 GuardDuty 安全代理为单个 Amazon ECS 工作负载增加运行时可见性，例如，文件访问、进程执行和网络连接。有关更多信息，请参阅《GuardDuty 用户指南》**中的 [GuardDuty 运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)。