ecs-task-definition-user-for-host-mode-check
检查具有主机网络模式的 Amazon ECS 任务定义在容器定义中是否具有特权或非根权限。如果任务定义的最新有效版本的 privileged=false(或为空)且 user=root(或为空),则该规则为 NON_COMPLIANT。
重要
只需要满足一个条件即可使该规则返回 compliant
在以下任何情况下,该规则均为 COMPLIANT:
如果网络模式未设置为主机,
如果任务定义的最新当前修订版本的 privileged=true,
如果任务定义的最新当前修订版本的用户不是根用户。
这意味着,只需要满足一个条件即可使该规则返回 compliant 要具体检查任务定义是否具有 privileged=true,请参阅 ecs-containers-nonprivileged。要具体检查任务定义的用户是否不是根用户,请参阅 ecs-task-definition-nonroot-user。
标识符:ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK
资源类型:AWS::ECS::TaskDefinition
触发器类型: 配置更改
AWS 区域:所有受支持的 AWS 区域
参数:
- SkipInactiveTaskDefinitions(可选)
- 类型:布尔值
-
布尔值标志,避免检查处于 INACTIVE 状态的 Amazon EC2 任务定义。如果设置为“true”,则此规则将不会评估处于 INACTIVE 状态的 Amazon EC2 任务定义。如果设置为“false”,则此规则将评估处于 INACTIVE 状态的 Amazon EC2 任务定义的最新版本。
AWS CloudFormation 模板
要使用 AWS Config 模板创建 AWS CloudFormation 托管规则,请参阅使用 AWS Config 模板创建 AWS CloudFormation 托管规则。
