啟用 Amazon ECS 的執行時期監控

您可以設定 GuardDuty 自動管理所有 Fargate 叢集的安全代理程式。

先決條件

以下是使用執行時期監控的先決條件：

對於 Linux 作業系統，Fargate 平台版本必須為 1.4.0 版或更新版本。
Amazon ECS 的 IAM 角色與許可：
- Fargate 任務必須使用任務執行角色。此角色會授予任務許可，使其能代為擷取、更新與管理 GuardDuty 安全代理程式。如需更多資訊，請參閱Amazon ECS 任務執行 IAM 角色。
- 您可以使用預先定義的標籤控制叢集的執行時期監控。如果存取政策依據標籤限制存取權，您必須明確授予 IAM 使用者標記叢集的權限。如需詳細資訊，請參閱《IAM 使用者指南》中的 IAM 教學課程：定義根據標籤存取 AWS 資源的許可。
連線至 Amazon ECR 儲存庫：

GuardDuty 安全代理程式儲存在 Amazon ECR 儲存庫中。每個獨立任務與服務任務都必須具備儲存庫的存取權。您可以使用下列其中一個選項：
- 對於公有子網路中的任務，您可以使用任務的公有 IP 位址，或在任務執行所在的子網路中為 Amazon ECR 建立 VPC 端點。如需詳細資訊，請參閱 Amazon Elastic Container Registry User Guide 中的 Amazon ECR interface VPC endpoints (AWS PrivateLink)。
- 對於私有子網路中的任務，您可以使用網路位址轉譯 (NAT) 閘道，或在任務執行所在的子網路中為 Amazon ECR 建立 VPC 端點。
  
  如需詳細資訊，請參閱私有子網路與 NAT 閘道。
您必須具備使用 GuardDuty 所需的 AWSServiceRoleForAmazonGuardDuty 角色。如需詳細資訊，請參閱 Amazon GuardDuty User Guide 中的 Service-linked role permissions for GuardDuty。
您希望透過執行時期監控防護的所有檔案，都必須能被根使用者存取。如果您手動變更檔案的許可，則必須將其設定為 755。

以下為在 EC2 容器執行個體上使用執行時期監控的先決條件：

您必須使用 20230929 版或更新版本的 Amazon ECS-AMI。
您必須在容器執行個體上將 Amazon ECS 代理程式升級至 1.77 版或更新版本。
您必須使用核心版本 5.10 或更新版本。
如需有關支援的 Linux 作業系統與架構的資訊，請參閱 Which operating models and workloads does GuardDuty Runtime Monitoring support。
您可以使用 Systems Manager 管理容器執行個體。如需詳細資訊，請參閱《AWS Systems Manager Session Manager 使用者指南》中的設定 EC2 執行個體的 Systems Manager。

程序

您可以在 GuardDuty 中啟用執行時期監控。如需如何啟用此功能的資訊，請參閱 Amazon GuardDuty User Guide 中的 Enabling Runtime Monitoring。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Fargate 工作負載的執行時期監控

將執行時期監控新增至現有的 Fargate 任務