本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用 Amazon ECS 的執行時期監控
<a name="ecs-guard-duty-configure-automatic-guard-duty"></a>

您可以設定 GuardDuty 自動管理所有 Fargate 叢集的安全代理程式。



## 先決條件
<a name="ecs-guard-duty-configure-automatic-guard-duty-prerequisite"></a>

以下是使用執行時期監控的先決條件：
+ 對於 Linux 作業系統，Fargate 平台版本必須為 `1.4.0` 版或更新版本。
+ Amazon ECS 的 IAM 角色與許可：
  + Fargate 任務必須使用任務執行角色。此角色會授予任務許可，使其能代為擷取、更新與管理 GuardDuty 安全代理程式。如需更多資訊，請參閱[Amazon ECS 任務執行 IAM 角色](task_execution_IAM_role.md)。
  + 您可以使用預先定義的標籤控制叢集的執行時期監控。如果存取政策依據標籤限制存取權，您必須明確授予 IAM 使用者標記叢集的權限。如需詳細資訊，請參閱《[IAM 使用者指南》中的 IAM 教學課程：定義根據標籤存取 AWS 資源的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。 **
+ 連線至 Amazon ECR 儲存庫：

  GuardDuty 安全代理程式儲存在 Amazon ECR 儲存庫中。每個獨立任務與服務任務都必須具備儲存庫的存取權。您可以使用下列其中一個選項：
  + 對於公有子網路中的任務，您可以使用任務的公有 IP 位址，或在任務執行所在的子網路中為 Amazon ECR 建立 VPC 端點。如需詳細資訊，請參閱 *Amazon Elastic Container Registry User Guide* 中的 [Amazon ECR interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html)。
  + 對於私有子網路中的任務，您可以使用網路位址轉譯 (NAT) 閘道，或在任務執行所在的子網路中為 Amazon ECR 建立 VPC 端點。

    如需詳細資訊，請參閱[私有子網路與 NAT 閘道](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/networking-outbound.html#networking-private-subnet)。
+ 您必須具備使用 GuardDuty 所需的 `AWSServiceRoleForAmazonGuardDuty` 角色。如需詳細資訊，請參閱 *Amazon GuardDuty User Guide* 中的 [Service-linked role permissions for GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions.html)。
+ 您希望透過執行時期監控防護的所有檔案，都必須能被根使用者存取。如果您手動變更檔案的許可，則必須將其設定為 `755`。

以下為在 EC2 容器執行個體上使用執行時期監控的先決條件：
+ 您必須使用 `20230929` 版或更新版本的 Amazon ECS-AMI。
+ 您必須在容器執行個體上將 Amazon ECS 代理程式升級至 `1.77` 版或更新版本。
+ 您必須使用核心版本 `5.10` 或更新版本。
+ 如需有關支援的 Linux 作業系統與架構的資訊，請參閱 [Which operating models and workloads does GuardDuty Runtime Monitoring support](https://aws.amazon.com//guardduty/faqs/?nc1=h_ls#product-faqs#guardduty-faqs#guardduty-ecs-runtime-monitoring)。
+ 您可以使用 Systems Manager 管理容器執行個體。如需詳細資訊，請參閱《AWS Systems Manager Session Manager 使用者指南》**中的[設定 EC2 執行個體的 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。

## 程序
<a name="ecs-guard-duty-configure-automatic-guard-duty-procedure"></a>

您可以在 GuardDuty 中啟用執行時期監控。如需如何啟用此功能的資訊，請參閱 *Amazon GuardDuty User Guide* 中的 [Enabling Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。