View a markdown version of this page

將執行時期監控新增至 Amazon ECS 叢集 - Amazon Elastic Container Service
先決條件程序

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將執行時期監控新增至 Amazon ECS 叢集

設定叢集的執行時期監控,然後在 EC2 容器執行個體上安裝 GuardDuty 安全代理程式。

先決條件

  1. 啟用執行時期監控。如需詳細資訊,請參閱啟用 Amazon ECS 的執行時期監控

  2. 您可以使用預先定義的標籤控制叢集的執行時期監控。如果存取政策依據標籤限制存取權,您必須明確授予 IAM 使用者標記叢集的權限。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 教學課程:定義根據標籤存取 AWS 資源的許可

程序

請執行下列操作,將執行時期監控新增至叢集。

  1. 為每個叢集 VPC 建立用於 GuardDuty 的 VPC 端點。如需詳細資訊,請參閱 GuardDuty User Guide 中的 Creating Amazon VPC endpoint manually

  2. 設定 EC2 容器執行個體。

    1. 將叢集中 EC2 容器執行個體上的 Amazon ECS 代理程式更新為 1.77 版或更新版本。如需更多資訊,請參閱更新 Amazon ECS 容器代理程式

    2. 在叢集中的 EC2 容器執行個體上安裝 GuardDuty 安全代理程式。如需詳細資訊,請參閱 GuardDuty User Guide 中的 Managing the security agent on an Amazon EC2 instance manually

      所有新的與現有的任務及部署都會立即受到保護,因為 GuardDuty 安全代理程式會在 EC2 容器執行個體上作為程序執行。

  3. 使用 Amazon ECS 主控台或 將叢集上的 AWS CLI GuardDutyManaged標籤金鑰設定為 true。如需詳細資訊,請參閱更新叢集透過 CLI 或 API 使用標籤。請對標籤使用以下值。

    注意

    鍵與值區分大小寫,且必須與字串完全相符。

    索引鍵 = GuardDutyManaged,值 = true