Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Fargate-Sicherheit
Wir empfehlen, die folgenden bewährten Methoden beim Verwenden vonAWS Fargate.
Verwenden vonAWS KMS, um ephemeren Speicher zu verschlüsseln
Sie sollten Ihren ephemeren Speicher verschlüsselt lassen, indem SieAWS KMS. Für Amazon ECS-Aufgaben, die aufAWS FargateVerwenden der Plattformversion1.4.0
oder höher wird jeder -Aufgabe 20 GB flüchtigen Speicher zugewiesen. Die Menge des Speichers ist nicht einstellbar. Bei solchen Aufgaben, die am 28. Mai 2020 oder später gestartet wurden, wird der flüchtige Speicher mit einem AES-256-Verschlüsselungsalgorithmus unter Verwendung eines von verwalteten Verschlüsselungsschlüssels verschlüsselt.AWS Fargate.
Beispiel: Starten einer Amazon ECS-Aufgabe aufAWS FargatePlattformversion 1.4.0 mit flüchtiger Speicherverschlüsselung
Der folgende Befehl startet eine Amazon ECS-Aufgabe aufAWS FargateVersion 1.4. Da diese Aufgabe als Teil des Amazon ECS-Clusters gestartet wird, werden 20 GB temporären Speicher verwendet, der automatisch verschlüsselt wird.
aws ecs run-task --cluster clustername \ --task-definition
taskdefinition
:version
\ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid
],securityGroups=[securitygroupid
]}" \ --region region
SYS_PTRACE-Funktion für Kernel-Syscall-Ablaufverfolgung
Die Standardkonfiguration von Linux-Funktionen, die Ihrem Container hinzugefügt oder entfernt werden, wird von Docker bereitgestellt. Weitere Informationen zu den verfügbaren Funktionen finden Sie unterLaufzeitberechtigung und Linux-Funktionen
Aufgaben, die aufAWS Fargateunterstützt nur das Hinzufügen derSYS_PTRACE
Kernel verwenden.
Lesen Sie das Tutorial-Video unten, das zeigt, wie Sie diese Funktion über die Sysdig verwendenFalco
Der Code, der im vorherigen Video beschrieben wird, kann auf GitHub gefunden werdenHier gilt