Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überlegungen zur Sicherheit von EC2 Amazon-Container-Instances für Amazon ECS
Sie sollten eine einzelne Container-Instance und ihren Zugriff innerhalb Ihres Bedrohungsmodells berücksichtigen. Beispielsweise könnte eine einzelne betroffene Aufgabe in der Lage sein, die IAM Berechtigungen einer nicht infizierten Aufgabe für dieselbe Instance zu nutzen.
Wir empfehlen Ihnen Folgendes, um dies zu verhindern:
-
Verwenden Sie bei der Ausführung Ihrer Aufgaben keine Administratorrechte.
-
Weisen Sie Ihren Aufgaben eine Aufgabenrolle mit der geringsten Berechtigung zu.
Der Container-Agent erstellt automatisch ein Token mit einer eindeutigen Anmelde-ID, das für den Zugriff auf ECS Amazon-Ressourcen verwendet wird.
-
Um zu verhindern, dass Container, die von Aufgaben ausgeführt werden, die den
awsvpc
Netzwerkmodus verwenden, auf die Anmeldeinformationen zugreifen, die für das EC2 Amazon-Instance-Profil bereitgestellt wurden, und gleichzeitig die von der Aufgabenrolle bereitgestellten Berechtigungen zuzulassen, setzen Sie dieECS_AWSVPC_BLOCK_IMDS
Agent-Konfigurationsvariable in der Agenten-Konfigurationsdatei auf true und starten Sie den Agenten neu. -
Verwenden Sie Amazon GuardDuty Runtime Monitoring, um Bedrohungen für Cluster und Container in Ihrer AWS Umgebung zu erkennen. Runtime Monitoring verwendet einen GuardDuty Sicherheitsagenten, der die Laufzeit einzelner ECS Amazon-Workloads transparent macht, z. B. Dateizugriff, Prozessausführung und Netzwerkverbindungen. Weitere Informationen finden Sie unter GuardDutyRuntime Monitoring im GuardDuty Benutzerhandbuch.