Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Laufzeitüberwachung für Amazon ECS einschalten
Sie können Runtime Monitoring für Cluster mit EC2 Instances aktivieren oder wenn Sie eine detaillierte Steuerung der Runtime Monitoring auf Cluster-Ebene auf Fargate benötigen.
Die folgenden Voraussetzungen müssen für die Verwendung von Runtime Monitoring erfüllt sein:
-
Die Fargate-Plattformversion muss für Linux
1.4.0oder höher sein. IAM-Rollen und -Berechtigungen für Amazon ECS:
-
Fargate-Aufgaben müssen eine Aufgabenausführungsrolle verwenden. Diese Rolle erteilt den Aufgaben die Berechtigung, den GuardDuty Security Agent in Ihrem Namen abzurufen, zu aktualisieren und zu verwalten. Weitere Informationen finden Sie unter IAM-Rolle für die Amazon-ECS-Aufgabenausführung.
-
Sie steuern die Laufzeitüberwachung für einen Cluster mit einem vordefinierten Tag. Wenn Ihre Zugriffsrichtlinien den Zugriff anhand von Tags einschränken, müssen Sie Ihren IAM-Benutzern explizite Berechtigungen zum Taggen von Clustern gewähren. Weitere Informationen finden Sie im IAM-Tutorial: Definieren von Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags im IAM-Benutzerhandbuch.
-
-
Verbindung zum Amazon ECR-Repository herstellen:
Der GuardDuty Security Agent ist in einem Amazon ECR-Repository gespeichert. Jede Standalone- und Service-Task muss Zugriff auf das Repository haben. Verwenden Sie eine der folgenden Optionen:
-
Für Aufgaben in öffentlichen Subnetzen können Sie entweder eine öffentliche IP-Adresse für die Aufgabe verwenden oder einen VPC-Endpunkt für Amazon ECR in dem Subnetz erstellen, in dem die Aufgabe ausgeführt wird. Weitere Informationen finden Sie unter Amazon ECR-Schnittstellen VPC-Endpunkte (AWS PrivateLink) im Amazon Elastic Container-Registry-Benutzerhandbuch.
Für Aufgaben in privaten Subnetzen können Sie ein Network Address Translation (NAT) -Gateway verwenden oder einen VPC-Endpunkt für Amazon ECR in dem Subnetz erstellen, in dem die Aufgabe ausgeführt wird.
Weitere Informationen finden Sie unter Privates Subnetz und NAT-Gateway.
-
Sie müssen die
AWSServiceRoleForAmazonGuardDutyRolle für GuardDuty haben. Weitere Informationen finden Sie unter Servicebezogene Rollenberechtigungen für GuardDuty im GuardDutyAmazon-Benutzerhandbuch.-
Alle Dateien, die Sie mit Runtime Monitoring schützen möchten, müssen für den Root-Benutzer zugänglich sein. Wenn Sie die Berechtigungen einer Datei manuell geändert haben, müssen Sie sie auf setzen
755.
Die folgenden Voraussetzungen gelten für die Verwendung von Runtime Monitoring auf EC2 Container-Instances:
-
Sie müssen Version
20230929oder höher des Amazon ECS-AMI verwenden. -
Sie müssen Amazon ECS Agent auf Version
1.77oder höher auf den Container-Instances ausführen. -
Sie müssen die Kernel-Version
5.10oder höher verwenden. -
Informationen zu den unterstützten Linux-Betriebssystemen und Architekturen finden Sie unter Welche Betriebsmodelle und Workloads unterstützt GuardDuty Runtime Monitoring
. -
Sie können Systems Manager verwenden, um Ihre Container-Instances zu verwalten. Weitere Informationen finden Sie im AWS Systems Manager Session Manager Benutzerhandbuch unter Systems Manager für EC2 Instanzen einrichten.
Sie aktivieren Runtime Monitoring in GuardDuty. Informationen zur Aktivierung der Funktion finden Sie unter Enabling Runtime Monitoring im GuardDuty Amazon-Benutzerhandbuch.
