Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung eines automatisierten Sicherheitsagenten für Fargate (ECSnur Amazon)
Runtime Monitoring unterstützt die Verwaltung des Security Agents für Ihre ECS Amazon-Cluster (AWS Fargate) nur über GuardDuty. Die manuelle Verwaltung des Security Agents auf ECS Amazon-Clustern wird nicht unterstützt.
Gehen Sie wie GuardDuty in den folgenden Abschnitten beschrieben vor, um den Security Agent für Ihre ECS -Fargate-Ressourcen verwalten zu können.
Inhalt
Den GuardDuty Agenten für ein eigenständiges Konto konfigurieren
- Console
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
-
Gehen Sie auf der Registerkarte Konfiguration wie folgt vor:
-
Zur Verwaltung der automatisierten Agentenkonfiguration für alle ECS Amazon-Cluster (Kontoebene)
Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration für AWS Fargate (ECSnur) die Option Aktivieren aus. Wenn eine neue ECS Fargate-Amazon-Aufgabe gestartet GuardDuty wird, wird die Bereitstellung des Sicherheitsagenten verwaltet.
-
Wählen Sie Speichern.
-
-
Verwaltung der automatisierten Agentenkonfiguration durch Ausschluss einiger ECS Amazon-Cluster (Cluster-Ebene)
-
Fügen Sie dem ECS Amazon-Cluster, für den Sie alle Aufgaben ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein.
GuardDutyManagedfalse -
Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] } -
Wählen Sie auf der Registerkarte Konfiguration im Abschnitt Automatisierte Agentenkonfiguration die Option Aktivieren aus.
Anmerkung
Fügen Sie Ihrem ECS Amazon-Cluster immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der Security Agent bei allen Aufgaben eingesetzt, die innerhalb des entsprechenden ECS Amazon-Clusters gestartet werden.
Verwaltet für die ECS Amazon-Cluster, die nicht ausgeschlossen wurden, GuardDuty die Bereitstellung des Security Agents im Sidecar-Container.
-
Wählen Sie Speichern.
-
-
Verwaltung der automatisierten Agentenkonfiguration durch Einbeziehung einiger ECS Amazon-Cluster (Cluster-Ebene)
-
Fügen Sie einem ECS Amazon-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein.
GuardDutyManagedtrue -
Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }
-
-
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist eine neue Dienstbereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
GuardDuty Agent für eine Umgebung mit mehreren Konten konfigurieren
In einer Umgebung mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto die automatische Agentenkonfiguration für die Mitgliedskonten aktivieren oder deaktivieren und die automatische Agentenkonfiguration für ECS Amazon-Cluster verwalten, die zu den Mitgliedskonten in ihrer Organisation gehören. Ein GuardDuty Mitgliedskonto kann diese Konfiguration nicht ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter Verwaltung mehrerer Konten in. GuardDuty
Aktivierung der automatisierten Agentenkonfiguration für ein delegiertes Administratorkonto GuardDuty
- Manage for all Amazon ECS clusters (account level)
-
Wenn Sie für Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung:
-
Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. GuardDuty wird den Sicherheitsagenten für alle ECS Amazon-Aufgaben bereitstellen und verwalten, die gestartet werden.
-
Wählen Sie Konten manuell konfigurieren.
Wenn Sie im Bereich Runtime Monitoring die Option Konten manuell konfigurieren ausgewählt haben, gehen Sie wie folgt vor:
-
Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Konten manuell konfigurieren aus.
-
Wählen Sie im Abschnitt Delegiertes GuardDuty Administratorkonto (dieses Konto) die Option Aktivieren aus.
Wählen Sie Speichern.
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist eine neue Dienstbereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Fügen Sie diesem ECS Amazon-Cluster ein Tag mit dem Schlüssel-Wert-Paar als
GuardDutyManaged- hinzu.false -
Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] } Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
-
Anmerkung
Fügen Sie Ihren ECS Amazon-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den ECS Amazon-Aufgaben angehängt, die gestartet werden.
Wählen Sie auf der Registerkarte Konfiguration in der automatisierten Agentenkonfiguration die Option Aktivieren aus.
Verwaltet für die ECS Amazon-Cluster, die nicht ausgeschlossen wurden, GuardDuty die Bereitstellung des Security Agents im Sidecar-Container.
-
Wählen Sie Speichern.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for selective (inclusion only) Amazon ECS clusters (cluster level)
-
-
Fügen Sie einem ECS Amazon-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein.
GuardDutyManagedtrue -
Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }Anmerkung
Wenn Sie Inclusion-Tags für Ihre ECS Amazon-Cluster verwenden, müssen Sie GuardDuty Agenten nicht explizit über die automatische Agentenkonfiguration aktivieren.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Services sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
Automatische Aktivierung für alle Mitgliedskonten
- Manage for all Amazon ECS clusters (account level)
-
Bei den folgenden Schritten wird davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben.
-
Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. GuardDuty wird den Sicherheitsagenten für alle ECS Amazon-Aufgaben bereitstellen und verwalten, die gestartet werden.
-
Wählen Sie Speichern.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring ein neuer Service erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Fügen Sie diesem ECS Amazon-Cluster ein Tag mit dem Schlüssel-Wert-Paar als
GuardDutyManaged- hinzu.false -
Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] } Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
-
Anmerkung
Fügen Sie Ihren ECS Amazon-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den ECS Amazon-Aufgaben angehängt, die gestartet werden.
Wählen Sie auf der Registerkarte Konfiguration die Option Bearbeiten aus.
-
Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren
Verwaltet für die ECS Amazon-Cluster, die nicht ausgeschlossen wurden, GuardDuty die Bereitstellung des Security Agents im Sidecar-Container.
-
Wählen Sie Speichern.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for selective (inclusion-only) Amazon ECS clusters (cluster level)
-
Unabhängig davon, wie Sie Runtime Monitoring aktivieren, helfen Ihnen die folgenden Schritte dabei, ausgewählte Amazon ECS Fargate-Aufgaben für alle Mitgliedskonten in Ihrer Organisation zu überwachen.
-
Aktivieren Sie im Abschnitt Automatisierte Agentenkonfiguration keine Konfiguration. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt ausgewählt haben.
-
Wählen Sie Speichern.
-
Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }Anmerkung
Wenn Sie Inclusion-Tags für Ihre ECS Amazon-Cluster verwenden, müssen Sie die automatische Verwaltung der GuardDuty Agenten nicht explizit aktivieren.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
Aktivierung der automatisierten Agentenkonfiguration für bestehende aktive Mitgliedskonten
- Manage for all Amazon ECS clusters (account level)
-
-
Auf der Seite Runtime Monitoring können Sie auf der Registerkarte Konfiguration den aktuellen Status der automatisierten Agentenkonfiguration einsehen.
-
Wählen Sie im Bereich Automatisierte Agentenkonfiguration im Abschnitt Aktive Mitgliedskonten die Option Aktionen aus.
-
Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten.
-
Wählen Sie Bestätigen aus.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist eine neue Dienstbereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Fügen Sie diesem ECS Amazon-Cluster ein Tag mit dem Schlüssel-Wert-Paar als
GuardDutyManaged- hinzu.false -
Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] } Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
-
Anmerkung
Fügen Sie Ihren ECS Amazon-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den ECS Amazon-Aufgaben angehängt, die gestartet werden.
Wählen Sie auf der Registerkarte Konfiguration im Abschnitt Automatisierte Agentenkonfiguration unter Aktive Mitgliedskonten die Option Aktionen aus.
-
Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten.
Verwaltet für die ECS Amazon-Cluster, die nicht ausgeschlossen wurden, GuardDuty die Bereitstellung des Security Agents im Sidecar-Container.
-
Wählen Sie Bestätigen aus.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for selective (inclusion only) Amazon ECS clusters (cluster level)
-
-
Fügen Sie einem ECS Amazon-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein.
GuardDutyManagedtrue -
Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }Anmerkung
Wenn Sie Inclusion-Tags für Ihre ECS Amazon-Cluster verwenden, müssen Sie die automatische Agentenkonfiguration nicht explizit aktivieren.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist eine neue Servicebereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder
- Manage for all Amazon ECS clusters (account level)
-
-
Wählen Sie auf der Seite Runtime Monitoring die Option Bearbeiten aus, um die bestehende Konfiguration zu aktualisieren.
-
Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Automatisch für neue Mitgliedskonten aktivieren aus.
-
Wählen Sie Speichern.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist eine neue Dienstbereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Fügen Sie diesem ECS Amazon-Cluster ein Tag mit dem Schlüssel-Wert-Paar als
GuardDutyManaged- hinzu.false -
Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] } Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
-
Anmerkung
Fügen Sie Ihren ECS Amazon-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den ECS Amazon-Aufgaben angehängt, die gestartet werden.
Wählen Sie auf der Registerkarte Konfiguration im Abschnitt Automatisierte Agentenkonfiguration die Option Automatisch für neue Mitgliedskonten aktivieren aus.
Verwaltet für die ECS Amazon-Cluster, die nicht ausgeschlossen wurden, GuardDuty die Bereitstellung des Security Agents im Sidecar-Container.
-
Wählen Sie Speichern.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist nach der Aktivierung von Runtime Monitoring eine neue Servicebereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for selective (inclusion only) Amazon ECS clusters (cluster level)
-
-
Fügen Sie einem ECS Amazon-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein.
GuardDutyManagedtrue -
Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }Anmerkung
Wenn Sie Inclusion-Tags für Ihre ECS Amazon-Cluster verwenden, müssen Sie die automatische Agentenkonfiguration nicht explizit aktivieren.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist eine neue Servicebereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
Selektives Aktivieren der automatisierten Agentenkonfiguration für aktive Mitgliedskonten
- Manage for all Amazon ECS (account level)
-
-
Wählen Sie auf der Seite Konten die Konten aus, für die Sie die automatische Agentenkonfiguration von Runtime Monitoring (ECS-Fargate) aktivieren möchten. Sie können mehrere Konten auswählen. Stellen Sie sicher, dass die Konten, die Sie in diesem Schritt auswählen, bereits für Runtime Monitoring aktiviert sind.
-
Wählen Sie unter Schutzpläne bearbeiten die entsprechende Option aus, um Runtime Monitoring-Automated Agent-Konfiguration (ECS-Fargate) zu aktivieren.
-
Wählen Sie Bestätigen aus.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist nach der Aktivierung von Runtime Monitoring eine neue Dienstbereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level)
-
-
Fügen Sie diesem ECS Amazon-Cluster ein Tag mit dem Schlüssel-Wert-Paar als
GuardDutyManaged- hinzu.false -
Verhindern Sie die Änderung von Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] } Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
-
Anmerkung
Fügen Sie Ihren ECS Amazon-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Sidecar-Container an alle Container in den ECS Amazon-Aufgaben angehängt, die gestartet werden.
Wählen Sie auf der Seite Konten die Konten aus, für die Sie die automatische Agentenkonfiguration von Runtime Monitoring (ECS-Fargate) aktivieren möchten. Sie können mehrere Konten auswählen. Stellen Sie sicher, dass die Konten, die Sie in diesem Schritt auswählen, bereits für Runtime Monitoring aktiviert sind.
Verwaltet für die ECS Amazon-Cluster, die nicht ausgeschlossen wurden, GuardDuty die Bereitstellung des Security Agents im Sidecar-Container.
-
Wählen Sie unter Schutzpläne bearbeiten die entsprechende Option aus, um Runtime Monitoring-Automated Agent-Konfiguration (ECS-Fargate) zu aktivieren.
-
Wählen Sie Speichern.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Dienstes sind, ist nach der Aktivierung von Runtime Monitoring eine neue Dienstbereitstellung erforderlich. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
- Manage for selective (inclusion only) Amazon ECS clusters (cluster level)
-
-
Stellen Sie sicher, dass Sie die automatische Agentenkonfiguration (oder Runtime Monitoring-Automated Agent-Konfiguration (ECS-Fargate)) nicht für die ausgewählten Konten aktivieren, die die ECS Amazon-Cluster haben, die Sie überwachen möchten.
-
Fügen Sie einem ECS Amazon-Cluster, für den Sie alle Aufgaben einbeziehen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar muss - sein.
GuardDutyManagedtrue -
Verhindern Sie die Änderung dieser Tags, außer durch vertrauenswürdige Entitäten. Die im AWS Organizations Benutzerhandbuch unter Verhindern, dass Tags nicht durch autorisierte Prinzipien geändert werden, beschriebene Richtlinie wurde dahingehend geändert, dass sie hier gilt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "ecs:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}", "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] } } }, { "Sid": "DenyModifyTagsIfPrinTagNotExists", "Effect": "Deny", "Action": [ "ecs:CreateTags", "ecs:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin" }, "Null": { "aws:PrincipalTag/GuardDutyManaged": true } } } ] }Anmerkung
Wenn Sie Inclusion-Tags für Ihre ECS Amazon-Cluster verwenden, müssen Sie die automatische Agentenkonfiguration nicht explizit aktivieren.
-
Wenn Sie Aufgaben überwachen GuardDuty möchten, die Teil eines Service sind, ist eine neue Servicebereitstellung erforderlich, nachdem Sie Runtime Monitoring aktiviert haben. Wenn die letzte Bereitstellung für einen bestimmten ECS Dienst gestartet wurde, bevor Sie Runtime Monitoring aktiviert haben, können Sie den Dienst entweder neu starten oder den Dienst aktualisieren, indem
forceNewDeploymentSieSchritte zum Aktualisieren des Dienstes finden Sie in den folgenden Ressourcen:
-
Aktualisierung eines ECS Amazon-Service mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
-
UpdateServicein der Amazon Elastic Container Service API Reference.
-
update-service
in der AWS CLI Befehlsreferenz.
-
-
