Voraussetzungen für den Support AWS Fargate (nur Amazon ECS) - Amazon GuardDuty
Validierung der architektonischen AnforderungenGeben Sie ECR-Berechtigungen und Subnetzdetails anÜberprüfung der Service-Kontroll-Richtlinie Ihres UnternehmensCPU- und Arbeitsspeicherlimits

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für den Support AWS Fargate (nur Amazon ECS)

Validierung der architektonischen Anforderungen

Die von Ihnen verwendete Plattform kann sich darauf auswirken, wie der GuardDuty Security Agent GuardDuty den Empfang der Runtime-Ereignisse von Ihren Amazon ECS-Clustern unterstützt. Sie müssen bestätigen, dass Sie eine der verifizierten Plattformen verwenden.

Erste Überlegungen:

Die AWS Fargate (Fargate) Plattform für Ihre Amazon ECS-Cluster muss Linux sein. Die entsprechende Plattformversion muss mindestens1.4.0, oder seinLATEST. Weitere Informationen zu den Plattformversionen finden Sie unter Linux-Plattformversionen im Amazon Elastic Container Service Developer Guide.

Die Windows-Plattformversionen werden noch nicht unterstützt.

Verifizierte Plattformen

Die Betriebssystemverteilung und die CPU-Architektur wirken sich auf die Unterstützung durch den GuardDuty Security Agent aus. Die folgende Tabelle zeigt die verifizierte Konfiguration für die Installation des GuardDuty Security Agents und die Konfiguration von Runtime Monitoring.

Betriebssystem-Verteilung Kernel-Unterstützung CPU-Architektur
x64 (AMD64) Graviton (ARM64)
Linux eBPF, Tracepoints, Kprobe Unterstützt Unterstützt

Geben Sie ECR-Berechtigungen und Subnetzdetails an

Bevor Sie Runtime Monitoring aktivieren, müssen Sie die folgenden Details angeben:

Stellen Sie eine Rolle zur Aufgabenausführung mit Berechtigungen bereit

Für die Rolle zur Aufgabenausführung benötigen Sie bestimmte Amazon Elastic Container Registry (Amazon ECR) -Berechtigungen. Sie können entweder die von AmazonECS TaskExecutionRolePolicy verwaltete Richtlinie verwenden oder Ihrer TaskExecutionRole Richtlinie die folgenden Berechtigungen hinzufügen:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Um die Amazon ECR-Berechtigungen weiter einzuschränken, können Sie den Amazon ECR-Repository-URI hinzufügen, der den GuardDuty Security Agent für hostet AWS Fargate (nur Amazon ECS). Weitere Informationen finden Sie unter Repository für GuardDuty Agenten auf AWS Fargate (nur Amazon ECS).

Geben Sie die Subnetzdetails in der Aufgabendefinition an

Sie können entweder die öffentlichen Subnetze als Eingabe in Ihrer Aufgabendefinition angeben oder einen Amazon ECR VPC-Endpunkt erstellen.

  • Option zur Aufgabendefinition verwenden — Für die Ausführung der UpdateServiceAPIs CreateServiceund in der Amazon Elastic Container Service API-Referenz müssen Sie die Subnetzinformationen übergeben. Weitere Informationen finden Sie unter Amazon ECS-Aufgabendefinitionen im Amazon Elastic Container Service Developer Guide.

  • Verwenden der Amazon ECR VPC-Endpunktoption — Netzwerkpfad zu Amazon ECR angeben — Stellen Sie sicher, dass der Amazon ECR-Repository-URI, der den GuardDuty Security Agent hostet, über das Netzwerk zugänglich ist. Wenn Ihre Fargate-Aufgaben in einem privaten Subnetz ausgeführt werden, benötigt Fargate den Netzwerkpfad, um den Container herunterzuladen. GuardDuty

    Informationen darüber, wie Fargate den GuardDuty Container herunterladen kann, finden Sie unter Using Amazon ECR with Amazon ECS im Amazon Elastic Container Service Developer Guide.

Überprüfung der Service-Kontroll-Richtlinie Ihres Unternehmens

Wenn Sie eine Service Control Policy (SCP) zur Verwaltung von Berechtigungen in Ihrer Organisation eingerichtet haben, stellen Sie sicher, dass die Richtlinie die Erlaubnis nicht verweigert. guardduty:SendSecurityTelemetry Sie ist erforderlich GuardDuty , um Runtime Monitoring für verschiedene Ressourcentypen zu unterstützen.

Wenn Sie ein Mitgliedskonto sind, stellen Sie eine Verbindung mit dem zugehörigen delegierten Administrator her. Informationen zur Verwaltung von SCPs für Ihre Organisation finden Sie unter Service Control Policies (SCPs).

CPU- und Arbeitsspeicherlimits

In der Fargate-Aufgabendefinition müssen Sie den CPU- und Speicherwert auf Taskebene angeben. Die folgende Tabelle zeigt die gültigen Kombinationen von CPU- und Speicherwerten auf Taskebene sowie die entsprechende maximale Speicherbegrenzung des GuardDuty Security Agents für den Container. GuardDuty

CPU-Wert Speicherwert GuardDuty maximale Speicherbegrenzung des Agents

256 (0,25 vCPU)

512 MiB, 1 GB, 2 GB

128 MB

512 (0,5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Zwischen 4 GB und 16 GB in 1-GB-Schritten

4096 (4 vCPU)

Zwischen 8 GB und 20 GB in Schritten von 1 GB

8 192 (8 vCPU)

Zwischen 16 GB und 28 GB in Schritten von 4 GB

256 MB

Zwischen 32 GB und 60 GB in Schritten von 4 GB

512 MB

16384 (16 vCPU)

Zwischen 32 GB und 120 GB in 8-GB-Schritten

1 GB

Nachdem Sie Runtime Monitoring aktiviert und festgestellt haben, dass der Abdeckungsstatus Ihres Clusters fehlerfrei ist, können Sie die Container Insight-Metriken einrichten und anzeigen. Weitere Informationen finden Sie unter Überwachung auf dem Amazon ECS-Cluster einrichten.

Der nächste Schritt besteht darin, Runtime Monitoring und auch den Security Agent zu konfigurieren.