Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad de AWS Fargate
Le recomendamos que tenga en cuenta las siguientes prácticas recomendadas al utilizarAWS Fargate.
UsarAWS KMSpara cifrar el almacenamiento efímero
Debe tener su almacenamiento efímero encriptado porAWS KMS. Para las tareas de Amazon ECS alojadas enAWS FargateUso de la versión de plataforma1.4.0o posterior, cada tarea de recibe 20 GB de almacenamiento efímero. La cantidad de almacenamiento no se puede ajustar. Para estas tareas que se inicien a partir del 28 de mayo de 2020, el almacenamiento efímero se cifra con un algoritmo de cifrado AES-256 utilizando una clave de cifrado administrada porAWS Fargate.
Ejemplo: Iniciar una tarea Amazon ECS enAWS FargateVersión 1.4.0 de la plataforma con cifrado efímero
El siguiente comando iniciará una tarea de Amazon ECS enAWS FargateVersión de la plataforma 1.4. Dado que esta tarea se inicia como parte del clúster de Amazon ECS, utiliza los 20 GB de almacenamiento efímero que se cifra automáticamente.
aws ecs run-task --cluster clustername \ --task-definitiontaskdefinition:version\ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ --region region
Capacidad de SYS_PTRACE para el seguimiento de syscall del kernel
Docker proporciona la configuración predeterminada de las capacidades de Linux que se agregan o eliminan del contenedor. Para obtener más información acerca de las capacidades disponibles, consultePrivilegio de ejecución y capacidades de Linux
Tareas que se inician enAWS Fargatesolo admite agregar elSYS_PTRACECapacidad del kernel.
Consulte el video tutorial a continuación que muestra cómo usar esta función a través de SysdigFalco
El código discutido en el video anterior se puede encontrar en GitHubAquí
