Cómo funciona Runtime Monitoring con Fargate (solo en AmazonECS) - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona Runtime Monitoring con Fargate (solo en AmazonECS)

Cuando se habilita la monitorización del tiempo de ejecución, GuardDuty se prepara para consumir los eventos de tiempo de ejecución de una tarea. Estas tareas se ejecutan dentro de los ECS clústeres de Amazon, que a su vez se ejecutan en las AWS Fargate (Fargate) instancias. GuardDuty Para recibir estos eventos de tiempo de ejecución, debe usar el agente de seguridad dedicado y totalmente administrado.

Runtime Monitoring solo permite administrar el agente de seguridad para sus ECS clústeres de Amazon (AWS Fargate) a través de GuardDuty. No se admite la administración manual del agente de seguridad en ECS los clústeres de Amazon.

Puede GuardDuty permitir la administración del agente GuardDuty de seguridad en su nombre mediante la configuración automática del agente para una AWS cuenta o una organización. GuardDuty empezará a implementar el agente de seguridad en las nuevas tareas de Fargate que se lancen en tus clústeres de AmazonECS. La siguiente lista especifica qué esperar al activar el agente de GuardDuty seguridad.

Impacto de habilitar el agente GuardDuty de seguridad
GuardDuty crea un punto final de nube privada virtual (VPC)

Al implementar el agente de GuardDuty seguridad, GuardDuty creará un VPC punto final a través del cual el agente de seguridad envía los eventos de tiempo de ejecución GuardDuty.

nota

El uso del VPC punto final no conlleva ningún coste adicional.

GuardDuty añade un contenedor con sidecar

Para una nueva tarea o servicio de Fargate que comience a ejecutarse, se adjunta un GuardDuty contenedor (sidecar) a cada contenedor de la tarea de Amazon Fargate. ECS El agente de GuardDuty seguridad se encuentra dentro del contenedor adjunto. GuardDuty Esto ayuda GuardDuty a recopilar los eventos de tiempo de ejecución de cada contenedor que se ejecuta dentro de estas tareas.

Cuando inicias una tarea de Fargate, si el GuardDuty contenedor (sidecar) no puede iniciarse en buen estado, Runtime Monitoring está diseñado para no impedir que las tareas se ejecuten.

De forma predeterminada, las tareas de Fargate son inmutables. GuardDuty no desplegará el sidecar cuando una tarea ya esté en ejecución. Si desea supervisar un contenedor en una tarea que ya está en ejecución, puede detener la tarea e iniciarla de nuevo.