Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS) - Amazon GuardDuty
Validación de los requisitos de arquitecturaProporcione los permisos de ECR y los detalles de la subredValidación de la política de control de servicios de su organizaciónLímites de CPU y memoria

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS)

Validación de los requisitos de arquitectura

La plataforma que utilice puede afectar a la forma GuardDuty en que el agente GuardDuty de seguridad admite la recepción de los eventos de tiempo de ejecución de sus clústeres de Amazon ECS. Debe validar que esté utilizando una de las plataformas verificadas.

Consideraciones iniciales:

La AWS Fargate (Fargate) plataforma de los clústeres de Amazon ECS debe ser Linux. La versión de plataforma correspondiente debe ser como mínimo1.4.0, oLATEST. Para obtener más información sobre las versiones de la plataforma, consulte las versiones de la plataforma Linux en la Guía para desarrolladores de Amazon Elastic Container Service.

Las versiones de la plataforma Windows aún no son compatibles.

Plataformas verificadas

La distribución del sistema operativo y la arquitectura de la CPU afectan al soporte que proporciona el agente GuardDuty de seguridad. En la siguiente tabla se muestra la configuración verificada para implementar el agente GuardDuty de seguridad y configurar Runtime Monitoring.

Distribución del sistema operativo Compatibilidad del kernel Arquitectura de la CPU
x64 (AMD64) Graviton (ARM64)
Linux eBPF, Tracepoints, Kprobe Soportado Soportado

Proporcione los permisos de ECR y los detalles de la subred

Antes de habilitar Runtime Monitoring, debe proporcionar los siguientes detalles:

Proporcione una función de ejecución de tareas con permisos

La función de ejecución de tareas requiere que disponga de determinados permisos de Amazon Elastic Container Registry (Amazon ECR). Puede usar la política TaskExecutionRolePolicy administrada de AmazonECS o agregar los siguientes permisos a su TaskExecutionRole política:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Para restringir aún más los permisos de Amazon ECR, puede añadir el URI del repositorio de Amazon ECR que aloja el agente de GuardDuty seguridad para (solo AWS Fargate Amazon ECS). Para obtener más información, consulte Repositorio para GuardDuty agentes en AWS Fargate (solo Amazon ECS).

Proporcione los detalles de la subred en la definición de la tarea

Puede proporcionar las subredes públicas como entrada en la definición de la tarea o crear un punto de enlace de VPC de Amazon ECR.

  • Uso de la opción de definición de tareas: para ejecutar las UpdateServiceAPI CreateServicey en la referencia de API de Amazon Elastic Container Service, es necesario pasar la información de la subred. Para obtener más información, consulte las definiciones de tareas de Amazon ECS en la Guía para desarrolladores de Amazon Elastic Container Service.

  • Uso de la opción de punto de conexión de VPC de Amazon ECR: proporcione una ruta de red a Amazon ECR; asegúrese de que el URI del repositorio de Amazon ECR que aloja el agente de seguridad sea accesible desde GuardDuty la red. Si sus tareas de Fargate se ejecutarán en una subred privada, Fargate necesitará la ruta de red para descargar el contenedor. GuardDuty

    Para obtener información sobre cómo habilitar Fargate para descargar el GuardDuty contenedor, consulte Uso de Amazon ECR con Amazon ECS en la Guía para desarrolladores de Amazon Elastic Container Service.

Validación de la política de control de servicios de su organización

Si ha configurado una política de control de servicios (SCP) para administrar los permisos en su organización, asegúrese de que la política no deniegue el permiso. guardduty:SendSecurityTelemetry Es necesaria GuardDuty para admitir la supervisión del tiempo de ejecución en distintos tipos de recursos.

Si es una cuenta de miembro, conéctese con el administrador delegado asociado. Para obtener información sobre la administración de los SCP para su organización, consulte Políticas de control de servicios (SCP).

Límites de CPU y memoria

En la definición de tarea de Fargate, debe especificar el valor de CPU y memoria a nivel de tarea. La siguiente tabla muestra las combinaciones válidas de valores de CPU y memoria a nivel de tarea y el límite máximo de memoria del agente de GuardDuty seguridad correspondiente para el contenedor. GuardDuty

Valor de CPU Valor de memoria GuardDuty límite máximo de memoria del agente

256 (0,25 vCPU)

512 MiB, 1 GB, 2 GB

128 MB

512 (0,5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Entre 4 GB y 16 GB en incrementos de 1 GB

4096 (4 vCPU)

Entre 8 GB y 20 GB en incrementos de 1 GB

8192 (8 vCPU)

Entre 16 GB y 28 GB en incrementos de 4 GB

256 MB

Entre 32 GB y 60 GB en incrementos de 4 GB

512 MB

16384 (16 vCPU)

Entre 32 GB y 120 GB en incrementos de 8 GB

1 GB

Una vez que hayas activado Runtime Monitoring y hayas comprobado que el estado de cobertura del clúster es correcto, puedes configurar y ver las métricas de Container Insight. Para obtener más información, Configuración de la supervisión en el clúster de Amazon ECS.

El siguiente paso es configurar Runtime Monitoring y también configurar el agente de seguridad.