AWS Fargate sécurité - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Fargate sécurité

Nous vous recommandons de prendre en compte les bonnes pratiques ci-dessous lorsque vous utilisez AWS Fargate. Pour obtenir des conseils supplémentaires, consultez la section Présentation de la sécurité de AWS Fargate.

AWS KMS À utiliser pour chiffrer le stockage éphémère

Votre stockage éphémère doit être crypté par. AWS KMS Pour les tâches Amazon ECS hébergées sur une version AWS Fargate de plate-forme 1.4.0 ou ultérieure, chaque tâche reçoit 20 GiB de stockage éphémère. Vous pouvez augmenter la quantité totale de stockage éphémère, jusqu'à un maximum de 200 Gio, en spécifiant le paramètre ephemeralStorage dans votre définition de tâche. Pour les tâches lancées le 28 mai 2020 ou plus tard, le stockage éphémère est chiffré à l'aide d'un algorithme de chiffrement AES-256 avec une clé de chiffrement gérée par AWS Fargate.

Pour plus d'informations, veuillez consulter Utilisation de volumes de données dans des tâches (langue française non garantie).

Exemple : lancement d'une tâche Amazon ECS sur la AWS Fargate plateforme version 1.4.0 avec chiffrement de stockage éphémère

La commande suivante lancera une tâche Amazon ECS sur la version 1.4 de la AWS Fargate plateforme. Comme cette tâche est lancée dans le cadre du cluster Amazon ECS, elle utilise les 20 Gio de stockage éphémère qui sont automatiquement chiffrés.

aws ecs run-task --cluster clustername \ --task-definition taskdefinition:version \ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ --region region

Fonctionnalité SYS_PTRACE pour le suivi des appels système du noyau

La configuration par défaut des fonctionnalités Linux ajoutées ou supprimées de votre conteneur est fournie par Docker. Pour plus d'informations sur les fonctionnalités disponibles, veuillez consulter Privilège d'exécution et fonctionnalités Linux dans la documentation Docker run (langue française non garantie).

Les tâches lancées ne prennent en charge AWS Fargate que l'ajout de la capacité SYS_PTRACE du noyau.

Reportez-vous au didacticiel vidéo ci-dessous qui montre comment utiliser cette fonctionnalité dans le cadre du projet Sysdig Falco.

Le code décrit dans la vidéo précédente se trouve GitHub ici.