Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation de la surveillance du temps d'exécution pour Amazon ECS
Vous pouvez activer la surveillance du temps d'exécution pour les clusters dotés d' EC2 instances ou lorsque vous avez besoin d'un contrôle granulaire de la surveillance du temps d'exécution au niveau du cluster sur Fargate.
Les conditions requises pour utiliser Runtime Monitoring sont les suivantes :
-
La version de la plateforme Fargate doit
1.4.0être ou ultérieure pour Linux. Rôles et autorisations IAM pour Amazon ECS :
-
Les tâches Fargate doivent utiliser un rôle d'exécution de tâches. Ce rôle autorise les tâches à récupérer, mettre à jour et gérer l'agent GuardDuty de sécurité en votre nom. Pour de plus amples informations, veuillez consulter Rôle IAM d'exécution de tâche Amazon ECS.
-
Vous contrôlez la surveillance du temps d'exécution pour un cluster à l'aide d'une balise prédéfinie. Si vos politiques d'accès limitent l'accès en fonction de balises, vous devez accorder des autorisations explicites à vos utilisateurs IAM pour étiqueter les clusters. Pour plus d'informations, consultez le didacticiel IAM : Définissez les autorisations d'accès aux AWS ressources en fonction des balises du guide de l'utilisateur IAM.
-
-
Connexion au référentiel Amazon ECR :
L'agent GuardDuty de sécurité est stocké dans un référentiel Amazon ECR. Chaque tâche autonome et de service doit avoir accès au référentiel. Vous pouvez utiliser l'une des options suivantes :
-
Pour les tâches dans les sous-réseaux publics, vous pouvez soit utiliser une adresse IP publique pour la tâche, soit créer un point de terminaison VPC pour Amazon ECR dans le sous-réseau sur lequel la tâche s'exécute. Pour plus d'informations, consultez Points de terminaison d'un VPC d'interface Amazon ECR (AWS PrivateLink) dans le Guide de l'utilisateur Amazon Elastic Container Registry.
Pour les tâches dans des sous-réseaux privés, vous pouvez utiliser une passerelle NAT (Network Address Translation) ou créer un point de terminaison VPC pour Amazon ECR dans le sous-réseau sur lequel la tâche s'exécute.
Pour plus d'informations, consultez Sous-réseau privé et passerelle NAT.
-
Vous devez avoir le
AWSServiceRoleForAmazonGuardDutyrôle pour GuardDuty. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service GuardDuty dans le guide de GuardDutyl'utilisateur Amazon.-
Tous les fichiers que vous souhaitez protéger avec Runtime Monitoring doivent être accessibles par l'utilisateur root. Si vous avez modifié manuellement les autorisations d'un fichier, vous devez le définir sur
755.
Les conditions requises pour utiliser la surveillance du temps d'exécution sur les instances de EC2 conteneur sont les suivantes :
-
Vous devez utiliser la version
20230929ou une version ultérieure de l'Amazon ECS-AMI. -
Vous devez exécuter l'agent Amazon ECS selon la version
1.77ou ultérieure sur les instances de conteneur. -
Vous devez utiliser la version du noyau
5.10ou une version ultérieure. -
Pour plus d'informations sur les systèmes d'exploitation et les architectures Linux pris en charge, consultez la section Quels sont les modèles d'exploitation et les charges de travail pris en charge par GuardDuty Runtime Monitoring
. -
Vous pouvez utiliser Systems Manager pour gérer vos instances de conteneur. Pour plus d'informations, consultez la section Configuration de Systems Manager pour les EC2 instances dans le Guide de AWS Systems Manager Session Manager l'utilisateur.
Vous activez la surveillance du temps d'exécution dans GuardDuty. Pour plus d'informations sur l'activation de cette fonctionnalité, consultez la section Enabling Runtime Monitoring dans le guide de GuardDuty l'utilisateur Amazon.
