Comment fonctionne la surveillance du temps d'exécution avec Fargate (Amazon uniquement) ECS - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne la surveillance du temps d'exécution avec Fargate (Amazon uniquement) ECS

Lorsque vous activez la surveillance du temps d' GuardDuty exécution, il est prêt à consommer les événements d'exécution d'une tâche. Ces tâches s'exécutent au sein des ECS clusters Amazon, qui à leur tour s'exécutent sur les AWS Fargate (Fargate) instances. GuardDuty Pour recevoir ces événements d'exécution, vous devez utiliser l'agent de sécurité dédié entièrement géré.

Runtime Monitoring prend en charge la gestion de l'agent de sécurité pour vos ECS clusters Amazon (AWS Fargate) uniquement via GuardDuty. La gestion manuelle de l'agent de sécurité sur les ECS clusters Amazon n'est pas prise en charge.

Vous pouvez GuardDuty autoriser la gestion de l'agent GuardDuty de sécurité en votre nom, en utilisant la configuration automatique de l'agent pour un AWS compte ou une organisation. GuardDuty commencera à déployer l'agent de sécurité sur les nouvelles tâches Fargate lancées dans vos clusters Amazon. ECS La liste suivante indique ce à quoi vous devez vous attendre lorsque vous activez l'agent GuardDuty de sécurité.

Impact de l'activation de l'agent GuardDuty de sécurité
GuardDuty crée un point de terminaison de cloud privé virtuel (VPC)

Lorsque vous déployez l'agent GuardDuty de sécurité, GuardDuty vous créez un VPC point de terminaison via lequel l'agent de sécurité transmet les événements d'exécution GuardDuty.

Note

Il n'y a aucun coût supplémentaire pour l'utilisation du VPC terminal.

GuardDuty ajoute un conteneur de sidecar

Pour une nouvelle tâche ou un nouveau service Fargate qui commence à s'exécuter, GuardDuty un conteneur (sidecar) s'attache à chaque conteneur au sein de la tâche Amazon Fargate. ECS L'agent GuardDuty de sécurité fonctionne dans le GuardDuty conteneur joint. Cela permet GuardDuty de collecter les événements d'exécution de chaque conteneur exécuté dans le cadre de ces tâches.

Lorsque vous démarrez une tâche Fargate, si GuardDuty le conteneur (sidecar) ne peut pas être lancé correctement, la surveillance du temps d'exécution est conçue pour ne pas empêcher l'exécution des tâches.

Par défaut, une tâche Fargate est immuable. GuardDuty ne déploiera pas le sidecar lorsqu'une tâche est déjà en cours d'exécution. Si vous souhaitez surveiller un conteneur dans une tâche déjà en cours d'exécution, vous pouvez arrêter la tâche et la redémarrer.