Mengaktifkan Runtime Monitoring untuk Amazon ECS - Amazon Elastic Container Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan Runtime Monitoring untuk Amazon ECS

Anda dapat mengaktifkan Runtime Monitoring untuk cluster dengan EC2 instance, atau saat Anda memerlukan kontrol granular Runtime Monitoring di tingkat cluster di Fargate.

Berikut ini adalah prasyarat untuk menggunakan Runtime Monitoring:

  • Versi platform Fargate harus 1.4.0 atau lebih baru untuk Linux.

  • Peran dan izin IAM untuk Amazon ECS:

    • Tugas Fargate harus menggunakan peran eksekusi tugas. Peran ini memberikan izin tugas untuk mengambil, memperbarui, dan mengelola agen GuardDuty keamanan atas nama Anda. Untuk mengetahui informasi selengkapnya, lihat Peran IAM eksekusi tugas Amazon ECS.

    • Anda mengontrol Runtime Monitoring untuk klaster dengan tag yang telah ditentukan sebelumnya. Jika kebijakan akses Anda membatasi akses berdasarkan tag, Anda harus memberikan izin eksplisit kepada pengguna IAM Anda untuk menandai klaster. Untuk informasi selengkapnya, lihat tutorial IAM: Menentukan izin untuk mengakses AWS sumber daya berdasarkan tag di Panduan Pengguna IAM.

  • Menghubungkan ke repositori Amazon ECR:

    Agen GuardDuty keamanan disimpan dalam repositori Amazon ECR. Setiap tugas mandiri dan layanan harus memiliki akses ke repositori. Anda dapat menggunakan salah satu opsi berikut:

    • Untuk tugas di subnet publik, Anda dapat menggunakan alamat IP publik untuk tugas tersebut, atau membuat titik akhir VPC untuk Amazon ECR di subnet tempat tugas berjalan. Untuk informasi selengkapnya, lihat Antarmuka Amazon ECR VPC endpoint AWS PrivateLink() di Panduan Pengguna Amazon Elastic Container Registry.

    • Untuk tugas di subnet pribadi, Anda dapat menggunakan gateway Network Address Translation (NAT), atau membuat titik akhir VPC untuk Amazon ECR di subnet tempat tugas berjalan.

      Untuk informasi selengkapnya, lihat Subnet pribadi dan gateway NAT.

  • Anda harus memiliki AWSServiceRoleForAmazonGuardDuty peran untuk GuardDuty. Untuk informasi selengkapnya, lihat Izin peran terkait layanan GuardDuty di Panduan Pengguna Amazon GuardDuty.

  • File apa pun yang ingin Anda lindungi dengan Runtime Monitoring harus dapat diakses oleh pengguna root. Jika Anda mengubah izin file secara manual, Anda harus mengaturnya ke755.

Berikut ini adalah prasyarat untuk menggunakan Runtime Monitoring pada instance container: EC2

  • Anda harus menggunakan versi 20230929 atau yang lebih baru dari Amazon ECS-AMI.

  • Anda harus menjalankan agen Amazon ECS ke versi 1.77 atau yang lebih baru pada instance container.

  • Anda harus menggunakan versi kernel 5.10 atau yang lebih baru.

  • Untuk informasi tentang sistem operasi dan arsitektur Linux yang didukung, lihat Model operasi dan beban kerja mana yang didukung GuardDuty Runtime Monitoring.

  • Anda dapat menggunakan Systems Manager untuk mengelola instance container Anda. Untuk informasi selengkapnya, lihat Menyiapkan Systems Manager untuk EC2 instance di Panduan AWS Systems Manager Session Manager Pengguna.

Anda mengaktifkan Runtime Monitoring di GuardDuty. Untuk informasi tentang cara mengaktifkan fitur, lihat Mengaktifkan Pemantauan Runtime di GuardDuty Panduan Pengguna Amazon.