Prasyarat untuk dukungan (khusus AWS Fargate Amazon ECS) - Amazon GuardDuty
Memvalidasi persyaratan arsitekturBerikan izin ECR dan detail subnetMemvalidasi kebijakan kontrol layanan organisasi AndaBatas CPU dan memori

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk dukungan (khusus AWS Fargate Amazon ECS)

Memvalidasi persyaratan arsitektur

Platform yang Anda gunakan dapat memengaruhi cara agen GuardDuty keamanan mendukung GuardDuty dalam menerima peristiwa runtime dari kluster Amazon ECS Anda. Anda harus memvalidasi bahwa Anda menggunakan salah satu platform terverifikasi.

Pertimbangan awal:

AWS Fargate (Fargate) Platform untuk cluster Amazon ECS Anda harus Linux. Versi platform yang sesuai harus setidaknya1.4.0, atauLATEST. Untuk informasi selengkapnya tentang versi platform, lihat versi platform Linux di Panduan Pengembang Layanan Amazon Elastic Container.

Versi platform Windows belum didukung.

Platform terverifikasi

Distribusi OS dan arsitektur CPU berdampak pada dukungan yang diberikan oleh agen GuardDuty keamanan. Tabel berikut menunjukkan konfigurasi terverifikasi untuk menerapkan agen GuardDuty keamanan dan mengonfigurasi Runtime Monitoring.

Distribusi OS Dukungan kernel Arsitektur CPU
x64 (AMD64) Graviton (ARM64)
Linux eBPF, Tracepoints, Kprobe Didukung Didukung

Berikan izin ECR dan detail subnet

Sebelum mengaktifkan Runtime Monitoring, Anda harus memberikan detail berikut:

Berikan peran eksekusi tugas dengan izin

Peran eksekusi tugas mengharuskan Anda memiliki izin Amazon Elastic Container Registry (Amazon ECR) tertentu. Anda dapat menggunakan kebijakan terkelola TaskExecutionRolePolicyAmazonECS atau menambahkan izin berikut ke kebijakan Anda: TaskExecutionRole

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Untuk lebih membatasi izin Amazon ECR, Anda dapat menambahkan URI repositori Amazon ECR yang menampung GuardDuty agen keamanan untuk ( AWS Fargate hanya Amazon ECS). Untuk informasi selengkapnya, lihat Repositori untuk GuardDuty agen di (hanya AWS Fargate Amazon ECS).

Berikan detail subnet dalam definisi tugas

Anda dapat memberikan subnet publik sebagai input dalam definisi tugas Anda atau membuat titik akhir Amazon ECR VPC.

  • Menggunakan opsi definisi tugas - Menjalankan CreateServicedan UpdateServiceAPI di Referensi API Amazon Elastic Container Service mengharuskan Anda untuk meneruskan informasi subnet. Untuk informasi selengkapnya, lihat definisi tugas Amazon ECS di Panduan Pengembang Layanan Kontainer Elastis Amazon.

  • Menggunakan opsi titik akhir VPC Amazon ECR - Menyediakan jalur jaringan ke Amazon ECR - Pastikan bahwa URI repositori Amazon ECR yang menampung agen keamanan dapat diakses jaringan. GuardDuty Jika tugas Fargate Anda akan berjalan di subnet pribadi, maka Fargate akan membutuhkan jalur jaringan untuk mengunduh wadah. GuardDuty

    Untuk informasi tentang mengaktifkan Fargate mengunduh GuardDuty kontainer, lihat Menggunakan Amazon ECR dengan Amazon ECS di Panduan Pengembang Layanan Kontainer Elastis Amazon.

Memvalidasi kebijakan kontrol layanan organisasi Anda

Jika Anda telah menyiapkan kebijakan kontrol layanan (SCP) untuk mengelola izin di organisasi Anda, pastikan kebijakan tersebut tidak menolak izin tersebut. guardduty:SendSecurityTelemetry Hal ini diperlukan GuardDuty untuk mendukung Runtime Monitoring di berbagai jenis sumber daya.

Jika Anda adalah akun anggota, hubungkan dengan administrator yang didelegasikan terkait. Untuk informasi tentang mengelola SCP untuk organisasi Anda, lihat Kebijakan kontrol layanan (SCP).

Batas CPU dan memori

Dalam definisi tugas Fargate, Anda harus menentukan CPU dan nilai memori di tingkat tugas. Tabel berikut menunjukkan kombinasi yang valid dari CPU tingkat tugas dan nilai memori, dan batas memori maksimum agen GuardDuty keamanan yang sesuai untuk wadah. GuardDuty

Nilai CPU Nilai memori GuardDuty batas memori maksimum agen

256 (.25 vCPU)

512 MiB, 1 GB, 2GB

128 MB

512 (.5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Antara 4 GB dan 16 GB dalam peningkatan 1 GB

4096 (4 vCPU)

Antara 8 GB dan 20 GB dalam peningkatan 1 GB

8192 (8 vCPU)

Antara 16 GB dan 28 GB dalam peningkatan 4 GB

270 MB

Antara 32 GB dan 60 GB dalam peningkatan 4 GB

512 MB

16384 (16 vCPU)

Antara 32 GB dan 120 GB dalam peningkatan 8 GB

1 GB

Setelah mengaktifkan Runtime Monitoring dan menilai bahwa status cakupan klaster Anda Sehat, Anda dapat menyiapkan dan melihat metrik wawasan Container. Untuk informasi selengkapnya, lihat Menyiapkan pemantauan di Amazon ECS cluster.

Langkah selanjutnya adalah mengkonfigurasi Runtime Monitoring dan juga mengkonfigurasi agen keamanan.