Attivazione del monitoraggio del runtime per Amazon ECS

Puoi attivare il Runtime Monitoring per i cluster con EC2 istanze o quando hai bisogno di un controllo granulare del Runtime Monitoring a livello di cluster su Fargate.

Di seguito sono riportati i prerequisiti per l'utilizzo di Runtime Monitoring:

La versione della piattaforma Fargate deve essere 1.4.0 o successiva per Linux.
Ruoli e autorizzazioni IAM per Amazon ECS:
- Le attività Fargate devono utilizzare un ruolo di esecuzione delle attività. Questo ruolo concede alle attività l'autorizzazione a recuperare, aggiornare e gestire il GuardDuty security agent per conto dell'utente. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.
- Puoi controllare il Runtime Monitoring per un cluster con un tag predefinito. Se le tue policy di accesso limitano l'accesso in base ai tag, devi concedere autorizzazioni esplicite agli utenti IAM per etichettare i cluster. Per ulteriori informazioni, consulta il tutorial IAM: Definisci le autorizzazioni per accedere alle AWS risorse in base ai tag nella IAM User Guide.
Connessione al repository Amazon ECR:

Il GuardDuty security agent è archiviato in un repository Amazon ECR. Ogni attività autonoma e di servizio deve avere accesso al repository. Puoi utilizzare una delle seguenti opzioni:
- Per le attività nelle sottoreti pubbliche, puoi utilizzare un indirizzo IP pubblico per l'attività o creare un endpoint VPC per Amazon ECR nella sottorete in cui viene eseguita l'attività. Per ulteriori informazioni, consulta Endpoint VPC dell'interfaccia Amazon ECR (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.
- Per le attività in sottoreti private, puoi utilizzare un gateway NAT (Network Address Translation) o creare un endpoint VPC per Amazon ECR nella sottorete in cui viene eseguita l'attività.
  
  Per ulteriori informazioni, consulta Subnet privata e gateway NAT.
Devi avere il AWSServiceRoleForAmazonGuardDuty ruolo per. GuardDuty Per ulteriori informazioni, consulta la pagina relativa alle autorizzazioni dei ruoli collegati ai servizi GuardDuty nella Amazon GuardDuty User Guide.
Tutti i file che desideri proteggere con Runtime Monitoring devono essere accessibili dall'utente root. Se hai modificato manualmente le autorizzazioni di un file, devi impostarlo 755 su.

Di seguito sono riportati i prerequisiti per l'utilizzo di Runtime Monitoring sulle istanze dei EC2 container:

È necessario utilizzare una versione 20230929 o successiva di Amazon ECS-AMI.
È necessario eseguire l'agente Amazon ECS alla versione 1.77 o successiva sulle istanze del contenitore.
È necessario utilizzare la versione 5.10 del kernel o successiva.
Per informazioni sui sistemi operativi e sulle architetture Linux supportati, consulta Quali modelli operativi e carichi di lavoro supporta GuardDuty il Runtime Monitoring.
È possibile utilizzare Systems Manager per gestire le istanze dei container. Per ulteriori informazioni, vedere Configurazione di Systems Manager per EC2 le istanze nella Guida per l'AWS Systems Manager Session Manager utente.

Si attiva Runtime Monitoring in GuardDuty. Per informazioni su come abilitare la funzionalità, consulta Enabling Runtime Monitoring nella Amazon GuardDuty User Guide.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitoraggio del runtime per carichi di lavoro EC2

Aggiungere il monitoraggio del runtime a un cluster