ecs-task-definition-user-for-host-mode-check

Verifica se sono presenti autorizzazioni non autorizzate nelle definizioni dell'attività Amazon Elastic Container Service (Amazon ECS) più recenti attive con il parametro NetworkMode impostato su "host". La regola è NON_COMPLIANT per le definizioni delle attività con il parametro NetworkMode impostato su host e per le definizioni dei container di privileged impostate su false o su empty e di user impostate su root o su empty.

Importante

È consigliato rimuovere i privilegi elevati dalle definizioni delle attività di Amazon ECS. Se privileged è true, al container vengono assegnate autorizzazioni elevate nell'istanza di container host (simile all'utente root). Quando si eseguono attività che utilizzano la modalità di rete host, per una maggiore sicurezza, non eseguire container utilizzando l'utente root (UID 0). Come best practice per la sicurezza, utilizza sempre un utente non root.

Identificatore: ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK

Tipi di risorse: AWS::ECS::TaskDefinition

Tipo di trigger: Modifiche alla configurazione

Regione AWS: Tutte le AWS regioni supportate tranne Medio Oriente (Emirati Arabi Uniti), Asia Pacifico (Osaka), Asia Pacifico (Melbourne), Israele (Tel Aviv) e Canada occidentale (Calgary)

Parametri:

SkipInactiveTaskDefinitions (Facoltativo)

Tipo: booleano

Flag booleano per escludere dalla verifica le definizioni delle attività Amazon EC2 nello stato INACTIVE. Se impostata su "true", la regola non valuta le definizioni delle attività di Amazon EC2 nello stato INACTIVE. Se impostata su "false", la regola valuta la revisione più recente delle definizioni delle attività di Amazon EC2 nello stato INACTIVE.

AWS CloudFormation modello

Per creare regole AWS Config gestite con AWS CloudFormation modelli, vedereCreazione di regole gestite di AWS Config con modelli AWS CloudFormation.