Convalida dei requisiti relativi all'architettura Fornisci le autorizzazioni ECR e i dettagli della sottorete Convalida della politica di controllo dei servizi dell'organizzazione Limiti di CPU e di memoria

Prerequisiti per il AWS Fargate supporto (solo Amazon ECS)

Convalida dei requisiti relativi all'architettura

La piattaforma utilizzata può influire sul modo GuardDuty in cui il GuardDuty Security Agent supporta la ricezione degli eventi di runtime dai cluster Amazon ECS. Devi confermare di utilizzare una delle piattaforme verificate.

Considerazioni iniziali:

La AWS Fargate (Fargate) piattaforma per i tuoi cluster Amazon ECS deve essere Linux. La versione della piattaforma corrispondente deve essere almeno1.4.0, o. LATEST Per ulteriori informazioni sulle versioni della piattaforma, consulta le versioni della piattaforma Linux nella Amazon Elastic Container Service Developer Guide.

Le versioni della piattaforma Windows non sono ancora supportate.

Piattaforme verificate

La distribuzione del sistema operativo e l'architettura della CPU influiscono sul supporto fornito dal GuardDuty security agent. La tabella seguente mostra la configurazione verificata per la distribuzione del GuardDuty security agent e la configurazione del Runtime Monitoring.

Distribuzione del sistema operativo	Supporto del kernel	Architettura della CPU
Distribuzione del sistema operativo	Supporto del kernel	x64 (AMD64)	Graviton (ARM64)
Linux	eBPF, Tracepoints, Kprobe	Supportato	Supportato

Fornisci le autorizzazioni ECR e i dettagli della sottorete

Prima di abilitare Runtime Monitoring, è necessario fornire i seguenti dettagli:

Fornisci un ruolo di esecuzione dell'attività con autorizzazioni

Il ruolo di esecuzione delle attività richiede che tu disponga di determinate autorizzazioni Amazon Elastic Container Registry (Amazon ECR). Puoi utilizzare la politica gestita di TaskExecutionRolePolicyAmazonECS o aggiungere le seguenti autorizzazioni alla tua politica: TaskExecutionRole


...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Per limitare ulteriormente le autorizzazioni di Amazon ECR, puoi aggiungere l'URI del repository Amazon ECR che ospita l'agente di GuardDuty sicurezza per (solo AWS Fargate Amazon ECS). Per ulteriori informazioni, consulta Repository per GuardDuty agente su AWS Fargate (solo Amazon ECS).

Fornisci i dettagli della sottorete nella definizione dell'attività

Puoi fornire le sottoreti pubbliche come input nella definizione dell'attività o creare un endpoint VPC Amazon ECR.

Utilizzo dell'opzione di definizione delle attività: l'esecuzione delle UpdateServiceAPI CreateServiceand nell'Amazon Elastic Container Service API Reference richiede il trasferimento delle informazioni sulla sottorete. Per ulteriori informazioni, consulta le definizioni delle attività di Amazon ECS nella Amazon Elastic Container Service Developer Guide.
Utilizzo dell'opzione endpoint Amazon ECR VPC — Fornisci un percorso di rete ad Amazon ECR - Assicurati che l'URI del repository Amazon ECR che ospita GuardDuty il security agent sia accessibile dalla rete. Se le attività Fargate verranno eseguite in una sottorete privata, Fargate avrà bisogno del percorso di rete per scaricare il contenitore. GuardDuty

Per informazioni su come abilitare Fargate a scaricare il GuardDuty contenitore, consulta Using Amazon ECR with Amazon ECS nella Amazon Elastic Container Service Developer Guide.

Convalida della politica di controllo dei servizi dell'organizzazione

Se hai impostato una policy di controllo dei servizi (SCP) per gestire le autorizzazioni nella tua organizzazione, assicurati che tale policy non neghi l'autorizzazione. guardduty:SendSecurityTelemetry È necessario per GuardDuty supportare il monitoraggio del runtime su diversi tipi di risorse.

Se sei un account membro, connettiti con l'amministratore delegato associato. Per informazioni sulla gestione degli SCP per l'organizzazione, consulta le politiche di controllo dei servizi (SCP).

Limiti di CPU e di memoria

Nella definizione dell'attività Fargate, è necessario specificare il valore della CPU e della memoria a livello di attività. La tabella seguente mostra le combinazioni valide di valori di CPU e memoria a livello di task e il limite massimo di memoria del GuardDuty Security Agent corrispondente per il contenitore. GuardDuty

Valore CPU	Valore memoria	GuardDuty limite massimo di memoria dell'agente
256 (0,25 vCPU)	512 MiB, 1 GB, 2 GB	128 MB
512 (0,5 vCPU)	1 GB, 2 GB, 3 GB, 4 GB
1024 (1 vCPU)	2 GB, 3 GB, 4 GB
1024 (1 vCPU)	5 GB, 6 GB, 7 GB, 8 GB
2048 (2 vCPU)	Tra 4 GB e 16 GB in incrementi di 1 GB
4096 (4 vCPU)	Tra 8 GB e 20 GB con incrementi di 1 GB
8192 (8 vCPU)	Tra 16 GB e 28 GB con incrementi di 4 GB	256 MB
8192 (8 vCPU)	Tra 32 GB e 60 GB con incrementi di 4 GB	512 MB
16384 (16 vCPU)	Tra 32 GB e 120 GB in incrementi di 8 GB	1 GB

Dopo aver abilitato il Runtime Monitoring e verificato che lo stato di copertura del cluster sia integro, puoi configurare e visualizzare le metriche di Container Insight. Per ulteriori informazioni, consulta Configurazione del monitoraggio sul cluster Amazon ECS.

Il passaggio successivo consiste nel configurare Runtime Monitoring e configurare anche il security agent.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Per l'istanza EC2

Per il cluster EKS