Amazon ECS クラスターのランタイムモニタリングを追加する - Amazon Elastic Container Service
前提条件手順

Amazon ECS クラスターのランタイムモニタリングを追加する

クラスターのランタイムモニタリングを設定し、EC2 コンテナインスタンスに GuardDuty セキュリティエージェントをインストールします。

前提条件

  1. ランタイムモニタリングを有効にします。詳細については、「Amazon ECS のランタイムモニタリングを有効にする」を参照してください。

  2. 事前定義されたタグを使用してクラスターのランタイムモニタリングを制御します。アクセスポリシーによりタグに基づいてアクセスが制限されている場合は、クラスターにタグを付けるための明示的なアクセス許可を IAM ユーザーに付与する必要があります。詳細については、「IAM ユーザーガイド」の「IAM チュートリアル: タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する」を参照してください。

手順

以下の操作を実行して、ランタイムモニタリングをクラスターに追加します。

  1. クラスター VPC ごとに GuardDuty 用の VPC エンドポイントを作成します。詳細については、「GuardDuty ユーザーガイド」の「Amazon VPC エンドポイントの手動作成」を参照してください。

  2. EC2 コンテナインスタンスを設定します。

    1. クラスター内の EC2 コンテナインスタンスの Amazon ECS エージェントをバージョン 1.77 以降に更新します。詳細については、「Amazon ECS コンテナエージェントをアップデートする」を参照してください。

    2. クラスターの EC2 コンテナインスタンスに GuardDuty セキュリティエージェントをインストールします。詳細については、「GuardDuty ユーザーガイド」の「Amazon EC2 インスタンスのセキュリティエージェントの手動管理」を参照してください。

      GuardDuty セキュリティエージェントは EC2 コンテナインスタンス上のプロセスとして実行されるため、新規および既存のタスク、デプロイはすべて即座に保護されます。

  3. Amazon ECS コンソール または AWS CLI を使用して、クラスターの GuardDutyManaged タグキーを true に設定します。詳細については、「クラスターの更新」または「CLI または API を使用したタグの操作」を参照してください。タグに以下の値を使用します。

    注記

    Key と Value は大文字と小文字が区別され、この文字列と完全に一致する必要があります。

    Key = GuardDutyManaged、Value = true