ecs-task-definition-user-for-host-mode-check - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ecs-task-definition-user-for-host-mode-check

NetworkMode がホストに設定されている最新のアクティブな Amazon Elastic Container Service (Amazon ECS) タスク定義で、許可されていない権限がないかチェックします。NetworkMode がホストに設定されたタスク定義、privileged が false または空、user が root または空というコンテナ定義がある場合、ルールは NON_COMPLIANT です。

重要

昇格された特権を、Amazon ECS タスク定義から削除することを推奨します。この privileged が true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス許可 (root ユーザーと同様) が付与されます。host ネットワークモードによりタスクを実行する場合、より良いセキュリティーのために、ルートユーザー (UID 0) を使用してコンテナを実行しないでください。セキュリティのベストプラクティスとしては、常にルート以外のユーザーを使用します。

識別子: ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK

リソースタイプ: AWS::ECS::TaskDefinition

トリガータイプ: 設定変更

AWS リージョン: 中東 (アラブ首長国連邦)、アジアパシフィック (大阪)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、カナダ西部 (カルガリー) の各 AWS リージョンを除く、サポートされているすべての リージョン

パラメータ:

SkipInactiveTaskDefinitions (オプション)
タイプ:ブール値

INACTIVE な Amazon EC2 タスクの定義を確認しないためのブールフラグ。「true」に設定すると、ルールは INACTIVE な Amazon EC2 タスクの定義を評価しません。「false」に設定すると、ルールは INACTIVE な Amazon EC2 タスクの定義の最新リビジョンを評価します。

AWS CloudFormation テンプレート

AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「」を参照してくださいAWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成