Runtime Monitoring と Fargate の連携方法 (Amazon ECSのみ) - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring と Fargate の連携方法 (Amazon ECSのみ)

Runtime Monitoring を有効にすると、 はタスクのランタイムイベントを使用する準備が整 GuardDuty います。これらのタスクは Amazon ECSクラスター内で実行され、次に で実行されます。 AWS Fargate (Fargate) インスタンス。 GuardDuty がこれらのランタイムイベントを受信するには、フルマネージド型の専用セキュリティエージェントを使用する必要があります。

Runtime Monitoring は、Amazon ECSクラスター (AWS Fargate) からのみ GuardDuty。Amazon ECSクラスターでのセキュリティエージェントの手動管理はサポートされていません。

の自動エージェント設定を使用して、 GuardDuty がユーザーに代わって GuardDuty セキュリティエージェントを管理できるようにすることができます。 AWS アカウントまたは組織。 GuardDuty は、Amazon ECSクラスターで起動される新しい Fargate タスクにセキュリティエージェントのデプロイを開始します。次のリストは、 GuardDuty セキュリティエージェントを有効にするときに想定される内容を示しています。

GuardDuty セキュリティエージェントの有効化による影響
GuardDuty 仮想プライベートクラウド (VPC) エンドポイントとセキュリティグループを作成する
  • GuardDuty セキュリティエージェントをデプロイすると、 GuardDuty は、セキュリティエージェントがランタイムイベントを に配信するVPCエンドポイントを作成します GuardDuty。

    VPC エンドポイントとともに、 は新しいセキュリティグループ GuardDuty も作成します。インバウンド (進入) ルールは、セキュリティグループに関連付けられているリソースへのアクセスを許可されるトラフィックを制御します。 GuardDuty は、リソースVPCCIDRの範囲に一致するインバウンドルールを追加し、CIDR範囲が変更されたときにそれにも適応します。詳細については、「Amazon ユーザーガイド」のVPCCIDR「範囲」を参照してください。 VPC

  • 自動エージェントVPCによる一元管理の操作 – リソースタイプに GuardDuty 自動エージェント設定を使用する場合、 GuardDuty はユーザーに代わってすべての のVPCエンドポイントを作成しますVPCs。これには、一元化された VPCとスポーク が含まれますVPCs。 GuardDuty は、一元化された のみのVPCエンドポイントの作成をサポートしていませんVPC。一元化された のVPC仕組みの詳細については、「」の「インターフェイスVPCエンドポイント」を参照してください。 AWS ホワイトペーパー - スケーラブルで安全なマルチ - の構築VPC AWS ネットワークインフラストラクチャ

  • VPC エンドポイントの使用に追加料金はかかりません。

GuardDuty サイドカーコンテナを追加する

実行を開始する新しい Fargate タスクまたはサービスの場合、 GuardDuty コンテナ (サイドカー) は Amazon ECS Fargate タスク内の各コンテナにそれ自体をアタッチします。 GuardDuty セキュリティエージェントは、アタッチされた GuardDuty コンテナ内で実行されます。これにより GuardDuty 、これらのタスク内で実行されている各コンテナのランタイムイベントを収集できます。

Fargate タスクを開始するときに、 GuardDuty コンテナ (サイドカー) が正常な状態で起動できない場合、Runtime Monitoring はタスクの実行を妨げないように設計されています。

デフォルトでは、Fargate タスクはイミュータブルです。タスクがすでに実行状態にある場合、 はサイドカーをデプロイ GuardDuty しません。すでに実行中のタスクでコンテナをモニタリングする場合は、タスクを停止して再度開始できます。