翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Fargate (Amazon ECS のみ) サポートの前提条件
アーキテクチャ要件の検証
使用するプラットフォームは、 GuardDuty セキュリティエージェントが Amazon ECS GuardDuty クラスターからランタイムイベントを受信する際に をサポートする方法に影響を与える可能性があります。検証済みのプラットフォームのいずれかを使用していることを検証する必要があります。
- 最初の検討事項:
-
Amazon ECS クラスターの AWS Fargate (Fargate) プラットフォームは Linux である必要があります。対応するプラットフォームバージョンは少なくとも
1.4.0またはLATESTである必要があります。有効なプラットフォームバージョンの詳細については、「Amazon Elastic Container Service デベロッパーガイド」の「Linux プラットフォームのバージョン」を参照してください。Windows プラットフォームバージョンはまだサポートされていません。
検証済みプラットフォーム
OS ディストリビューションと CPU アーキテクチャは、セキュリティエージェントが提供するサポートに影響します GuardDuty。次の表は、セキュリティエージェントのデプロイ GuardDutyと Runtime Monitoring の設定の検証済み設定を示しています。
| OS ディストリビューション | カーネルサポート | CPU アーキテクチャ | |
|---|---|---|---|
| x64 (AMD64) | Graviton (ARM64) | ||
| Linux | eBPF、Tracepoints、Kprobe | サポート | サポート |
ECR アクセス許可とサブネットの詳細を指定する
Runtime Monitoring を有効にする前に、次の詳細を指定する必要があります。
- アクセス許可を持つタスク実行ロールを提供する
-
タスク実行ロールには、特定の Amazon Elastic Container Registry (Amazon ECR) アクセス許可が必要です。AmazonECSTaskExecutionRolePolicy 管理ポリシーを使用するか、次のアクセス許可を
TaskExecutionRoleポリシーに追加できます。... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...Amazon ECR のアクセス許可をさらに制限するには、 GuardDuty セキュリティエージェントをホストする Amazon ECR リポジトリ URI を追加します AWS Fargate (Amazon ECS のみ)。詳細については、「での GuardDuty エージェントのリポジトリ AWS Fargate (Amazon ECS のみ)」を参照してください。
- 「タスク定義にサブネットの詳細を指定する」
-
タスク定義の入力としてパブリックサブネットを指定するか、Amazon ECR VPC エンドポイントを作成できます。
-
タスク定義オプションの使用 — Amazon Elastic Container Service UpdateService APIs リファレンスの CreateServiceおよび API を実行するには、サブネット情報を渡す必要があります。 詳細については、「Amazon Elastic Container Service デベロッパーガイド」の「Amazon ECS タスク定義」を参照してください。
-
Amazon ECR VPC エンドポイントオプションの使用 - Amazon ECR へのネットワークパスを提供する - GuardDuty セキュリティエージェントをホストする Amazon ECR リポジトリ URI がネットワークにアクセスできることを確認します。Fargate タスクがプライベートサブネットで実行される場合、Fargate は GuardDuty コンテナをダウンロードするためのネットワークパスを必要とします。
Fargate が GuardDuty コンテナをダウンロードできるようにする方法については、「Amazon Elastic Container Service デベロッパーガイド」の「Amazon ECS での Amazon ECR の使用」を参照してください。
-
組織のサービスコントロールポリシーの検証
組織内のアクセス許可を管理するためのサービスコントロールポリシー (SCP) を設定している場合は、ポリシーがアクセス許可 を拒否していないことを確認してくださいguardduty:SendSecurityTelemetry。では GuardDuty 、さまざまなリソースタイプでランタイムモニタリングをサポートする必要があります。
メンバーアカウントの場合は、関連する委任管理者に接続します。組織の SCPs「サービスコントロールポリシー (SCPs」を参照してください。
CPU とメモリの制限
Fargate タスク定義では、CPU 値とメモリの値をタスクレベルで指定する必要があります。次の表は、タスクレベルの CPU 値とメモリ値の有効な組み合わせと、 GuardDuty コンテナに対応する GuardDuty セキュリティエージェントの最大メモリ制限を示しています。
| CPU の値 | メモリの値 | GuardDuty エージェントの最大メモリ制限 |
|---|---|---|
256 (.25 vCPU) |
512 MiB、1 GB、2 GB |
128 MB |
512 (.5 vCPU) |
1 GB、2 GB、3 GB、4 GB |
|
1,024 (1 vCPU) |
2 GB、3 GB、4 GB |
|
5 GB、6 GB、7 GB、8 GB |
||
2,048 (2 vCPU) |
4 GB ~ 16 GB (1 GB のインクリメント) |
|
4,096 (4 vCPU) |
8 GB ~ 20 GB (1 GB のインクリメント) |
|
8192 (8 vCPU) |
16 GB~28 GB (4 GB のインクリメント) |
256 MB |
32 GB~60 GB (4 GB のインクリメント) |
512 MB |
|
16384 (16 vCPU) |
32 GB~120 GB (8 GB のインクリメント) |
1 GB |
Runtime Monitoring を有効にして、クラスターのカバレッジステータスが [正常] と評価されると、コンテナインサイトメトリクスを設定および表示できます。詳細については、「Amazon ECS クラスターでの監視設定」。
次のステップでは、Runtime Monitoring を設定し、セキュリティエージェントを設定します。
