As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança do AWS Fargate
Recomendamos que você leve em consideração as seguintes melhores práticas ao usar oAWS Fargate.
Usar oAWS KMSpara criptografar o armazenamento efêmero
Você deve ter seu armazenamento efêmero criptografado peloAWS KMS. Para tarefas do Amazon ECS hospedadas noAWS FargateUsar a versão da plataforma1.4.0Ou posterior, cada tarefa do recebe 20 GB de armazenamento temporário. A quantidade de armazenamento não pode ser ajustada. Em caso de tarefas que foram iniciadas em 28 de maio de 2020 ou mais tarde, o armazenamento temporário é criptografado com um algoritmo de criptografia AES-256 usando uma chave de criptografia gerenciada peloAWS Fargate.
Exemplo: Iniciar uma tarefa do Amazon ECS noAWS FargatePlataforma versão 1.4.0 com criptografia de armazenamento temporário
O comando a seguir executará uma tarefa do Amazon ECS noAWS Fargateversão 1.4 da plataforma. Como essa tarefa é iniciada como parte do cluster do Amazon ECS, ela usa os 20 GB de armazenamento efêmero criptografado automaticamente.
aws ecs run-task --cluster clustername \ --task-definitiontaskdefinition:version\ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ --region region
Capacidade SYS_PTRACE para rastreamento de syscall do kernel
A configuração padrão dos recursos do Linux que são adicionados ou removidos do contêiner é fornecida pelo Docker. Para obter mais informações sobre os recursos disponíveis, consultePrivilégio de execução e recursos Linux
Tarefas que são iniciadas noAWS Fargatesuportam apenas a adição deSYS_PTRACECapacidade do kernel.
Consulte o vídeo tutorial abaixo que mostra como usar esse recurso através do SysdigFalco
O código discutido no vídeo anterior pode ser encontrado no GitHubAqui está
