Considerações de segurança sobre a instância de contêiner do Amazon EC2 para o Amazon ECS

Você deve considerar uma única instância de contêiner e seu acesso dentro do seu modelo de ameaças. Por exemplo, uma única tarefa afetada pode aproveitar as permissões do IAM de uma tarefa não infectada na mesma instância.

Recomendamos que você use o indicado a seguir para ajudar a evitar isso:

Não use privilégios de administrador ao executar suas tarefas.
Atribua um perfil de tarefa com acesso de privilégio mínimo às suas tarefas.

O agente de contêiner cria automaticamente um token com um ID de credencial exclusivo que é usado para acessar os recursos do Amazon ECS.
Para evitar que contêineres executados por tarefas que usem o modo de rede awsvpc acessem as informações de credenciais fornecidas ao perfil de instância do Amazon EC2, e ainda permitindo que as permissões fornecidas pelo perfil da tarefa, defina a variável de configuração de agente ECS_AWSVPC_BLOCK_IMDS como verdadeira no arquivo de configuração do agente e reinicie o agente.
Use o monitoramento de runtime do Amazon GuardDuty para detectar ameaças em clusters e contêineres no ambiente da AWS. O monitoramento de runtime usa um agente de segurança do GuardDuty que adiciona visibilidade de runtime às workloads individuais do Amazon ECS, por exemplo, acesso a arquivos, execução de processos e conexões de rede. Para obter mais informações, consulte GuardDuty Runtime Monitoring no Guia do usuário do GuardDuty.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Provedores de capacidade para o tipo de inicialização do EC2

Criação de um cluster do Amazon ECS para o tipo de inicialização do Amazon EC2