Como o Runtime Monitoring funciona com o Fargate (somente na AmazonECS) - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Runtime Monitoring funciona com o Fargate (somente na AmazonECS)

Quando você ativa o Runtime Monitoring, GuardDuty fica pronto para consumir os eventos de tempo de execução de uma tarefa. Essas tarefas são executadas nos ECS clusters da Amazon, que por sua vez são executados nas AWS Fargate (Fargate) instâncias. GuardDuty Para receber esses eventos de tempo de execução, você deve usar o agente de segurança dedicado e totalmente gerenciado.

O Runtime Monitoring suporta o gerenciamento do agente de segurança para seus ECS clusters da Amazon (AWS Fargate) somente por meio de GuardDuty. Não há suporte para gerenciar o agente de segurança manualmente nos ECS clusters da Amazon.

Você pode GuardDuty permitir o gerenciamento do agente GuardDuty de segurança em seu nome, usando a configuração automatizada do agente para uma AWS conta ou organização. GuardDuty começará a implantar o agente de segurança nas novas tarefas do Fargate que são lançadas em seus clusters da AmazonECS. A lista a seguir especifica o que esperar quando você ativa o agente GuardDuty de segurança.

Impacto da ativação do agente GuardDuty de segurança
GuardDuty cria um endpoint de nuvem privada virtual (VPC)

Quando você implanta o agente GuardDuty de segurança, GuardDuty cria um VPC endpoint por meio do qual o agente de segurança entrega os eventos de tempo de execução. GuardDuty

nota

Não há custo adicional para o uso do VPC endpoint.

GuardDuty adiciona um contêiner de sidecar

Para uma nova tarefa ou serviço do Fargate que começa a ser executado, um GuardDuty contêiner (sidecar) se conecta a cada contêiner dentro da tarefa do Amazon Fargate. ECS O agente GuardDuty de segurança é executado dentro do GuardDuty contêiner anexado. Isso ajuda GuardDuty a coletar os eventos de tempo de execução de cada contêiner em execução nessas tarefas.

Quando você inicia uma tarefa do Fargate, caso o GuardDuty contêiner (sidecar) não possa ser iniciado em um estado íntegro, o Runtime Monitoring foi projetado para não impedir que as tarefas sejam executadas.

Por padrão, uma tarefa do Fargate é imutável. GuardDuty não implantará o sidecar quando uma tarefa já estiver em execução. Se quiser monitorar um contêiner em uma tarefa já em execução, você pode interromper a tarefa e iniciá-la novamente.