Validação dos requisitos de arquitetura Forneça ECR permissões e detalhes da sub-rede Validando a política de controle de serviços da sua organização CPUe limites de memória

Pré-requisitos para suporte (somente AWS Fargate na AmazonECS)

Validação dos requisitos de arquitetura

A plataforma que você usa pode afetar o suporte do agente GuardDuty de segurança GuardDuty no recebimento de eventos de tempo de execução de seus ECS clusters da Amazon. Você precisa validar que está usando uma das plataformas verificadas.

Considerações iniciais:

A AWS Fargate (Fargate) plataforma para seus ECS clusters da Amazon deve ser Linux. A versão da plataforma correspondente deve ser pelo menos1.4.0, ouLATEST. Para obter mais informações sobre as versões da plataforma, consulte as versões da plataforma Linux no Amazon Elastic Container Service Developer Guide.

As versões da plataforma Windows ainda não são suportadas.

Plataformas verificadas

A distribuição e a CPU arquitetura do sistema operacional afetam o suporte fornecido pelo agente GuardDuty de segurança. A tabela a seguir mostra a configuração verificada para implantar o agente de GuardDuty segurança e configurar o Runtime Monitoring.

Distribuição do sistema operacional	Suporte do kernel	Arquitetura do CPU
Distribuição do sistema operacional	Suporte do kernel	x64 () AMD64	Gráviton (1) ARM64
Linux	eBPF, Tracepoints, Kprobe	Compatível	Compatível

Forneça ECR permissões e detalhes da sub-rede

Antes de ativar o Runtime Monitoring, você deve fornecer os seguintes detalhes:

Forneça uma função de execução de tarefas com permissões

A função de execução da tarefa exige que você tenha determinadas permissões do Amazon Elastic Container Registry (AmazonECR). Você pode usar a política mazonECSTaskExecutionRolePolicygerenciada A ou adicionar as seguintes permissões à sua TaskExecutionRole política:


...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Para restringir ainda mais ECR as permissões da Amazon, você pode adicionar o ECR repositório da Amazon URI que hospeda o agente GuardDuty de segurança para AWS Fargate (ECSsomente Amazon). Para ter mais informações, consulte Repositório para GuardDuty agente em AWS Fargate (ECSsomente Amazon).

Forneça detalhes da sub-rede na definição da tarefa

Você pode fornecer as sub-redes públicas como uma entrada na definição de sua tarefa ou criar um endpoint da Amazon ECRVPC.

Usando a opção de definição de tarefas — Executar o CreateServicee UpdateServiceAPIsno Amazon Elastic Container Service API Reference exige que você passe as informações da sub-rede. Para obter mais informações, consulte as definições de ECS tarefas da Amazon no Amazon Elastic Container Service Developer Guide.
Usando a opção de ECR VPC endpoint da Amazon — Forneça um caminho de rede para a Amazon ECR — Garanta que o ECR repositório da Amazon URI que hospeda o agente de GuardDuty segurança esteja acessível pela rede. Se suas tarefas do Fargate forem executadas em uma sub-rede privada, o Fargate precisará do caminho da rede para baixar o contêiner. GuardDuty

Para obter informações sobre como permitir que o Fargate baixe o GuardDuty contêiner, consulte Usando a Amazon com a ECRAmazon ECS no Guia do Desenvolvedor do Amazon Elastic Container Service.

Validando a política de controle de serviços da sua organização

Se você configurou uma política de controle de serviço (SCP) para gerenciar permissões em sua organização, certifique-se de que a política não negue a permissãoguardduty:SendSecurityTelemetry. É necessário para oferecer suporte GuardDuty ao Runtime Monitoring em diferentes tipos de recursos.

Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento SCPs de sua organização, consulte Políticas de controle de serviços (SCPs).

CPUe limites de memória

Na definição da tarefa do Fargate, você deve especificar o valor CPU e a memória no nível da tarefa. A tabela a seguir mostra as combinações válidas de valores de nível de tarefa CPU e memória e o limite máximo de memória do agente GuardDuty de segurança correspondente para o GuardDuty contêiner.

CPU value	Valor de memória	GuardDuty limite máximo de memória do agente
256 (2,5 g) CPU	512 MiB, 1 GB, 2 GB	128 MB
512 (0,5 kV) CPU	1 GB, 2 GB, 3 GB, 4 GB
1024 (1 v) CPU	2 GB, 3 GB, 4 GB
1024 (1 v) CPU	5 GB, 6 GB, 7 GB, 8 GB
2048 (2 v) CPU	Entre 4 GB e 16 GB em incrementos de 1 GB
4096 (4 g) CPU	Entre 8 GB e 20 GB em incrementos de 1 GB
1892 (8 v) CPU	Entre 16 GB e 28 GB em incrementos de 4 GB	256 MB
1892 (8 v) CPU	Entre 32 GB e 60 GB em incrementos de 4 GB	512 MB
16384 (16 v) CPU	Entre 32 GB e 120 GB em incrementos de 8 GB	1 GB

Depois de ativar o Runtime Monitoring e avaliar se o status da cobertura do seu cluster é íntegro, você pode configurar e visualizar as métricas do Container Insight. Para obter mais informações, Configurando o monitoramento no ECS cluster da Amazon.

A próxima etapa é configurar o Runtime Monitoring e também configurar o agente de segurança.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Por EC2 exemplo

Para EKS cluster