Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Pré-requisitos para suporte (somente AWS Fargate na AmazonECS)

Modo de foco
Pré-requisitos para suporte (somente AWS Fargate na AmazonECS) - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Esta seção inclui os pré-requisitos para monitorar o comportamento em tempo de execução de seus recursos do Fargate-Amazon. ECS Depois que esses pré-requisitos forem atendidos, consulte Habilitando o GuardDuty monitoramento de tempo.

Validação dos requisitos de arquitetura

A plataforma que você usa pode afetar a forma como o agente GuardDuty de segurança oferece suporte GuardDuty ao recebimento de eventos de tempo de execução de seus ECS clusters da Amazon. Você precisa validar que está usando uma das plataformas verificadas.

Considerações iniciais:

A AWS Fargate plataforma para seus ECS clusters da Amazon deve ser Linux. A versão da plataforma correspondente deve ser pelo menos1.4.0 ouLATEST. Para obter mais informações sobre as versões de plataforma, consulte Versões da plataforma Linux no Guia do desenvolvedor do Amazon Elastic Container Service.

As versões da plataforma Windows ainda não são suportadas.

Plataformas verificadas

A distribuição e a CPU arquitetura do sistema operacional afetam o suporte fornecido pelo agente GuardDuty de segurança. A tabela a seguir mostra a configuração verificada para implantar o agente de GuardDuty segurança e configurar o Runtime Monitoring.

Distribuição do sistema operacional1 Suporte do kernel Arquitetura do CPU
x64 () AMD64 Gráviton (1) ARM64
Linux eBPF, Tracepoints, Kprobe Compatível Compatível

1 Suporte para vários sistemas operacionais - GuardDuty verificou o suporte para o uso do Runtime Monitoring nos sistemas operacionais listados na tabela anterior. Se você usar um sistema operacional diferente e conseguir instalar o agente de segurança com êxito, poderá obter todo o valor de segurança esperado que GuardDuty foi verificado para fornecer com a distribuição do sistema operacional listada.

Forneça ECR permissões e detalhes da sub-rede

Antes de habilitar o Monitoramento de runtime, você deve fornecer os seguintes detalhes:

Disponibilizar uma função de execução de tarefa com permissões

A função de execução da tarefa exige que você tenha determinadas permissões do Amazon Elastic Container Registry (AmazonECR). Você pode usar a política mazonECSTaskExecutionRolePolicygerenciada A ou adicionar as seguintes permissões à sua TaskExecutionRole política:

... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...

Para restringir ainda mais ECR as permissões da Amazon, você pode adicionar o ECR repositório da Amazon URI que hospeda o agente GuardDuty de segurança para AWS Fargate (ECSsomente Amazon). Para obter mais informações, consulte Repositório para GuardDuty agente em AWS Fargate (ECSsomente Amazon).

Disponibilizar detalhes da sub-rede na definição da tarefa

Você pode fornecer as sub-redes públicas como uma entrada na definição de sua tarefa ou criar um endpoint da Amazon ECRVPC.

  • Usando a opção de definição de tarefas — Executar o CreateServicee UpdateServiceAPIsno Amazon Elastic Container Service API Reference exige que você passe as informações da sub-rede. Para obter mais informações, consulte as definições de ECS tarefas da Amazon no Amazon Elastic Container Service Developer Guide.

  • Usando a opção de ECR VPC endpoint da Amazon — Forneça um caminho de rede para a Amazon ECR — Garanta que o ECR repositório da Amazon URI que hospeda o agente de GuardDuty segurança esteja acessível pela rede. Se suas tarefas do Fargate forem executadas em uma sub-rede privada, o Fargate precisará do caminho da rede para baixar o contêiner. GuardDuty

    Para obter informações sobre como permitir que o Fargate baixe o GuardDuty contêiner, consulte Usando ECRimagens da Amazon com a Amazon ECS no Guia do usuário do Amazon Elastic Container Registry.

Validando sua política de controle de serviço da organização

Essa etapa é necessária para dar suporte GuardDuty ao Runtime Monitoring e avaliar a cobertura em diferentes tipos de recursos.

Se você configurou uma política de controle de serviço (SCP) para gerenciar permissões em sua organização, valide se o limite de permissões não é restritivo guardduty:SendSecurityTelemetry na sua política TaskExecutionRole e na política dela.

A política a seguir é um exemplo para permitir a guardduty:SendSecurityTelemetry política:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ..., ..., "guardduty:SendSecurityTelemetry" ], "Resource": "*" } ] }
  1. Use as etapas a seguir para validar se o limite de permissões não restringe guardduty:SendSecurityTelemetry:

    1. Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.

    2. No painel de navegação, em Gerenciamento de acesso, escolha Funções.

    3. Escolha o Nome da função para a página de detalhes.

    4. Expanda a seção Limite de permissões. Certifique-se de que guardduty:SendSecurityTelemetry não seja negado ou restrito.

  2. Use as seguintes etapas para validar se o Limite de permissões para sua política TaskExecutionRole não restringe guardduty:SendSecurityTelemetry:

    1. Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.

    2. No painel de navegação, em Gerenciamento de acesso, escolha Políticas.

    3. Escolha o Nome da política para a página de detalhes.

    4. Na guia Entidades anexadas, veja a seção Anexado como limite de permissões. Certifique-se de que guardduty:SendSecurityTelemetry não seja negado ou restrito.

Para obter informações sobre políticas e permissões, consulte Limites de permissões no Guia IAM do usuário.

Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento SCPs de sua organização, consulte Políticas de controle de serviços (SCPs).

CPUe limites de memória

Na definição da tarefa do Fargate, você deve especificar o valor CPU e a memória no nível da tarefa. A tabela a seguir mostra as combinações válidas de valores de nível de tarefa CPU e memória e o limite máximo de memória do agente GuardDuty de segurança correspondente para o GuardDuty contêiner.

Valor do CPU Valor de memória GuardDuty limite máximo de memória do agente

256 (2,5 g) CPU

512 MiB, 1 GB, 2GB

128 MB

512 (0,5 kV) CPU

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 v) CPU

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 v) CPU

Entre 4 GB e 16 GB em incrementos de 1 GB

4096 (4 g) CPU

Entre 8 GB e 20 GB em incrementos de 1 GB

1892 (8 v) CPU

Entre 16 GB e 28 GB em incrementos de 4 GB

256 MB

Entre 32 GB e 60 GB em incrementos de 4 GB

512 MB

16384 (16 v) CPU

Entre 32 GB e 120 GB em incrementos de 8 GB

1 GB

Depois de habilitar o Monitoramento de runtime e avaliar se o status da cobertura do seu cluster é Íntegro, você pode configurar e visualizar as métricas do Container insight. Para obter mais informações, Configurando o monitoramento no ECS cluster da Amazon.

A próxima etapa é configurar o Monitoramento de runtime e também configurar o agente de segurança.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.