Amazon ECS 的 Amazon EC2 容器实例安全注意事项

您应该考虑在威胁模型中使用单个容器实例及其访问权限。例如，单个受影响的任务可能能够在同一实例上利用未受影响任务的 IAM 权限。

建议您使用以下方式来帮助防止此情况：

运行任务时请勿使用管理员权限。
为任务分配具有最低权限访问权限的任务角色。

容器代理会自动创建具有唯一凭证 ID 的令牌，该令牌用于访问 Amazon ECS 资源。
要防止使用 awsvpc 网络模式的任务运行的容器访问提供给 Amazon EC2 实例配置文件的凭证信息（同时仍允许任务角色提供的权限），请将代理配置文件中的 ECS_AWSVPC_BLOCK_IMDS 代理配置变量设置为 true，然后重新启动代理。
使用 Amazon GuardDuty 运行时监控来检测 AWS 环境中集群和容器的威胁。运行时监控使用 GuardDuty 安全代理为单个 Amazon ECS 工作负载增加运行时可见性，例如，文件访问、进程执行和网络连接。有关更多信息，请参阅《GuardDuty 用户指南》中的 GuardDuty 运行时监控。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

EC2 启动类型的容量提供程序

为 Amazon EC2 启动类型创建集群