运行时监控如何与 Fargate 配合使用（仅限亚马ECS逊）

启用运行时监控后 GuardDuty ，即可使用任务中的运行时事件。这些任务在 Amazon ECS 集群中运行，而这些集群又在 Amazon 集群上运行 AWS Fargate (Fargate) 实例。 GuardDuty 要接收这些运行时事件，必须使用完全托管的专用安全代理。

运行时监控支持管理您的 Amazon ECS 集群的安全代理 (AWS Fargate）只能通过 GuardDuty。不支持在 Amazon ECS 集群上手动管理安全代理。

您可以 GuardDuty 允许代表您管理 GuardDuty 安全客户端，方法是使用自动代理配置 AWS 账户或组织。 GuardDuty 将开始将安全代理部署到您的 Ama ECS zon 集群中启动的新 Fargate 任务。以下列表列出了启用 GuardDuty 安全代理时的预期情况。

启用 GuardDuty 安全代理的影响

GuardDuty 创建虚拟私有云 (VPC) 端点和安全组

• 部署 GuardDuty 安全代理时， GuardDuty 将创建一个VPC终端节点，安全代理通过该端点将运行时事件传送到 GuardDuty。

  除了VPC终端节点外， GuardDuty 还会创建一个新的安全组。入站（入口）规则控制允许访问与安全组关联的资源的流量。 GuardDuty 添加与您的资源VPCCIDR范围相匹配的入站规则，并在CIDR范围发生变化时进行调整。有关更多信息，请参阅 Amazon VPC 用户指南中的VPCCIDR范围。

• 使用自动代理集中VPC使用——当你对资源类型使用 GuardDuty 自动代理配置时， GuardDuty 将代表你为所有资源类型创建一个VPC终端节点VPCs。这包括集中式VPC和分支式VPCs。 GuardDuty 不支持仅为集中式创建VPC端点VPC。有关集中式VPC工作原理的更多信息，请参阅中的接口VPC终端节点 AWS 白皮书-构建可扩展且安全的多功能组合 VPC AWS 网络基础架构。

• 使用VPC终端节点不会产生额外费用。

GuardDuty 添加边车容器

对于开始运行的新 Fargate 任务或服务， GuardDuty 容器（边车）将自身附加到 Amazon Far ECS gate 任务中的每个容器。 GuardDuty 安全代理在连接的 GuardDuty 容器内运行。这 GuardDuty 有助于收集在这些任务中运行的每个容器的运行时事件。

启动 Fargate 任务时，如果 GuardDuty 容器（sidecar）无法在正常状态下启动，则运行时监控的设计不会阻止任务运行。

默认情况下，Fargate 任务是不可变的。 GuardDuty 当任务已经处于运行状态时，不会部署边车。如果要监控已在运行的任务中的容器，可以停止该任务并重新启动它。