AWS Fargate （仅限 Amazon ECS）支持的先决条件

验证架构要求

您使用的平台可能会影响 GuardDuty 安全代理支持 GuardDuty 从 Amazon ECS 集群接收运行时事件的方式。您必须验证自己使用的是其中一个经过验证的平台。

初步考虑因素：

您的亚马逊 ECS 集群的 AWS Fargate (Fargate) 平台必须是 Linux。相应的平台版本必须至少为1.4.0、或LATEST。有关平台版本的更多信息，请参阅《亚马逊弹性容器服务开发人员指南》中的 Linux 平台版本。

尚不支持 Windows 平台版本。

操作系统分布和 CPU 架构会影响 GuardDuty安全代理提供的支持。下表显示了用于部署 GuardDuty安全代理和配置运行时监控的经过验证的配置。

操作系统发行版	内核支持	CPU 架构
操作系统发行版	内核支持	x64（AMD64）	Graviton（ARM64）
Linux	eBPF、Tracepoints、Kprobe	支持	支持

在启用运行时监控之前，必须提供以下详细信息：

为任务执行角色提供权限

任务执行角色要求您拥有某些亚马逊弹性容器注册表 (Amazon ECR) Container Registry 权限。您可以使用 Amazonecs TaskExecutionRolePolicy 托管策略，也可以在您的TaskExecutionRole策略中添加以下权限：


...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

要进一步限制 Amazon ECR 权限，您可以添加托管其 GuardDuty 安全代理的 Amazon ECR 存储库 URI（仅限 AWS Fargate Amazon ECS）。有关更多信息，请参阅上的 GuardDuty 代理存储库 AWS Fargate （仅限 Amazon ECS）。

在任务定义中提供子网详细信息

您可以在任务定义中提供公有子网作为输入，也可以创建 Amazon ECR VPC 终端节点。

使用任务定义选项 — 运行《亚马逊弹性容器服务 UpdateServiceAPI 参考》中的CreateService和 API 需要您传递子网信息。有关更多信息，请参阅《亚马逊弹性容器服务开发者指南》中的 Amazon ECS 任务定义。
使用 Amazon ECR VPC 终端节点选项 — 提供指向 Amazon ECR 的网络路径 — 确保托管 GuardDuty 安全代理的 Amazon ECR 存储库 URI 可通过网络访问。如果您的 Fargate 任务将在私有子网中运行，那么 Fargate 将需要网络路径来下载容器。 GuardDuty

有关启用 Fargate 下载容器的信息，请参阅亚马逊弹性 GuardDuty 容器服务开发者指南中的将 Amazon ECR 与 Ama zon ECS 配合使用。

如果您已设置服务控制策略 (SCP) 来管理组织中的权限，请确保该策略不会拒绝该权限guardduty:SendSecurityTelemetry。它是支持跨不同资源类型的运行时监控所必需的。 GuardDuty

如果您是成员账户，请与关联的委托管理员建立联系。有关管理组织的 SCP 的信息，请参阅服务控制策略 (SCP)。

在 Fargate 任务定义中，您必须在任务级别指定 CPU 和内存值。下表显示了任务级 CPU 和内存值的有效组合，以及相应 GuardDuty 的安全代理对容器的最大内存限制。 GuardDuty

启用运行时监控并评估集群的覆盖状态是否为 “正常” 后，您可以设置和查看容器洞察指标。有关更多信息，请参阅在 Amazon ECS 集群上设置监控。

下一步是配置运行时监控并配置安全代理。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

对于 EC2 实例

适用于 EKS 集群