本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您應該考量單一容器執行個體及其在威脅模型中的存取。例如,單一受影響的任務可能在相同執行個體上利用未受感染任務的 IAM 許可。
建議您採用下列動作以協助防止此種情況:
-
執行任務時,請勿使用管理員權限。
-
為您的任務指派具有最低權限存取的任務角色。
容器代理程式會自動建立具有唯一憑證 ID 的字符,此字符可用於存取 Amazon ECS 資源。
-
針對任務中採用
awsvpc網路模式的容器,如欲避免其存取提供給 Amazon EC2 執行個體設定檔的憑證資訊 (同時仍然允許任務角色所提供的許可),請在代理程式組態檔案中將ECS_AWSVPC_BLOCK_IMDS代理程式組態變數設定為 true,並重新啟動代理程式。 -
使用 Amazon GuardDuty 執行期監控來偵測 AWS 環境中叢集和容器的威脅。執行期監控使用 GuardDuty 安全代理程式,為個別 Amazon ECS 工作負載新增執行期可見性,例如檔案存取、程序執行和網路連線。如需詳細資訊,請參閱《GuardDuty 使用者指南》中的 GuardDuty 執行期監控。 GuardDuty
