開啟 Amazon ECS 的執行期監控

您可以為具有 EC2 執行個體的叢集開啟執行期監控，或者當您需要在 Fargate 上的叢集層級精細控制執行期監控時。

以下是使用執行期監控的先決條件：

• Linux 的 Fargate 平台版本必須為 1.4.0 或更新版本。

• Amazon ECS 的 IAM 角色和許可：

  • Fargate 任務必須使用任務執行角色。此角色會授予任務許可，以代表您擷取、更新和管理 GuardDuty 安全代理程式。如需更多資訊，請參閱Amazon ECS 任務執行 IAM 角色。

  • 您可以使用預先定義的標籤來控制叢集的執行期監控。如果您的存取政策根據標籤限制存取，您必須將明確許可授予 IAM 使用者以標記叢集。如需詳細資訊，請參閱《IAM 使用者指南》中的 IAM 教學課程：定義根據標籤存取 AWS 資源的許可。

• 連線至 Amazon ECR 儲存庫：

  GuardDuty 安全代理程式存放在 Amazon ECR 儲存庫中。每個獨立 和服務任務都必須具有儲存庫的存取權。您可以使用下列其中一個選項：

  • 對於公有子網路中的任務，您可以使用任務的公有 IP 地址，或在任務執行的子網路中為 Amazon ECR 建立 VPC 端點。如需詳細資訊，請參閱 《Amazon Elastic Container Registry 使用者指南》中的 Amazon ECR 介面 VPC 端點 (AWS PrivateLink)。

  • 對於私有子網路中的任務，您可以使用網路位址轉譯 (NAT) 閘道，或在任務執行的子網路中為 Amazon ECR 建立 VPC 端點。

    如需詳細資訊，請參閱私有子網路和 NAT 閘道。

• 您必須具有 GuardDuty AWSServiceRoleForAmazonGuardDuty的角色。如需詳細資訊，請參閱《Amazon GuardDuty 使用者指南》中的 GuardDuty 的服務連結角色許可。 Amazon GuardDuty

• 您想要使用執行期監控保護的任何檔案都必須由根使用者存取。如果您手動變更檔案的許可，則必須將其設定為 755。

以下是在 EC2 容器執行個體上使用執行期監控的先決條件：

• 您必須使用 或更新版本20230929的 Amazon ECS-AMI。

• 您必須在容器執行個體上執行 Amazon ECS 代理程式至版本 1.77或更新版本。

• 您必須使用核心版本 5.10或更新版本。

• 如需有關支援的 Linux 作業系統和架構的資訊，請參閱 GuardDuty 執行期監控支援哪些操作模型和工作負載。

• 您可以使用 Systems Manager 來管理您的容器執行個體。如需詳細資訊，請參閱AWS Systems Manager Session Manager 《 使用者指南》中的為 EC2 執行個體設定 Systems Manager。

您可以在 GuardDuty 中開啟執行期監控。如需如何啟用此功能的資訊，請參閱《Amazon GuardDuty 使用者指南》中的啟用執行期監控。