ecs-task-definition-user-for-host-mode-check

檢查 NetworkMode 已設定為主機的最新作用中 Amazon Elastic Container Service (Amazon ECS) 任務定義中是否有未經授權的許可。若 NetworkMode 設定為主機、privileged 容器定義設為 false 或空白，且 user 設定為根或空白的任務定義，則規則為「NON_COMPLIANT」。

重要

建議您從 Amazon ECS 任務定義中移除提升的權限。privileged 為 true 時，容器便會取得主機容器執行個體的更高許可 (類似 root 使用者)。執行使用 host 網路模式的任務時，為了獲得更好的安全性，不要使用根使用者 (UID 0) 執行容器。作為最佳安全實務，請一律使用非根使用者。

識別符：ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK

資源類型： AWS::ECS::TaskDefinition

觸發類型： Configuration changes (組態變更)

AWS 區域: 除中東 (阿拉伯聯合大公國)、亞太區域 (大阪)、亞太區域 (墨爾本)、以色列 (特拉維夫)、加拿大西部 (卡加利) 地區以外的所有支援 AWS 地區

參數：

SkipInactiveTaskDefinitions (選擇性)

類型：布林值

布林值標記不檢查非作用中的 Amazon EC2 任務定義。如果設定為 'true'，則規則不會評估非作用中的 Amazon EC2 任務定義。如果設定為 'false'，則規則將評估非作用中 Amazon EC2 任務定義的最新修訂。

AWS CloudFormation 範本

若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則，請參閱建立 AWS Config 受管規則 (使用 AWS CloudFormation 範本)。