(ECS僅限 Amazon AWS Fargate ) 支援的先決條件 - Amazon GuardDuty
驗證架構需求提供ECR權限和子網路詳細資驗證您的組織服務控制政策CPU和記憶體限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

(ECS僅限 Amazon AWS Fargate ) 支援的先決條件

驗證架構需求

您使用的平台可能會影響 GuardDuty 安全代理程式 GuardDuty 在從 Amazon ECS 叢集接收執行階段事件時支援的方式。您必須確認您使用的是經過驗證的平台之一。

初始考慮因素:

您的 Amazon ECS 群集的 AWS Fargate (Fargate) 平台必須是 Linux。對應的平台版本必須至少1.4.0為或LATEST。如需有關平台版本的詳細資訊,請參閱 Amazon 彈性容器服務開發人員指南中的 Linux 平台版本

目前尚不支援視窗平台版本。

已驗證的平台

作業系統發佈和CPU架構會影響 GuardDuty安全性代理程式提供的支援。下表顯示部署 GuardDuty安全代理程式和設定「執行時期監控」的已驗證組態。

作業系統發行版本 核心支援 CPU 架構
六十四 () AMD64 引力子 () ARM64
Linux eBPF, 追蹤點, 科普羅 支援 支援

提供ECR權限和子網路詳細資

啟用執行階段監視之前,您必須提供下列詳細資訊:

提供具有權限的工作執行角色

任務執行角色要求您具有某些 Amazon 彈性容器登錄 (AmazonECR) 許可。您可以使用 A mazonECSTask ExecutionRolePolicy 受管理的策略,也可以將下列權限新增至您的TaskExecutionRole策略:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

若要進一步限制 Amazon ECR 許可,您可以新增託管 GuardDuty 安全代理程式的 Amazon ECR 儲存庫 URI AWS Fargate (ECS僅限 Amazon)。如需詳細資訊,請參閱 上的 GuardDuty 代理程式儲存庫 AWS Fargate (ECS僅限 Amazon)

在任務定義中提供子網路詳細

您可以在任務定義中提供公有子網做為輸入,也可以建立 Amazon ECR VPC 端點。

驗證您的組織服務控制政策

如果您已設定服務控制原則 (SCP) 來管理組織中的權限,請確定該政策不會拒絕該權限guardduty:SendSecurityTelemetry。需要跨不同資源類型支援執行階段監視。 GuardDuty

如果您是成員帳戶,請與相關聯的委派管理員連線。如需有關為組織管理SCPs的資訊,請參閱服務控制原則 (SCPs)

CPU和記憶體限制

在 Fargate 工作定義中,您必須在工作層級指定CPU和記憶體值。下表顯示工作層級CPU和記憶體值的有效組合,以及容器的對應 GuardDuty 安全代理程式最大記憶體限制。 GuardDuty

CPU 值 記憶體數值 GuardDuty 代理程式記憶體上限

二百六十五 CPU

512 千 MiB 位,1 GB,二 GB

128 MB

五五十二 CPU

1 GB、2 GB、3 GB、4 GB

一百二十CPU五

2 GB,3 GB,4 GB

5 GB,6 GB,7 GB,8 GB

第二五CPU期

介於 4 GB 與 16 GB 之間,以 1 GB 為單位遞增

四女子 CPU

介於 8 GB 到 20 GB 之間,以 1 GB 為單位遞增

八五 CPU

介於 16 GB 到 28 GB 之間,以 4 GB 為單位遞增

256 MB

介於 32 GB 到 60 GB 之間,以 4 GB 為單位遞增

512 MB

16384 女子五 CPU

介於 32 GB 與 120 GB 之間,以 8 GB 為單位遞增

1 GB

啟用執行階段監視並評估叢集的涵蓋範圍狀態為 [狀況好] 之後,您可以設定並檢視容器洞察指標。如需更多詳細資訊,在 Amazon ECS 群集上設置監控

下一步是設定執行階段監控,並設定安全代理程式。