向 Amazon ECS 集群添加运行时监控 - Amazon Elastic Container Service
先决条件过程
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

向 Amazon ECS 集群添加运行时监控

配置集群的运行时监控,然后在您的 EC2 容器实例上安装 GuardDuty 安全代理。

先决条件

  1. 开启运行时监控。有关更多信息,请参阅 为 Amazon ECS 开启运行时监控

  2. 您可以使用预定义的标签来控制集群的运行时监控。如果您的访问策略基于标签限制访问,则必须向您的 IAM 用户授予标记集群的明确权限。有关更多信息,请参阅《IAM 用户指南》中的 IAM 教程:基于标签定义访问 Amazon 资源的权限

过程

执行以下操作以将运行时监控添加到集群中。

  1. 为每个集群 VPC 创建 GuardDuty 的 VPC 端点。有关更多信息,请参阅《GuardDuty 用户指南》中的手动创建 Amazon VPC 端点

  2. 配置 EC2 容器实例。

    1. 在集群中的 EC2 容器实例上,将 Amazon ECS 代理更新到版本 1.77 或更高版本。有关更多信息,请参阅 更新 Amazon ECS 容器代理

    2. 在集群中的 EC2 容器实例上,安装 GuardDuty 安全代理。有关更多信息,请参阅《GuardDuty 用户指南》中的手动管理 Amazon EC2 实例上的安全代理

      由于 GuardDuty 安全代理在 EC2 容器实例上作为一个进程运行,因此所有新任务和现有任务以及部署都将立即受到保护。

  3. 使用 Amazon ECS 控制台或 Amazon CLI 将集群上的 GuardDutyManaged 标签密钥设置为 true。有关更多信息,请参阅更新集群使用 CLI 或 API 处理标签。为标签使用以下值。

    注意

    键和值区分大小写,并且必须与字符串完全匹配。

    键 = GuardDutyManaged,值 = true