# 为 Amazon ECS 开启运行时监控 您可以为带有 EC2 实例的集群开启运行时监控,或者当您需要在 Fargate 上精细控制集群级别的运行时监控时。 以下是使用运行时监控的先决条件: + Fargate 平台版本必须为适用于 Linux 的 `1.4.0` 或更高版本。 + Amazon ECS 的 IAM 角色和权限: + Fargate 任务必须使用任务执行角色。此角色授予任务代表您检索、更新和管理 GuardDuty 安全代理的权限。有关更多信息,请参阅 [Amazon ECS 任务执行 IAM 角色](task_execution_IAM_role.md)。 + 您可以使用预定义的标签来控制集群的运行时监控。如果您的访问策略基于标签限制访问,则必须向您的 IAM 用户授予标记集群的明确权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 教程:基于标签定义访问 Amazon 资源的权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。 + 连接到 Amazon ECR 存储库: GuardDuty 安全代理存储于 Amazon ECR 存储库中。每个独立任务和服务任务都必须具有访问该存储库的权限。可以使用以下选项之一: + 对于公有子网中的任务,您可以对任务使用公有 IP 地址,也可以在任务运行的子网中为 Amazon ECR 创建 VPC 端点。有关更多信息,请参阅《Amazon Elastic Container Registry 用户指南》**中的[Amazon ECR 接口 VPC 端点(Amazon PrivateLink)](https://docs.amazonaws.cn/AmazonECR/latest/userguide/vpc-endpoints.html)。 + 对于私有子网中的任务,您可以使用网络地址转换(NAT)网关,也可以在任务运行的子网中为 Amazon ECR 创建 VPC 端点。 有关更多信息,请参阅[私有子网和 NAT 网关](https://docs.amazonaws.cn/AmazonECS/latest/developerguide/networking-outbound.html#networking-private-subnet)。 + 您必须对 GuardDuty 具有 `AWSServiceRoleForAmazonGuardDuty` 角色。有关更多信息,请参阅《Amazon GuardDuty 用户指南》**中的 [GuardDuty 的服务相关角色权限](https://docs.amazonaws.cn/guardduty/latest/ug/slr-permissions.html)。 + 要用运行时监控保护的任何文件都必须能够由根用户访问。如果您手动更改了文件的权限,则必须将其设置为 `755`。 以下是在 EC2 容器实例上使用运行时监控的先决条件: + 您必须使用版本 `20230929` 或更高版本的 Amazon ECS-AMI。 + 您必须在容器实例上运行版本 `1.77` 或更高版本的 Amazon ECS 代理。 + 您必须使用内核版本 `5.10` 或更高版本。 + 有关支持的 Linux 操作系统和架构的信息,请参阅 [GuardDuty 运行时监控支持哪些运营模式和工作负载](https://www.amazonaws.cn//guardduty/faqs/?nc1=h_ls#product-faqs#guardduty-faqs#guardduty-ecs-runtime-monitoring)。 + 您可以使用 Systems Manager 管理您的容器实例。有关更多信息,请参阅 *Amazon Systems Manager Session Manager 用户指南*中的[为 EC2 实例设置 Systems Manager](https://docs.amazonaws.cn/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。 您可以在 GuardDuty 中开启运行时监控。有关如何启用该功能的信息,请参阅《Amazon GuardDuty 用户指南》**中的[启用运行时监控](https://docs.amazonaws.cn/guardduty/latest/ug/runtime-monitoring-configuration.html)。