ecs-task-definition-user-for-host-mode-check - Amazon Config
Amazon CloudFormation 模板
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

ecs-task-definition-user-for-host-mode-check

检查具有主机网络模式的 Amazon ECS 任务定义在容器定义中是否具有特权或非根权限。如果任务定义的最新有效版本的 privileged=false(或为空)且 user=root(或为空),则该规则为 NON_COMPLIANT。

重要

只需要满足一个条件即可使该规则返回 compliant

在以下任何情况下,该规则均为 COMPLIANT:

  • 如果网络模式未设置为主机,

  • 如果任务定义的最新当前修订版本的 privileged=true,

  • 如果任务定义的最新当前修订版本的用户不是根用户。

这意味着,只需要满足一个条件即可使该规则返回 compliant 要具体检查任务定义是否具有 privileged=true,请参阅 ecs-containers-nonprivileged。要具体检查任务定义的用户是否不是根用户,请参阅 ecs-task-definition-nonroot-user

标识符:ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK

资源类型:AWS::ECS::TaskDefinition

触发器类型: 配置更改

Amazon Web Services 区域:所有受支持的 Amazon 区域

参数:

SkipInactiveTaskDefinitions(可选)
类型:布尔值

布尔值标志,避免检查处于 INACTIVE 状态的 Amazon EC2 任务定义。如果设置为“true”,则此规则将不会评估处于 INACTIVE 状态的 Amazon EC2 任务定义。如果设置为“false”,则此规则将评估处于 INACTIVE 状态的 Amazon EC2 任务定义的最新版本。

Amazon CloudFormation 模板

要使用 Amazon Config 模板创建 Amazon CloudFormation 托管规则,请参阅使用 Amazon Config 模板创建 Amazon CloudFormation 托管规则