本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
ecs-task-definition-user-for-host-mode-check
检查最新活动的 Amazon Elastic Container Service (Amazon ECS) 任务定义中 NetworkMode
设置为 host 的未授权权限。对于 NetworkMode
设置为 host 的任务定义,以及 privileged
设置为 false 或空且 user
设置为 root 或空的容器定义,此规则为 NON_COMPLIANT。
重要
建议您从 Amazon ECS 任务定义中删除提升的权限。如果privileged
为 true,则容器在宿主容器实例上获得提升的权限(与root
用户类似)。运行使用 host
网络模式的任务时,请勿使用根用户(UID 0)运行容器,以获得更好的安全性。作为安全最佳实践,请始终使用非根用户。
标识符:ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK
资源类型: AWS::ECS::TaskDefinition
触发器类型: 配置更改
Amazon Web Services 区域: 所有支持的 Amazon 区域
参数:
- SkipInactiveTaskDefinitions (可选)
- 类型:布尔值
-
布尔值标志,避免检查处于 INACTIVE 状态的 Amazon EC2 任务定义。如果设置为“true”,则此规则将不会评估处于 INACTIVE 状态的 Amazon EC2 任务定义。如果设置为“false”,则此规则将评估处于 INACTIVE 状态的 Amazon EC2 任务定义的最新版本。
Amazon CloudFormation 模板
要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则。