ecs-task-definition-user-for-host-mode-check - Amazon Config
Amazon CloudFormation 模板
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ecs-task-definition-user-for-host-mode-check

检查最新活动的 Amazon Elastic Container Service (Amazon ECS) 任务定义中 NetworkMode 设置为 host 的未授权权限。对于 NetworkMode 设置为 host 的任务定义,以及 privileged 设置为 false 或空且 user 设置为 root 或空的容器定义,此规则为 NON_COMPLIANT。

重要

建议您从 Amazon ECS 任务定义中删除提升的权限。当 privileged 为 true 时,将对此容器提供对主机容器实例的提升的权限(类似于 root 用户)。运行使用 host 网络模式的任务时,请勿使用根用户(UID 0)运行容器,以获得更好的安全性。作为安全最佳实践,请始终使用非根用户。

标识符:ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK

资源类型: AWS::ECS::TaskDefinition

触发器类型: 配置更改

Amazon Web Services 区域:除中东(阿联酋)、亚太 Amazon 地区(大阪)、亚太地区(墨尔本)、以色列(特拉维夫)、加拿大西部(卡尔加里)地区以外的所有支持区域

参数:

SkipInactiveTaskDefinitions (可选)
类型:布尔值

布尔值标志,避免检查处于 INACTIVE 状态的 Amazon EC2 任务定义。如果设置为“true”,则此规则将不会评估处于 INACTIVE 状态的 Amazon EC2 任务定义。如果设置为“false”,则此规则将评估处于 INACTIVE 状态的 Amazon EC2 任务定义的最新版本。

Amazon CloudFormation 模板

要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则