ecs-task-definition-user-for-host-mode-check - Amazon Config
Amazon CloudFormation 模板
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ecs-task-definition-user-for-host-mode-check

检查具有主机网络模式的 Amazon ECS 任务定义在容器定义中是否具有特权或非根权限。如果任务定义的最新有效版本的 privileged=false(或为空)且 user=root(或为空),则该规则为 NON_COMPLIANT。

重要

只需要满足一个条件即可使该规则返回 compliant

在以下任何情况下,该规则均为 COMPLIANT:

  • 如果网络模式未设置为主机,

  • 如果任务定义的最新当前修订版本的 privileged=true,

  • 如果任务定义的最新当前修订版本的用户不是根用户。

这意味着,只需要满足一个条件即可使该规则返回 compliant 要具体检查任务定义是否具有 priged=true 权限,请参阅。ecs-containers-nonprivileged要具体检查任务定义的用户是否不是根用户,请参阅 ecs-task-definition-nonroot-user

标识符:ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK

资源类型: AWS::ECS::TaskDefinition

触发器类型: 配置更改

Amazon Web Services 区域:除中东(阿联酋) Amazon 地区之外的所有支持区域

参数:

SkipInactiveTaskDefinitions (可选)
类型:布尔值

布尔值标志,用于不检查非活动的 Amazon EC2 任务定义。如果设置为 “true”,则该规则将不会评估非活动的 Amazon EC2 任务定义。如果设置为 “false”,则该规则将评估非活动亚马逊 EC2 任务定义的最新版本。

Amazon CloudFormation 模板

要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则