本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
ecs-task-definition-user-for-host-mode-check
检查具有主机网络模式的 Amazon ECS 任务定义在容器定义中是否具有特权或非根权限。COMPLIANT如果任务定义的最新活动版本具有权限=false(或为空)ANDuser=root(或为空),则规则为 NON _。
重要
只需要满足一个条件即可使该规则返回 compliant
该规则适用于COMPLIANT以下任何一种情况:
如果网络模式未设置为主机,
如果任务定义的最新当前修订版本的 privileged=true,
如果任务定义的最新当前修订版本的用户不是根用户。
这意味着,只需要满足一个条件即可使该规则返回 compliant 要具体检查任务定义是否具有 priged=true 权限,请参阅。ecs-containers-nonprivileged要具体检查任务定义的用户是否不是 root,请参阅 ecs-task-definition-nonroot-user。
标识符:ECSTASK_ DEFINITION _ USER _ FOR _ _ HOST _ MODE _ CHECK
资源类型: AWS::ECS::TaskDefinition
触发器类型: 配置更改
Amazon Web Services 区域:除美国ISO西部、美国ISO东部、中东 ()、亚太 Amazon 地区(大阪UAE)、亚太地区(马来西亚)、美国ISOB东部、亚太地区(墨尔本)、以色列(特拉维夫)、加拿大西部(卡尔加里)地区以外的所有支持区域
参数:
- SkipInactiveTaskDefinitions (可选)
- 类型:布尔值
-
布尔值标志,用于不检查 INACTIVE Amazon EC2 任务定义。如果设置为 “true”,则该规则将不会评估INACTIVE亚马逊EC2任务定义。如果设置为 “false”,则该规则将评估INACTIVE亚马逊EC2任务定义的最新版本。
Amazon CloudFormation 模板
要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则。