本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Fargate(仅限 Amazon ECS)资源-管理 GuardDuty 安全代理的方法
运行时监控为您提供了检测账户中所有 Amazon ECS 集群(账户级别)或特定集群(集群级别)的潜在安全威胁的选项。当您为将要运行的每个 Amazon ECS Fargate 任务启用自动代理配置时, GuardDuty 将为该任务中的每个容器工作负载添加一个边车容器。 GuardDuty 安全代理被部署到这个 sidecar 容器上。通过这种方式 GuardDuty 可以了解 Amazon ECS 任务中容器的运行时行为。
目前,运行时监控仅支持通过管理您的 Amazon ECS 集群 (Amazon Fargate) 的安全代理 GuardDuty。不支持在 Amazon ECS 集群上手动管理安全代理。
在配置账户之前,请评估您希望如何管理 GuardDuty 安全代理,并有可能监控属于 Amazon ECS 任务的容器的运行时行为。考虑以下方法。
主题
管理所有 Amazon ECS 集群 GuardDuty 的安全代理
这种方法将帮助您在账户层面检测潜在的安全威胁。如果您 GuardDuty 想检测属于您账户的所有 Amazon ECS 集群的潜在安全威胁,请使用此方法。
管理大部分 Amazon ECS 集群 GuardDuty 的安全代理,但不包括一些 Amazon ECS 集群
如果您 GuardDuty 想检测 Amazon 环境中大多数 Amazon ECS 集群的潜在安全威胁,但不包括部分集群,请使用此方法。此方法可帮助您在集群级别监控 Amazon ECS 任务中容器的运行时行为。例如,属于您的账户的 Amazon ECS 集群数量为 1000。但是,您只想监控 930 个 Amazon ECS 集群。
此方法要求您向不想监控的 Amazon ECS 集群添加预定义 GuardDuty 标签。有关更多信息,请参阅 管理 Fargate 的自动安全代理(仅限亚马逊 ECS)。
管理精选 Amazon ECS 集群 GuardDuty 的安全代理
当您想要 GuardDuty 检测某些 Amazon ECS 集群的潜在安全威胁时,请使用此方法。此方法可帮助您在集群级别监控 Amazon ECS 任务中容器的运行时行为。例如,属于您的账户的 Amazon ECS 集群数量为 1000。但是,您只想监控 230 个集群。
此方法要求您向要监控的 Amazon ECS 集群添加预定义 GuardDuty 标签。有关更多信息,请参阅 管理 Fargate 的自动安全代理(仅限亚马逊 ECS)。