Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 Fargate(仅限 Amazon ECS)的自动安全代理
运行时监控仅支持通过管理您的 Amazon ECS 集群 (Amazon Fargate) 的安全代理 GuardDuty。不支持在 Amazon ECS 集群上手动管理安全代理。
在继续完成本节中的步骤之前,务必要满足Amazon Fargate (仅限 Amazon ECS)支持的先决条件部分的要求。
根据选择首选方法为您的资源启用 GuardDuty 自动代理。 在 Amazon ECS-Fargate 资源中管理 GuardDuty 安全代理的方法
在多账户环境中,只有委派的 GuardDuty 管理员账户才能启用或禁用成员账户的自动代理配置,以及管理属于其组织中成员账户的 Amazon ECS 集群的自动代理配置。 GuardDuty 成员账户无法修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 Amazon Organizations。有关多账户环境的更多信息,请参阅中的管理多个账户。 GuardDuty
为委派的 GuardDuty 管理员账户启用自动代理配置
- Manage for all Amazon ECS clusters (account level)
-
如果对于“运行时监控”您选择了为所有账户启用,您将有以下选项:
如果您在“运行时监控”部分选择了手动配置账户,请执行以下操作:
-
在“自动代理配置”部分下选择手动配置账户。
-
在 “委派 GuardDuty 管理员账户(此账户)” 部分选择 “启用”。
选择保存。
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
向此 Amazon ECS 集群添加一个键值对为 GuardDutyManaged-false 的标签。
-
阻止修改标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/。
-
在导航窗格中,选择运行时监控。
-
在为您的账户启用自动代理配置之前,请务必将排除标签添加到您的 Amazon ECS 集群;否则,s GuardDuty idecar 容器将附加到已启动的 Amazon ECS 任务中的所有容器上。
在配置选项卡下,选择自动代理配置中的启用。
对于尚未排除的 Amazon ECS 集群, GuardDuty将管理边车容器中安全代理的部署。
-
选择保存。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
向要包含其中所有任务的 Amazon ECS 集群添加标签。键值对必须是 GuardDutyManaged-true。
-
阻止修改这些标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
在 Amazon ECS 集群中使用包含标签时,您无需通过自动 GuardDuty 代理配置明确启用代理。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
为所有成员账户自动启用
- Manage for all Amazon ECS clusters (account level)
-
以下步骤假设您在“运行时监控”部分选择了为所有账户启用。
-
在 “自动代理配置” 部分为所有账户选择 “启用”。 GuardDuty 将为所有已启动的 Amazon ECS 任务部署和管理安全代理。
-
选择保存。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
向此 Amazon ECS 集群添加一个键值对为 GuardDutyManaged-false 的标签。
-
阻止修改标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/。
-
在导航窗格中,选择运行时监控。
-
在为您的账户启用自动代理配置之前,请务必将排除标签添加到您的 Amazon ECS 集群;否则,s GuardDuty idecar 容器将附加到已启动的 Amazon ECS 任务中的所有容器上。
在配置选项卡下,选择编辑。
-
在自动代理配置部分选择为所有账户启用
对于尚未排除的 Amazon ECS 集群, GuardDuty将管理边车容器中安全代理的部署。
-
选择保存。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for selective (inclusion-only) Amazon ECS clusters (cluster
level)
-
无论您是通过哪种方式选择启用运行时监控的,以下步骤都有助您监控组织中所有成员账户的选定 Amazon ECS Fargate 任务。
-
请勿启用“自动代理配置”部分中的任何配置。确保运行时监控配置与上一步中选择的配置相同。
-
选择保存。
-
阻止修改这些标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
在 Amazon ECS 集群中使用包含标签时,您无需明确启用GuardDuty 代理自动管理。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
为现有活动成员账户启用自动代理配置
- Manage for all Amazon ECS clusters (account level)
-
-
在“运行时监控”页面的配置选项卡下,您可以查看自动代理配置的当前状态。
-
在“自动代理配置”窗格中的活动成员账户部分下,选择操作。
-
在操作中,选择为所有现有活跃成员账户启用。
-
选择确认。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
向此 Amazon ECS 集群添加一个键值对为 GuardDutyManaged-false 的标签。
-
阻止修改标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/。
-
在导航窗格中,选择运行时监控。
-
在为您的账户启用自动代理配置之前,请务必将排除标签添加到您的 Amazon ECS 集群;否则,s GuardDuty idecar 容器将附加到已启动的 Amazon ECS 任务中的所有容器上。
在“自动代理配置”部分的配置选项卡下,选择活动成员账户下的操作。
-
在操作中,选择为所有活跃成员账户启用。
对于尚未排除的 Amazon ECS 集群, GuardDuty将管理边车容器中安全代理的部署。
-
选择确认。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
向要包含其中所有任务的 Amazon ECS 集群添加标签。键值对必须是 GuardDutyManaged-true。
-
阻止修改这些标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
为 Amazon ECS 集群使用包含标签时,您无需显式启用自动代理配置。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
为新成员自动启用自动代理配置
- Manage for all Amazon ECS clusters (account level)
-
-
在“运行时监控”页面上,选择编辑以更新现有配置。
-
在“自动代理配置”部分中选择为新成员账户自动启用。
-
选择保存。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
向此 Amazon ECS 集群添加一个键值对为 GuardDutyManaged-false 的标签。
-
阻止修改标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/。
-
在导航窗格中,选择运行时监控。
-
在为您的账户启用自动代理配置之前,请务必将排除标签添加到您的 Amazon ECS 集群;否则,s GuardDuty idecar 容器将附加到已启动的 Amazon ECS 任务中的所有容器上。
在配置选项卡下,选择自动代理配置部分中的为新成员账户自动启用。
对于尚未排除的 Amazon ECS 集群, GuardDuty将管理边车容器中安全代理的部署。
-
选择保存。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
向要包含其中所有任务的 Amazon ECS 集群添加标签。键值对必须是 GuardDutyManaged-true。
-
阻止修改这些标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
为 Amazon ECS 集群使用包含标签时,您无需显式启用自动代理配置。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
有选择地为活动成员账户启用自动代理配置
- Manage for all Amazon ECS (account level)
-
-
在“账户”页面上,选择要为其启用运行时监控 – 自动代理配置(ECS-Fargate)的账户。您可以选择多个账户。确保您在此步骤中选择的账户已启用运行时监控。
-
从编辑防护计划中选择相应的选项,以启用运行时监控 – 自动代理配置(ECS-Fargate)。
-
选择确认。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
向此 Amazon ECS 集群添加一个键值对为 GuardDutyManaged-false 的标签。
-
阻止修改标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/。
-
在导航窗格中,选择运行时监控。
-
在为您的账户启用 GuardDuty 代理自动管理之前,请务必将排除标签添加到您的 Amazon ECS 集群;否则,s GuardDuty idecar 容器将附加到已启动的 Amazon ECS 任务中的所有容器上。
在“账户”页面上,选择要为其启用运行时监控 – 自动代理配置(ECS-Fargate)的账户。您可以选择多个账户。确保您在此步骤中选择的账户已启用运行时监控。
对于尚未排除的 Amazon ECS 集群, GuardDuty将管理边车容器中安全代理的部署。
-
从编辑防护计划中选择相应的选项,以启用运行时监控 – 自动代理配置(ECS-Fargate)。
-
选择保存。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
对于含有要监控的 Amazon ECS 集群的选定账户,要确保您没有为这些账户启用自动代理配置或运行时监控 – 自动代理配置(ECS-Fargate)。
-
向要包含其中所有任务的 Amazon ECS 集群添加标签。键值对必须是 GuardDutyManaged-true。
-
阻止修改这些标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
为 Amazon ECS 集群使用包含标签时,您无需显式启用自动代理配置。
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源:
登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/。
-
在导航窗格中,选择运行时监控。
-
在配置选项卡下:
-
管理所有 Amazon ECS 集群的自动代理配置(账户级别)
在 Amazon Fargate (仅限 ECS)的自动代理配置部分中选择启用。当新的 Fargate Amazon ECS 任务启动时, GuardDuty 将管理安全代理的部署。
-
选择保存。
-
通过排除某些 Amazon ECS 集群来管理自动代理配置(集群级别)
-
向要排除其中所有任务的 Amazon ECS 集群添加标签。键值对必须是 GuardDutyManaged-false。
-
阻止修改这些标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
在配置选项卡下,选择自动代理配置部分中的启用。
在为您的账户启用 GuardDuty 代理自动管理之前,请务必将排除标签添加到您的 Amazon ECS 集群;否则,将在相应的 Amazon ECS 集群内启动的所有任务中部署安全代理。
对于尚未排除的 Amazon ECS 集群, GuardDuty将管理边车容器中安全代理的部署。
-
选择保存。
-
通过包含某些 Amazon ECS 集群来管理自动代理配置(集群级别)
-
向要包含其中所有任务的 Amazon ECS 集群添加标签。键值对必须是 GuardDutyManaged-true。
-
阻止修改这些标签,可信实体除外。《Amazon Organizations 用户指南》中 Prevent tags from being modified except by authorized principles 部分提供的策略已经修改,以便在此处适用。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
如果 GuardDuty 要监控属于服务一部分的任务,则需要在启用运行时监控后部署新的服务。如果特定 ECS 服务的上次部署是在启用运行时监控之前启动的,则可以重新启动该服务,也可以使用 forceNewDeployment 更新服务。
有关更新服务的步骤,请参阅以下资源: