本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
支持 Amazon EC2 实例的先决条件
将 EC2 实例设为 SSM 托管
您 GuardDuty 要监控运行时事件的 Amazon EC2 实例必须由 Amazon Systems Manager (SSM) 托管。无论您是使用 GuardDuty 自动管理安全客户端还是手动管理安全客户端(除外方法 2-使用 RPM 安装脚本),这都是如此。
要使用管理您的 Amazon EC2 实例 Amazon Systems Manager,请参阅Amazon Systems Manager 用户指南中的为 Amazon EC2 实例设置 Systems Manager。
验证架构要求
操作系统分发的架构可能会影响 GuardDuty 安全代理的行为。在对 Amazon EC2 实例使用运行时监控之前,您必须满足以下要求:
-
目前,Amazon EC2 的运行时监控支持仅适用于 Linux 版本。尽管目前尚不支持Ubuntu,但将在不久的将来提供。要接收有关此页面更新的通知,请订阅 RSS feed。
下表显示了经验证可支持 Amazon EC2 实例 GuardDuty 安全代理的操作系统分配。
操作系统发行版 内核版本 内核支持 CPU 架构 x64(AMD64) Graviton(ARM64) AL2 和 AL2023
5.4、5.10、5.15、6.1
eBPF、Tracepoints、Kprobe
支持
支持
-
其他要求-仅当你有 Amazon ECS/Amazon EC2 时
对于亚马逊 ECS/Amazon EC2,我们建议您使用最新的亚马逊 ECS 优化版 AMI(日期为 2023 年 9 月 29 日或之后),或者使用亚马逊 ECS 代理版本 v1.77.0。
使用自动代理配置时
为使用自动代理配置(推荐)此,您 Amazon Web Services 账户 必须满足以下先决条件:
-
在自动代理配置中使用包含标签时, GuardDuty 要为新实例创建 SSM 关联,请确保新实例由 SSM 管理并显示在 https://console.aws.amazon.com/systems-manager/
控制台的 Fleet Manager 下。 -
在自动代理配置中使用排除标签时:
-
在为您的账户配置 GuardDuty 自动代理之前,请添加
GuardDutyManaged
:false
标签。在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
-
要使排除标签起作用,请更新实例配置,以便实例元数据服务 (IMDS) 中提供实例身份文档。执行此步骤的程序已经是您账户的一部分启用运行时监控。
-
GuardDuty 代理的 CPU 和内存限制
- CPU 限制
-
与 Amazon EC2 实例关联 GuardDuty 的安全代理的最大 CPU 限制为 vCPU 内核总数的 10%。例如,如果您的 EC2 实例有 4 个 vCPU 内核,则安全代理最多可以使用 400% 的可用核心。
- 内存限制
-
从与您的 Amazon EC2 实例关联的内存中, GuardDuty 安全代理可以使用的内存有限。
下表显示了内存限制。
亚马逊 EC2 实例的内存
GuardDuty 代理的最大内存
小于 8 GB
128MB
小于 32 GB
256 MB
大于或等于 32 GB
1 GB
后续步骤
下一步是配置运行时监控并管理安全代理(自动或手动)。