Amazon Fargate (仅限 Amazon ECS)支持的先决条件 - Amazon GuardDuty
验证架构要求提供 ECR 权限和子网详细信息CPU 和内存限制
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Fargate (仅限 Amazon ECS)支持的先决条件

验证架构要求

您使用的平台可能会影响 GuardDuty 安全代理支持 GuardDuty 从 Amazon ECS 集群接收运行时事件的方式。您必须验证自己使用的是其中一个经过验证的平台。

初步考虑因素:

您的亚马逊 ECS 集群的 Amazon Fargate (Fargate) 平台必须是 Linux。相应的平台版本必须至少为1.4.0、或LATEST。有关平台版本的更多信息,请参阅《亚马逊弹性容器服务开发人员指南》中的 Linux 平台版本

目前尚不支持 Windows 平台版本。

经过验证的平台

操作系统分布和 CPU 架构会影响 GuardDuty安全代理提供的支持。下表显示了用于部署 GuardDuty安全代理和配置运行时监控的经过验证的配置。

操作系统发行版 内核支持 CPU 架构
x64(AMD64) Graviton(ARM64)
Linux eBPF, Tracepoints, Kprobe Supported Supported

提供 ECR 权限和子网详细信息

在启用运行时监控之前,必须提供以下详细信息:

为任务执行角色提供权限

任务执行角色要求您拥有某些亚马逊弹性容器注册表 (Amazon ECR) Container Registry 权限。您可以使用 Amazonecs TaskExecutionRolePolicy 托管策略,也可以在您的TaskExecutionRole策略中添加以下权限:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

要进一步限制 Amazon ECR 权限,您可以添加托管其 GuardDuty 安全代理的 Amazon ECR 存储库 URI(仅限 Amazon Fargate Amazon ECS)。有关更多信息,请参阅 上的 GuardDuty 代理存储库 Amazon Fargate (仅限 Amazon ECS)

在任务定义中提供子网详细信息

您可以在任务定义中提供公有子网作为输入,也可以创建 Amazon ECR VPC 终端节点。

CPU 和内存限制

在 Fargate 任务定义中,您必须在任务级别指定 CPU 和内存值。下表显示了任务级 CPU 和内存值的有效组合,以及容器的相应 GuardDuty 安全代理最大内存限制。 GuardDuty

CPU 值 内存值 GuardDuty 代理最大内存限制

256 (.25 vCPU)

512 MiB、1 GB、2GB

128MB

512 (.5 vCPU)

1GB、2GB、3GB、4GB

1024 (1 vCPU)

2 GB、3 GB、4 GB

5 GB、6 GB、7 GB、8 GB

2048 (2 vCPU)

4GB 到 16GB 之间 (以 1GB 为增量)

4096 (4 vCPU)

介于 8 GB 到 20 GB 之间,以 1 GB 为增量

8192 (8 vCPU)

在 16 GB 到 28 GB 之间,以 4 GB 为增量

256 MB

介于 32 GB 到 60 GB 之间,以 4 GB 为增量

512MB

16384 (16 个 vCPU)

32 GB 到 120 GB 之间(以 8 GB 为增量)

1 GB

启用运行时监控并评估集群的覆盖状态是否为 “正” 后,您可以设置和查看容器洞察指标。有关更多信息,请参阅 在 Amazon ECS 集群上设置监控

下一步是配置运行时监控并管理安全代理。有关更多信息,请参阅 启用运行时监控