Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Voraussetzungen für den Support AWS Fargate (nur Amazon ECS)
Dieser Abschnitt enthält die Voraussetzungen für die Überwachung des Laufzeitverhaltens Ihrer Fargate-Amazon ECS-Ressourcen. Wenn diese Voraussetzungen erfüllt sind, finden Sie weitere Informationen unter. [GuardDuty Laufzeitüberwachung aktivieren](runtime-monitoring-configuration.md)
**Topics**
+ [Validierung der architektonischen Anforderungen](#validating-architecture-req-ecs)
+ [Voraussetzungen für den Zugriff auf Container-Images](#before-enable-runtime-monitoring-ecs)
+ [Validierung der Service-Control-Richtlinie Ihres Unternehmens in einer Umgebung mit mehreren Konten](#validate-organization-scp-ecs)
+ [Überprüfung der Rollenberechtigungen und der Grenzen der Richtlinienberechtigungen](#guardduty-runtime-monitoring-ecs-permission-boundary)
+ [CPU- und Arbeitsspeicherlimits](#ecs-runtime-agent-cpu-memory-limits)
## Validierung der architektonischen Anforderungen
Die von Ihnen verwendete Plattform kann sich darauf auswirken, wie der GuardDuty Security Agent GuardDuty den Empfang der Runtime-Ereignisse von Ihren Amazon ECS-Clustern unterstützt. Sie müssen bestätigen, dass Sie eine der verifizierten Plattformen verwenden.
**Erste Überlegungen:**
Die AWS Fargate Plattform für Ihre Amazon ECS-Cluster muss Linux sein. Die entsprechende Plattformversion muss mindestens`1.4.0`, oder sein`LATEST`. Weitere Informationen zu den Plattformversionen finden Sie unter [Linux-Plattformversionen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform-linux-fargate.html) im *Amazon Elastic Container Service Developer Guide*.
Die Windows-Plattformversionen werden noch nicht unterstützt.
### Verifizierte Plattformen
Die Betriebssystemverteilung und die CPU-Architektur wirken sich auf die Unterstützung durch den GuardDuty Security Agent aus. Die folgende Tabelle zeigt die verifizierte Konfiguration für die Installation des GuardDuty Security Agents und die Konfiguration von Runtime Monitoring.
| Verteilung des Betriebssystems **[1](#runtime-monitoring-ecs-os-support)** | Kernel-Unterstützung | CPU-Architektur x64 () AMD64 | CPU-Architektur Graviton () ARM64 |
| --- | --- | --- | --- |
| Linux | eBPF, Tracepoints, Kprobe | Unterstützt | Unterstützt |
1 Support für verschiedene Betriebssysteme — GuardDuty hat die Runtime Monitoring-Unterstützung für die in der obigen Tabelle aufgeführte Betriebssystemdistribution verifiziert. Der GuardDuty Security Agent kann zwar auf Betriebssystemen ausgeführt werden, die in der obigen Tabelle nicht aufgeführt sind, aber das GuardDuty Team kann den erwarteten Sicherheitswert nicht garantieren.
## Voraussetzungen für den Zugriff auf Container-Images
Die folgenden Voraussetzungen helfen Ihnen beim Zugriff auf das GuardDuty Sidecar-Container-Image aus dem Amazon ECR-Repository.
### Berechtigungsanforderungen
Für die Aufgabenausführungsrolle sind bestimmte Amazon Elastic Container Registry (Amazon ECR) -Berechtigungen erforderlich, um das Container-Image des GuardDuty Security Agents herunterzuladen:
```
...
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
...
```
Um die Amazon ECR-Berechtigungen weiter einzuschränken, können Sie den Amazon ECR-Repository-URI hinzufügen, der den GuardDuty Security Agent für hostet AWS Fargate (nur Amazon ECS). Weitere Informationen finden Sie unter [GuardDuty Hosting-Agent für Amazon ECR Repositorys](runtime-monitoring-ecr-repository-gdu-agent.md).
Sie können entweder die von [Amazon ECSTask ExecutionRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html) verwaltete Richtlinie verwenden oder die oben genannten Berechtigungen zu Ihrer `TaskExecutionRole` Richtlinie hinzufügen.
### Konfiguration der Aufgabendefinition
Wenn Sie Amazon ECS-Services erstellen oder aktualisieren, müssen Sie Subnetzinformationen in Ihrer Aufgabendefinition angeben:
Für die Ausführung von [CreateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_CreateService.html)und [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html) APIs in der *Amazon Elastic Container Service API-Referenz* müssen Sie die Subnetzinformationen übergeben. Weitere Informationen finden Sie unter [Amazon ECS-Aufgabendefinitionen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) im *Amazon Elastic Container Service Developer Guide*.
### Anforderungen an die Netzwerkkonnektivität
Sie müssen die Netzwerkkonnektivität sicherstellen, um das GuardDuty Container-Image von Amazon ECR herunterzuladen. Diese Anforderung ist spezifisch für, GuardDuty da das Unternehmen Amazon ECR verwendet, um seinen Sicherheitsagenten zu hosten. Abhängig von Ihrer Netzwerkkonfiguration müssen Sie eine der folgenden Optionen implementieren:
**Option 1 — Nutzung des öffentlichen Netzwerkzugangs (falls verfügbar)**
Wenn Ihre Fargate-Aufgaben in Subnetzen mit ausgehendem Internetzugang ausgeführt werden, ist keine zusätzliche Netzwerkkonfiguration erforderlich.
**Option 2 — Verwendung von Amazon VPC-Endpunkten (für private Subnetze)**
Wenn Ihre Fargate-Aufgaben in privaten Subnetzen ohne Internetzugang ausgeführt werden, müssen Sie VPC-Endpunkte für ECR konfigurieren, um sicherzustellen, dass der ECR-Repository-URI, der den Security Agent hostet, über das Netzwerk zugänglich ist. GuardDuty Ohne diese Endpunkte können Aufgaben in privaten Subnetzen das Container-Image nicht herunterladen. GuardDuty
Anweisungen zur Einrichtung von VPC-Endpunkten finden Sie unter [Erstellen der VPC-Endpunkte für Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-setting-up-vpc-create) im *Amazon Elastic Container* Registry-Benutzerhandbuch.
Informationen darüber, wie Fargate den GuardDuty Container herunterladen kann, finden Sie unter [Verwenden von Amazon ECR-Images mit Amazon ECS](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_ECS.html) im *Amazon Elastic Container Registry-Benutzerhandbuch*.
### Sicherheitsgruppenkonfiguration
Die GuardDuty Container-Images befinden sich in Amazon ECR und erfordern Amazon S3 S3-Zugriff. Diese Anforderung ist spezifisch für das Herunterladen von Container-Images von Amazon ECR. Für Aufgaben mit eingeschränktem Netzwerkzugriff müssen Sie Ihre Sicherheitsgruppen so konfigurieren, dass sie den Zugriff auf S3 zulassen.
Fügen Sie Ihrer Sicherheitsgruppe eine Regel für ausgehenden Datenverkehr hinzu, die den Datenverkehr zur [Liste der verwalteten S3-Präfixe (`pl-xxxxxxxx`) an Port 443](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html#gateway-endpoint-security) zulässt. Informationen zum Hinzufügen einer ausgehenden Regel finden [Sie unter Sicherheitsgruppenregeln konfigurieren](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) im *Amazon VPC-Benutzerhandbuch*.
Informationen zur Anzeige Ihrer AWS verwalteten Präfixlisten in der Konsole oder zur Beschreibung mit AWS Command Line Interface (AWS CLI) finden Sie unter [AWS-verwaltete Präfixlisten](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) im *Amazon VPC-Benutzerhandbuch*.
## Validierung der Service-Control-Richtlinie Ihres Unternehmens in einer Umgebung mit mehreren Konten
In diesem Abschnitt wird erklärt, wie Sie Ihre SCP-Einstellungen (Service Control Policy) validieren, um sicherzustellen, dass Runtime Monitoring in Ihrer gesamten Organisation erwartungsgemäß funktioniert.
Wenn Sie eine oder mehrere Service Control-Richtlinien zur Verwaltung von Berechtigungen in Ihrer Organisation eingerichtet haben, müssen Sie sicherstellen, dass die `guardduty:SendSecurityTelemetry` Aktion nicht verweigert wird. Informationen zur Funktionsweise SCPs finden Sie unter [SCP-Evaluierung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) im *AWS Organizations Benutzerhandbuch*.
Wenn Sie ein Mitgliedskonto sind, stellen Sie eine Verbindung mit dem zugehörigen delegierten Administrator her. Informationen zur Verwaltung SCPs für Ihr Unternehmen finden Sie unter [Richtlinien zur Servicesteuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*.
Führen Sie die folgenden Schritte für alle aus SCPs , die Sie in Ihrer Umgebung mit mehreren Konten eingerichtet haben:
**Die Validierung `guardduty:SendSecurityTelemetry` ist in SCP nicht verweigert**
1. Melden Sie sich in der Organisationskonsole unter an [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/). Sie müssen sich als IAM-Rolle oder als Root-Benutzer [(nicht empfohlen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) im Verwaltungskonto der Organisation anmelden.
1. Wählen Sie im linken Navigationsbereich **Policies (Richtlinien)**. Wählen Sie dann unter **Unterstützte Richtlinientypen die** Option **Dienststeuerungsrichtlinien** aus.
1. Wählen Sie auf der Seite **Service Control-Richtlinien** den Namen der Richtlinie aus, die Sie validieren möchten.
1. Sehen Sie sich auf der Detailseite der Richtlinie den **Inhalt** dieser Richtlinie an. Stellen Sie sicher, dass die `guardduty:SendSecurityTelemetry` Aktion nicht verweigert wird.
Die folgende SCP-Richtlinie ist ein Beispiel dafür, wie die Aktion *nicht verweigert* werden kann: `guardduty:SendSecurityTelemetry`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:SendSecurityTelemetry"
],
"Resource": "*"
}
]
}
```
------
Wenn Ihre Richtlinie diese Aktion ablehnt, müssen Sie die Richtlinie aktualisieren. Weitere Informationen finden Sie unter [Aktualisieren einer Service-Kontrollrichtlinie (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy) im *AWS Organizations -Benutzerhandbuch*.
## Überprüfung der Rollenberechtigungen und der Grenzen der Richtlinienberechtigungen
Gehen Sie wie folgt vor, um zu überprüfen, ob die mit der Rolle und der zugehörigen Richtlinie verknüpften Berechtigungsgrenzen **nicht** die `guardduty:SendSecurityTelemetry` Aktion einschränken.
**So zeigen Sie die Berechtigungsgrenzen für Rollen und deren Richtlinie an**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im linken Navigationsbereich unter **Zugriffsverwaltung** die Option **Rollen** aus.
1. Wählen Sie auf der Seite **Rollen** die Rolle aus*`TaskExecutionRole`*, die Sie möglicherweise erstellt haben.
1. Erweitern Sie auf der Seite der ausgewählten Rolle auf der Registerkarte **Berechtigungen** den mit dieser Rolle verknüpften Richtliniennamen. Stellen Sie anschließend sicher, dass diese Richtlinie keine Einschränkungen vorsieht`guardduty:SendSecurityTelemetry`.
1. Wenn die **Grenze für Berechtigungen** festgelegt ist, erweitern Sie diesen Abschnitt. Erweitern Sie dann jede Richtlinie, um sicherzustellen, dass sie die `guardduty:SendSecurityTelemetry` Aktion nicht einschränkt. Die Richtlinie sollte in etwa so aussehen[Example SCP policy](#ecs-runtime-scp-not-deny-policy-example).
Führen Sie bei Bedarf eine der folgenden Aktionen aus:
+ Um die Richtlinie zu ändern, wählen Sie **Bearbeiten** aus. Aktualisieren Sie auf der Seite „**Berechtigungen ändern**“ für diese Richtlinie die **Richtlinie im Richtlinien-Editor**. Stellen Sie sicher, dass das JSON-Schema gültig bleibt. Wählen Sie anschließend **Weiter**. Anschließend können Sie die Änderungen überprüfen und speichern.
+ Um diese Berechtigungsgrenze zu ändern und eine andere Grenze auszuwählen, wählen Sie **Grenze ändern**.
+ Um diese Berechtigungsgrenze zu entfernen, wählen Sie **Grenze entfernen** aus.
Informationen zur Verwaltung von Richtlinien finden Sie unter [Richtlinien und Berechtigungen AWS Identity and Access Management im](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) *IAM-Benutzerhandbuch*.
## CPU- und Arbeitsspeicherlimits
In der Fargate-Aufgabendefinition müssen Sie den CPU- und Speicherwert auf Taskebene angeben. Die folgende Tabelle zeigt die gültigen Kombinationen von CPU- und Speicherwerten auf Taskebene sowie die entsprechende maximale Speicherbegrenzung des GuardDuty Security Agents für den Container. GuardDuty
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)
Nachdem Sie Runtime Monitoring aktiviert und festgestellt haben, dass der Abdeckungsstatus Ihres Clusters **fehlerfrei** ist, können Sie die Container Insight-Metriken einrichten und anzeigen. Weitere Informationen finden Sie unter [Überwachung auf dem Amazon ECS-Cluster einrichten](runtime-monitoring-setting-cpu-mem-monitoring.md#ecs-runtime-cpu-memory-monitoring-agent).
Der nächste Schritt besteht darin, Runtime Monitoring und auch den Security Agent zu konfigurieren.