Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS)
<a name="prereq-runtime-monitoring-ecs-support"></a>

En esta sección se incluyen los requisitos previos para supervisar el comportamiento en tiempo de ejecución de los recursos de ECS de Fargate-Amazon. Una vez cumplidos estos requisitos previos, consulte [Habilitación GuardDuty de la supervisión del tiempo](runtime-monitoring-configuration.md).

**Topics**
+ [Validación de los requisitos de arquitectura](#validating-architecture-req-ecs)
+ [Requisitos previos para el acceso a imágenes de contenedores](#before-enable-runtime-monitoring-ecs)
+ [Validación de la política de control de servicios de la organización en un entorno de varias cuentas](#validate-organization-scp-ecs)
+ [Validación de permisos de roles y límites de permisos de políticas](#guardduty-runtime-monitoring-ecs-permission-boundary)
+ [Límites de CPU y memoria](#ecs-runtime-agent-cpu-memory-limits)

## Validación de los requisitos de arquitectura
<a name="validating-architecture-req-ecs"></a>

La plataforma que utilice puede afectar a la forma GuardDuty en que el agente GuardDuty de seguridad admite la recepción de los eventos de tiempo de ejecución de sus clústeres de Amazon ECS. Debe validar que esté utilizando una de las plataformas verificadas.

**Consideraciones iniciales:**  
La AWS Fargate plataforma de los clústeres de Amazon ECS debe ser Linux. La versión de plataforma correspondiente debe ser como mínimo `1.4.0`, o `LATEST`. Para obtener más información sobre las versiones de plataforma, consulte [Versiones de plataforma Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform-linux-fargate.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.  
Aún no se admiten las versiones de la plataforma Windows. 

### Plataformas verificadas
<a name="ecs-verified-platforms-gdu-agent"></a>

La distribución del sistema operativo y la arquitectura de la CPU afectan al soporte que proporciona el agente GuardDuty de seguridad. En la siguiente tabla se muestra la configuración verificada para implementar el agente GuardDuty de seguridad y configurar Runtime Monitoring.


| Distribución del sistema operativo **[1](#runtime-monitoring-ecs-os-support)**  | Compatibilidad del kernel | Arquitectura de CPU x64 () AMD64 | Arquitectura de CPU Graviton () ARM64 | 
| --- | --- | --- | --- | 
| Linux | eBPF, Tracepoints, Kprobe | Soportado |  compatible | <a name="runtime-monitoring-ecs-os-support"></a>

1 Support para varios sistemas operativos: GuardDuty ha verificado el soporte de Runtime Monitoring para la distribución operativa indicada en la tabla anterior. Si bien el agente de GuardDuty seguridad puede funcionar en sistemas operativos que no figuran en la tabla anterior, el GuardDuty equipo no puede garantizar el valor de seguridad esperado.

## Requisitos previos para el acceso a imágenes de contenedores
<a name="before-enable-runtime-monitoring-ecs"></a>

Los siguientes requisitos previos le ayudan a acceder a la imagen del contenedor GuardDuty sidecar desde el repositorio de Amazon ECR.

### Requisitos de los permisos
<a name="ecs-runtime-permissions-requirements"></a>

La función de ejecución de tareas requiere determinados permisos de Amazon Elastic Container Registry (Amazon ECR) para descargar GuardDuty la imagen del contenedor del agente de seguridad:

```
...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...
```

Para restringir aún más los permisos de Amazon ECR, puede añadir el URI del repositorio de Amazon ECR que aloja el agente de GuardDuty seguridad para (solo AWS Fargate Amazon ECS). Para obtener más información, consulte [Agente de alojamiento GuardDuty de repositorios Amazon ECR](runtime-monitoring-ecr-repository-gdu-agent.md).

Puedes usar la política ECSTask ExecutionRolePolicy gestionada por [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html) o añadir los permisos anteriores a tu `TaskExecutionRole` política.

### Configuración de definición de tareas
<a name="ecs-runtime-task-definition"></a>

Al crear o actualizar los servicios de Amazon ECS, debe proporcionar información de subred en la definición de la tarea:

Para ejecutar [CreateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_CreateService.html)y [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html) APIs en la *referencia de la API de Amazon Elastic Container Service*, es necesario pasar la información de la subred. Para obtener más información, consulte las [definiciones de tareas de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

### Requisitos de conectividad de red
<a name="ecs-runtime-network-requirements"></a>

Debe garantizar la conectividad de red para descargar la imagen del GuardDuty contenedor de Amazon ECR. Este requisito es específico GuardDuty porque utiliza Amazon ECR para alojar su agente de seguridad. En función de la configuración de red, tendrá que implementar una de las siguientes opciones:

**Opción 1: usar el acceso a la red pública (si está disponible)**  
Si sus tareas de Fargate se ejecutan en subredes con acceso a Internet saliente, no es necesaria ninguna configuración de red adicional.

**Opción 2: Uso de puntos de conexión de Amazon VPC (para subredes privadas)**  
Si sus tareas de Fargate se ejecutan en subredes privadas sin acceso a Internet, debe configurar los puntos finales de VPC para ECR a fin de garantizar que el URI del repositorio de ECR que aloja el agente de seguridad sea accesible desde la red. GuardDuty Sin estos puntos de conexión, las tareas de las subredes privadas no pueden descargar la imagen del contenedor. GuardDuty   
Para obtener instrucciones sobre la configuración del punto de conexión de VPC, consulte [Crear los puntos de conexión de VPC para Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-setting-up-vpc-create) en la *Guía del usuario de Amazon Elastic Container Registry*.

Para obtener información sobre cómo permitir que Fargate descargue el GuardDuty contenedor, consulte Uso de imágenes de [Amazon ECR con Amazon ECS en la Guía del usuario](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_ECS.html) de *Amazon Elastic Container Registry*.

### Configuración del grupo de seguridad
<a name="ecs-runtime-security-group-requirements"></a>

Las imágenes del GuardDuty contenedor están en Amazon ECR y requieren acceso a Amazon S3. Este requisito es específico para descargar imágenes de contenedores de Amazon ECR. En el caso de las tareas con acceso restringido a la red, debe configurar sus grupos de seguridad para permitir el acceso a S3.

Agregue una regla de salida a su grupo de seguridad que permita el tráfico a la [lista de prefijos administrados de S3 (`pl-xxxxxxxx`) en el puerto 443](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html#gateway-endpoint-security). Para agregar una regla de salida, consulte [Configurar las reglas de un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) en la *Guía del usuario de Amazon VPC*.

Para ver sus listas de AWS prefijos administradas en la consola o describirlas mediante AWS Command Line Interface (AWS CLI), consulte las listas de [prefijos AWS administradas en](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) la Guía del usuario de Amazon *VPC*.

## Validación de la política de control de servicios de la organización en un entorno de varias cuentas
<a name="validate-organization-scp-ecs"></a>

En esta sección, se explica cómo validar la configuración de la política de control de servicio (SCP) para garantizar que Runtime Monitoring funcione según lo esperado en toda la organización.

Si ha configurado una o más políticas de control de servicio para administrar los permisos en la organización, debe validar que no niegue la acción `guardduty:SendSecurityTelemetry`. *Para obtener información sobre cómo SCPs funciona, consulte la evaluación de [SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) en la Guía del usuario.AWS Organizations *

Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte [las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario*.

Realice los siguientes pasos para todo lo SCPs que haya configurado en su entorno de cuentas múltiples:

**La validación de `guardduty:SendSecurityTelemetry` no se deniega en SCP**

1. Inicie sesión en la consola de Organizations en [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/). Debe iniciar sesión como rol de IAM o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. En el panel de navegación izquierdo, seleccione **Policies (Políticas)**. A continuación, en **Tipos de políticas compatibles**, seleccione **Políticas de control de servicios**.

1. En la página **Políticas de control de servicios**, elija el nombre de la política que desea adjuntar.

1. En la página de detalles de la política, consulte el **contenido** de esta política. Asegúrese de que no deniegue la acción `guardduty:SendSecurityTelemetry`.

   La siguiente política de SCP es un ejemplo para *no denegar* la acción `guardduty:SendSecurityTelemetry`:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
       "Effect": "Allow",
               "Action": [           
                   "guardduty:SendSecurityTelemetry"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

   Si su política deniega esta acción, debe actualizarla. Para obtener más información, consulte [Actualización de una política de control de servicio (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy) en la *Guía del usuario de AWS Organizations *.

## Validación de permisos de roles y límites de permisos de políticas
<a name="guardduty-runtime-monitoring-ecs-permission-boundary"></a>

Siga los siguientes pasos para validar que los límites de permisos asociados al rol y a su política **no** impliquen la acción `guardduty:SendSecurityTelemetry` de restricción.

**Para ver los límites de permisos de los roles y su política**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, en **Administración del acceso**, elija **Roles**.

1. En la página **Roles**, seleccione el rol *`TaskExecutionRole`* que acaba de crear.

1. En la página del rol seleccionado, en la pestaña **Permisos**, amplía el nombre de la política asociada a este rol. A continuación, verifique que esta política no restrinja `guardduty:SendSecurityTelemetry`.

1. Si el **límite de permisos** está establecido, amplíe esta sección. A continuación, amplíe cada política para comprobar que no restrinja la acción `guardduty:SendSecurityTelemetry`. El aspecto de la respuesta debe ser parecido a [Example SCP policy](#ecs-runtime-scp-not-deny-policy-example).

   Si es necesario, lleve a cabo una de las siguientes acciones:
   + Para modificar la política, seleccione **Editar**. En la página **Modificar los permisos** de esta política, actualice la política en el **editor de políticas**. Asegúrese de que el esquema JSON siga siendo válido. A continuación, elija **Siguiente**. A continuación, puede revisar y guardar los cambios.
   + Para cambiar este límite de permisos y elegir otro límite, elija **Cambiar límite**.
   + Para eliminar este límite de permisos, seleccione **Eliminar límite**.

   Para obtener más información sobre las políticas de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.

## Límites de CPU y memoria
<a name="ecs-runtime-agent-cpu-memory-limits"></a>

En la definición de la tarea de Fargate, debe especificar el valor de CPU y memoria a nivel de tarea. La siguiente tabla muestra las combinaciones válidas de valores de CPU y memoria a nivel de tarea y el límite máximo de memoria del agente de GuardDuty seguridad correspondiente al contenedor. GuardDuty 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)

Después de habilitar la Supervisión en tiempo de ejecución y evaluar que la cobertura del clúster esté en **buen** estado, podrá configurar y ver las métricas de Información de contenedores. Para obtener más información, [Configurar la supervisión en el clúster de Amazon ECS](runtime-monitoring-setting-cpu-mem-monitoring.md#ecs-runtime-cpu-memory-monitoring-agent).

El siguiente paso consiste en configurar la Supervisión en tiempo de ejecución, así como el agente de seguridad.