Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon ECS
<a name="gdu-assess-coverage-ecs"></a>

La couverture d'exécution des clusters Amazon ECS inclut les tâches exécutées sur les instances de conteneur Amazon ECS AWS Fargate et les instances de conteneur Amazon ECS [1](#ecs-container-instance).

Pour un cluster Amazon ECS qui s'exécute sur Fargate, la couverture d'exécution est évaluée au niveau de la tâche. La couverture du temps d'exécution des clusters ECS inclut les tâches Fargate qui ont commencé à s'exécuter une fois que vous avez activé la surveillance du temps d'exécution et la configuration automatisée des agents pour Fargate (ECS uniquement). Par défaut, une tâche Fargate est immuable. GuardDuty ne sera pas en mesure d'installer l'agent de sécurité pour surveiller les conteneurs sur les tâches déjà en cours d'exécution. Pour inclure une telle tâche Fargate, vous devez arrêter puis recommencer la tâche. Assurez-vous de vérifier si le service associé est pris en charge.

Pour plus d'informations sur le conteneur Amazon ECS, consultez la section [Création de capacités](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-capacity.html).

**Topics**
+ [Consultation des statistiques de couverture](#ecs-review-coverage-statistics-ecs-runtime-monitoring)
+ [Modification de l'état de couverture avec EventBridge notifications](#ecs-runtime-monitoring-coverage-status-change)
+ [Résolution des problèmes de couverture du ECS-Fargate temps d'exécution d'Amazon](#ecs-runtime-monitoring-coverage-issues-troubleshoot)

## Consultation des statistiques de couverture
<a name="ecs-review-coverage-statistics-ecs-runtime-monitoring"></a>

Les statistiques de couverture pour les ressources Amazon ECS associées à votre propre compte ou à vos comptes de membres sont le pourcentage de clusters Amazon ECS sains par rapport à tous les clusters Amazon ECS du groupe sélectionné Région AWS. Cela inclut la couverture des clusters Amazon ECS associés à la fois aux instances Fargate et Amazon EC2. L'équation suivante représente cela comme suit :

*( clusters/All Clusters sains) \*100*

### Considérations
<a name="considerations-ecs-coverage-review-stats"></a>
+ Les statistiques de couverture du cluster ECS incluent l'état de couverture des tâches Fargate ou des instances de conteneur ECS associées à ce cluster ECS. L'état de couverture des tâches Fargate inclut les tâches qui sont en cours d'exécution ou dont l'exécution a récemment été terminée. 
+ Dans l'onglet **Couverture d'exécution des clusters ECS**, le champ **Instances de conteneur couvertes** indique l'état de couverture des instances de conteneur associées à votre cluster Amazon ECS. 

  Si votre cluster Amazon ECS contient uniquement des tâches Fargate, le nombre s'affiche sous la forme. **0/0**
+ Si votre cluster Amazon ECS est associé à une instance Amazon EC2 dépourvue d'agent de sécurité, le cluster Amazon ECS aura également un statut de couverture **défaillant**.

  Pour identifier et résoudre le problème de couverture de l'instance Amazon EC2 associée, [Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) consultez la section consacrée aux instances Amazon EC2.

Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.

------
#### [ Console ]
+ Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ Dans le volet de navigation, choisissez **Runtime Monitoring**.
+ Choisissez l'onglet **Runtime coverage**.
+ Dans l'onglet **Couverture d'exécution des clusters ECS**, vous pouvez consulter les statistiques de couverture agrégées en fonction de l'état de couverture de chaque cluster Amazon ECS disponible dans le tableau de **liste des clusters**. 
  + Vous pouvez filtrer le tableau de **liste des clusters** selon les colonnes suivantes :
    + **ID de compte**
    + **Nom du cluster**
    + **Type de gestion des agents**
    + **État de couverture**
+ Si l'**état de couverture de l'un de vos clusters Amazon ECS est considéré** comme **insalubre**, la colonne **Problème** inclut des informations supplémentaires sur la raison de ce statut **insalubre**.

  **Si vos clusters Amazon ECS sont associés à une instance Amazon EC2, accédez à l'onglet **Couverture du temps d'exécution de l'instance EC2** et filtrez par le champ **Nom du cluster** pour afficher le problème associé.**

------
#### [ API/CLI ]
+ Exécutez l'[ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API avec votre propre identifiant de détecteur valide, votre région actuelle et votre point de terminaison de service. Vous pouvez filtrer et trier la liste des instances à l'aide de cette API.
  + Vous pouvez modifier l'exemple de `filter-criteria` à l'aide de l'une des options suivantes pour `CriterionKey` :
    + `ACCOUNT_ID`
    + `ECS_CLUSTER_NAME`
    + `COVERAGE_STATUS`
    + `MANAGEMENT_TYPE`
  + Vous pouvez modifier l'exemple de `AttributeName` dans `sort-criteria` à l'aide des options suivantes :
    + `ACCOUNT_ID`
    + `COVERAGE_STATUS`
    + `ISSUE`
    + `ECS_CLUSTER_NAME`
    + `UPDATED_AT`

      Le champ est mis à jour uniquement lorsqu'une nouvelle tâche est créée dans le cluster Amazon ECS associé ou en cas de modification de l'état de couverture correspondant.
  + Vous pouvez modifier le {{max-results}} (jusqu'à 50).
  + `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region {{us-east-1}} list-coverage --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --sort-criteria '{"AttributeName": "{{ECS_CLUSTER_NAME}}", "OrderBy": "{{DESC}}"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"{{ACCOUNT_ID}}", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results {{5}}
  ```
+ Exécutez l'[GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API pour récupérer les statistiques agrégées de couverture sur la base de`statisticsType`.
  + Vous pouvez modifier l'exemple de `statisticsType` sur l'une des options suivantes :
    + `COUNT_BY_COVERAGE_STATUS`— Représente les statistiques de couverture pour les clusters ECS agrégées par état de couverture.
    + `COUNT_BY_RESOURCE_TYPE`— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.
    + Vous pouvez modifier l'exemple de `filter-criteria` dans la commande. Vous pouvez utiliser les options suivantes pour `CriterionKey` :
      + `ACCOUNT_ID`
      + `ECS_CLUSTER_NAME`
      + `COVERAGE_STATUS`
      + `MANAGEMENT_TYPE`
      + `INSTANCE_ID`
  + `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region {{us-east-1}} get-coverage-statistics --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --statistics-type {{COUNT_BY_COVERAGE_STATUS}} --filter-criteria '{"FilterCriterion":[{"CriterionKey":"{{ACCOUNT_ID}}", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Pour plus d'informations sur les problèmes de couverture, consultez[Résolution des problèmes de couverture du ECS-Fargate temps d'exécution d'Amazon](#ecs-runtime-monitoring-coverage-issues-troubleshoot).

## Modification de l'état de couverture avec EventBridge notifications
<a name="ecs-runtime-monitoring-coverage-status-change"></a>

L'état de couverture de votre cluster Amazon ECS peut apparaître comme étant **défectueux**. Pour savoir quand l'état de couverture change, nous vous recommandons de le surveiller régulièrement et de résoudre les problèmes s'il devient **insalubre**. Vous pouvez également créer une EventBridge règle Amazon pour recevoir une notification lorsque le statut de couverture passe de **Malsain** **à Sain** ou autre. Par défaut, il le GuardDuty publie dans le [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pour votre compte.

### Exemple de schéma de notification
<a name="ecs-gdu-coverage-status-eventbridge-schema"></a>

Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section [Créer une règle](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) dans le *guide de EventBridge l'utilisateur Amazon*. 

En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre cluster Amazon ECS passe de `Healthy` à`Unhealthy`, le `detail-type` doit être{{GuardDuty Runtime Protection Unhealthy}}. Pour être averti lorsque le statut de couverture passe de `Unhealthy` à`Healthy`, remplacez la valeur de `detail-type` par{{GuardDuty Runtime Protection Healthy}}.

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Compte AWS ID",
  "time": "event timestamp (string)",
  "region": "Région AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Résolution des problèmes de couverture du ECS-Fargate temps d'exécution d'Amazon
<a name="ecs-runtime-monitoring-coverage-issues-troubleshoot"></a>

Si l'état de couverture de votre cluster Amazon ECS n'est **pas** satisfaisant, vous pouvez en connaître la raison dans la colonne **Problème**. 

Le tableau suivant fournit les étapes de dépannage recommandées pour les problèmes liés à Fargate (Amazon ECS uniquement). Pour plus d'informations sur les problèmes de couverture des instances Amazon EC2, consultez la section relative [Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) aux instances Amazon EC2.



- ** L'agent ne fait pas de rapport **
  - **Informations supplémentaires:** L'agent ne présente pas de rapports pour les tâches dans `TaskDefinition - '{{TASK_DEFINITION}}'` / **Étapes de dépannage recommandées:** Vérifiez que le point de terminaison VPC pour la tâche de votre cluster Amazon ECS est correctement configuré. Pour de plus amples informations, veuillez consulter [Validation de la configuration des points de terminaison VPC](validate-vpc-endpoint-config-runtime-monitoring.md).<br />Si votre organisation dispose d'une politique de contrôle des services (SCP), vérifiez que la limite des autorisations ne restreint pas les `guardduty:SendSecurityTelemetry` autorisations. Pour de plus amples informations, veuillez consulter [Validation de la politique de contrôle des services de votre organisation dans un environnement multi-comptes](prereq-runtime-monitoring-ecs-support.md#validate-organization-scp-ecs).
  - **Informations supplémentaires:** `{{VPC_ISSUE}}; for task in TaskDefinition - '{{TASK_DEFINITION}}'` / **Étapes de dépannage recommandées:** Consultez les détails du problème du VPC dans les informations supplémentaires.

- ** L'agent est sorti **
  - **Informations supplémentaires:** ExitCode: `EXIT_CODE` pour les tâches dans `TaskDefinition - '{{TASK_DEFINITION}}'` / **Étapes de dépannage recommandées:** Consultez les détails du problème dans les informations supplémentaires.
  - **Informations supplémentaires:** Motif : {{REASON}} pour les tâches dans `TaskDefinition - '{{TASK_DEFINITION}}'`
  - **Informations supplémentaires:** ExitCode: `EXIT_CODE` avec raison : « {{EXIT\_CODE}} » pour les tâches dans `TaskDefinition - '{{TASK_DEFINITION}}'`
  - **Informations supplémentaires:** L'agent est sorti : Raison `CannotPullContainerError` : le manifeste de l'image d'extraction a été réessayé... / **Étapes de dépannage recommandées:** Dans ce scénario, GuardDuty il est potentiellement impossible d'extraire l'image du conteneur du sidecar. Votre tâche continuera de s'exécuter mais ne GuardDuty pourra pas détecter les menaces potentielles. Effectuez les étapes de dépannage suivantes une par une pour vérifier si cela permet de résoudre le problème de couverture :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ecs.html)<br />Ces trois composants (autorisations, connectivité réseau et configuration du groupe de sécurité) sont indépendants mais tous nécessaires pour télécharger correctement l'image du GuardDuty conteneur depuis Amazon ECR.<br />Si le problème persiste, consultez[Mon AWS Step Functions flux de travail échoue de façon inattendue](troubleshooting-guardduty-runtime-monitoring.md#runtime-ecs-step-function-failure).

- ** Échec de la création du point de terminaison VPC **
  - **Informations supplémentaires:** L'activation du DNS privé nécessite à la fois que `enableDnsSupport` les attributs `enableDnsHostnames` VPC soient définis sur `true` for {{vpcId}} (Service : EC2, Status Code:400, Request ID :). {{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}
  - **Étapes de dépannage recommandées:** Assurez-vous que les attributs de VPC suivants sont définis sur `true` : `enableDnsSupport` et `enableDnsHostnames`. Pour plus d'informations, veuillez consulter la rubrique [Attributs DNS dans votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support).<br />**Si vous utilisez la console Amazon VPC [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)pour créer l'Amazon VPC, assurez-vous de sélectionner à la fois **Activer les noms d'hôte DNS et Activer la résolution DNS**.** Pour plus d'informations, veuillez consulter [Options de configuration de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-options).

- **Agent non provisionné**
  - **Informations supplémentaires:** Invocation non prise en charge par `{{SERVICE}}` for task (s) dans `TaskDefinition - '{{TASK_DEFINITION}}'` / **Étapes de dépannage recommandées:** Cette tâche a été invoquée par une tâche `{{SERVICE}}` qui n'est pas prise en charge.
  - **Informations supplémentaires:** Architecture de processeur « {{TYPE}} » non prise en charge pour les tâches dans `TaskDefinition - '{{TASK_DEFINITION}}'` / **Étapes de dépannage recommandées:** Cette tâche est exécutée sur une architecture de processeur non prise en charge. Pour plus d'informations sur les architectures de processeur prises en charge, consultez[Validation des exigences architecturales](prereq-runtime-monitoring-ecs-support.md#validating-architecture-req-ecs).
  - **Informations supplémentaires:** `TaskExecutionRole`absent de `TaskDefinition - '{{TASK_DEFINITION}}'` / **Étapes de dépannage recommandées:** Le rôle d'exécution des tâches ECS est absent. Pour plus d'informations sur la fourniture du rôle d'exécution des tâches et des autorisations requises, consultez[Conditions préalables à l'accès aux images du conteneur](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs).
  - **Informations supplémentaires:** Configuration réseau « `{{CONFIGURATION_DETAILS}}` » manquante pour les tâches dans `TaskDefinition - '{{TASK_DEFINITION}}'` / **Étapes de dépannage recommandées:** Des problèmes de configuration réseau peuvent survenir en raison d'une configuration VPC manquante ou de sous-réseaux manquants ou vides.<br />Vérifiez que la configuration de votre réseau est correcte. Pour de plus amples informations, veuillez consulter [Conditions préalables à l'accès aux images du conteneur](prereq-runtime-monitoring-ecs-support.md#before-enable-runtime-monitoring-ecs).<br />Pour plus d'informations, consultez les [paramètres de définition des tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
  - **Informations supplémentaires:** Les tâches démarrées lorsque les clusters étaient dotés d'une balise d'exclusion sont exclues de la surveillance du temps d'exécution. Identifiant (s) des tâches concernées : '`{{TASK_ID}}` / **Étapes de dépannage recommandées:** Lorsque vous modifiez la GuardDuty balise prédéfinie de `GuardDutyManaged` - `true` à `GuardDutyManaged` -`false`, il ne GuardDuty recevra pas les événements d'exécution pour ce cluster Amazon ECS.<br />Mettez à jour le tag sur `GuardDutyManaged` -, `true` puis relancez la tâche.
  - **Informations supplémentaires:** Les services déployés lorsque les clusters étaient dotés d'une balise d'exclusion sont exclus de la surveillance du temps d'exécution. Nom (s) du service concerné : « {{`SERVICE_NAME`}} » / **Étapes de dépannage recommandées:** Lorsque les services sont déployés avec la balise d'exclusion `GuardDutyManaged` -`false`, ils ne GuardDuty recevront pas d'événements d'exécution pour ce cluster Amazon ECS.<br />Mettez à jour le tag sur `GuardDutyManaged` -, `true` puis redéployez le service.
  - **Informations supplémentaires:** Les tâches démarrées avant l'activation de la configuration automatisée des agents ne sont pas couvertes. Identifiant (s) des tâches concernées : « {{`TASK_ID`}} » / **Étapes de dépannage recommandées:** Lorsque le cluster contient une tâche lancée avant d'activer la configuration de l'agent automatisé pour Amazon ECS, il ne GuardDuty sera pas en mesure de la protéger. Relancez la tâche pour qu'elle soit surveillée par. GuardDuty 
  - **Informations supplémentaires:** Les services déployés avant l'activation de la configuration automatisée des agents ne sont pas couverts. Nom (s) du service concerné : « {{`SERVICE_NAME`}} » / **Étapes de dépannage recommandées:** Lorsque les services sont déployés avant d'activer la configuration automatisée des agents pour Amazon ECS, GuardDuty aucun événement d'exécution n'est reçu pour les clusters ECS.
  - **Informations supplémentaires:** Le service {{`SERVICE_NAME`}} « » nécessite un nouveau déploiement pour fix/troubleshoot. Reportez-vous à la documentation, Nom (s) du service concerné : « {{`SERVICE_NAME`}} » / **Étapes de dépannage recommandées:** Un service démarré avant l'activation de la surveillance du temps d'exécution n'est pas pris en charge. <br />Vous pouvez soit redémarrer le service, soit le mettre à jour avec l'`forceNewDeployment`option en suivant les étapes décrites dans la section [Mettre à jour un service Amazon ECS à l'aide de la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*. Vous pouvez également suivre les étapes ci-dessous [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
  - **Informations supplémentaires:** Les tâches démarrées avant l'activation de la surveillance du temps d'exécution doivent être relancées. Identifiant (s) des tâches concernées : « {{`TASK_ID_1`}} » / **Étapes de dépannage recommandées:** Dans Amazon ECS, les tâches sont immuables. Pour évaluer le comportement d'exécution ou une AWS Fargate tâche en cours d'exécution, assurez-vous que la surveillance du temps d'exécution est déjà activée, puis redémarrez la tâche GuardDuty pour ajouter le sidecar du conteneur.

- **Autres**
  - **Informations supplémentaires:** Problème non identifié, pour les tâches dans `TaskDefinition - '{{TASK_DEFINITION}}'`
  - **Étapes de dépannage recommandées:** Utilisez les questions suivantes pour identifier la cause première du problème :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ecs.html)