Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Conditions requises pour le AWS Fargate support (Amazon ECS uniquement)
Cette section inclut les conditions préalables à la surveillance du comportement d'exécution de vos ressources Fargate-Amazon ECS. Une fois ces conditions préalables remplies, voir[Activer la surveillance du GuardDuty temps d'exécution](runtime-monitoring-configuration.md).
**Topics**
+ [Validation des exigences architecturales](#validating-architecture-req-ecs)
+ [Conditions préalables à l'accès aux images du conteneur](#before-enable-runtime-monitoring-ecs)
+ [Validation de la politique de contrôle des services de votre organisation dans un environnement multi-comptes](#validate-organization-scp-ecs)
+ [Validation des autorisations des rôles et des limites des autorisations liées aux politiques](#guardduty-runtime-monitoring-ecs-permission-boundary)
+ [Limites de processeur et de mémoire](#ecs-runtime-agent-cpu-memory-limits)
## Validation des exigences architecturales
La plate-forme que vous utilisez peut avoir un impact sur GuardDuty la manière dont l'agent de sécurité prend GuardDuty en charge la réception des événements d'exécution de vos clusters Amazon ECS. Vous devez confirmer que vous utilisez l'une des plateformes vérifiées.
**Considérations initiales :**
La AWS Fargate plate-forme de vos clusters Amazon ECS doit être Linux. La version de plateforme correspondante doit être au moins`1.4.0`, ou`LATEST`. Pour plus d'informations sur les versions de la plateforme, consultez la section [Versions de la plateforme Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform-linux-fargate.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
Les versions de la plateforme Windows ne sont pas encore prises en charge.
### Plateformes vérifiées
La distribution du système d'exploitation et l'architecture du processeur ont un impact sur le support fourni par l'agent GuardDuty de sécurité. Le tableau suivant présente la configuration vérifiée pour le déploiement de l'agent de GuardDuty sécurité et la configuration de la surveillance du temps d'exécution.
| Distribution du système d'exploitation **[1](#runtime-monitoring-ecs-os-support)** | Support du noyau | Architecture du processeur x64 (AMD64) | Architecture du processeur Graviton () ARM64 |
| --- | --- | --- | --- |
| Linux | eBPF, Tracepoints, Kprobe | Pris en charge | Pris en charge |
1 Support pour différents systèmes d'exploitation : la prise en charge de la surveillance du temps d'exécution GuardDuty a été vérifiée pour la distribution d'exploitation répertoriée dans le tableau précédent. Bien que l'agent GuardDuty de sécurité puisse s'exécuter sur des systèmes d'exploitation non répertoriés dans le tableau précédent, l' GuardDuty équipe ne peut garantir la valeur de sécurité attendue.
## Conditions préalables à l'accès aux images du conteneur
Les prérequis suivants vous permettent d'accéder à l'image du conteneur du GuardDuty sidecar depuis le référentiel Amazon ECR.
### Conditions d’autorisation
Le rôle d'exécution des tâches nécessite certaines autorisations Amazon Elastic Container Registry (Amazon ECR) pour télécharger l'image du conteneur de GuardDuty l'agent de sécurité :
```
...
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
...
```
Pour restreindre davantage les autorisations Amazon ECR, vous pouvez ajouter l'URI du référentiel Amazon ECR qui héberge l'agent GuardDuty de sécurité pour ( AWS Fargate Amazon ECS uniquement). Pour de plus amples informations, veuillez consulter [Agent d'hébergement GuardDuty de référentiels Amazon ECR](runtime-monitoring-ecr-repository-gdu-agent.md).
Vous pouvez soit utiliser la politique ECSTask ExecutionRolePolicy gérée par [Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html), soit ajouter les autorisations ci-dessus à votre `TaskExecutionRole` politique.
### Configuration de la définition des tâches
Lorsque vous créez ou mettez à jour des services Amazon ECS, vous devez fournir des informations de sous-réseau dans votre définition de tâche :
Pour exécuter le [CreateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_CreateService.html)et [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html) APIs dans la *référence d'API Amazon Elastic Container Service*, vous devez transmettre les informations du sous-réseau. Pour plus d'informations, consultez les [définitions des tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
### Exigences en matière de connectivité réseau
Vous devez vous assurer de la connectivité réseau pour télécharger l'image du GuardDuty conteneur depuis Amazon ECR. Cette exigence est spécifique au GuardDuty fait qu'il utilise Amazon ECR pour héberger son agent de sécurité. En fonction de la configuration de votre réseau, vous devez implémenter l'une des options suivantes :
**Option 1 - Utilisation de l'accès au réseau public (si disponible)**
Si vos tâches Fargate s'exécutent dans des sous-réseaux dotés d'un accès Internet sortant, aucune configuration réseau supplémentaire n'est requise.
**Option 2 - Utilisation des points de terminaison Amazon VPC (pour les sous-réseaux privés)**
Si vos tâches Fargate s'exécutent dans des sous-réseaux privés sans accès à Internet, vous devez configurer les points de terminaison VPC pour l'ECR afin de garantir que l'URI du référentiel ECR hébergeant l'agent de sécurité est accessible au réseau. GuardDuty Sans ces points de terminaison, les tâches des sous-réseaux privés ne peuvent pas télécharger l'image du GuardDuty conteneur.
*Pour les instructions de configuration des points de terminaison VPC, consultez la section [Création des points de terminaison VPC pour Amazon ECR dans le guide de l'utilisateur d'Amazon](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-setting-up-vpc-create) Elastic Container Registry.*
Pour plus d'informations sur l'activation de Fargate pour télécharger GuardDuty le conteneur, consultez la section [Utilisation des images Amazon ECR avec Amazon ECS dans le guide de l'utilisateur d'Amazon](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ECR_on_ECS.html) *Elastic* Container Registry.
### Configuration du groupe de sécurité
Les images du GuardDuty conteneur se trouvent dans Amazon ECR et nécessitent un accès Amazon S3. Cette exigence est spécifique au téléchargement d'images de conteneurs depuis Amazon ECR. Pour les tâches dont l'accès au réseau est restreint, vous devez configurer vos groupes de sécurité pour autoriser l'accès à S3.
Ajoutez une règle sortante dans votre groupe de sécurité qui autorise le trafic vers la [liste de préfixes gérés S3 (`pl-xxxxxxxx`) sur le port 443](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html#gateway-endpoint-security). Pour ajouter une règle sortante, consultez [Configurer les règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) dans le guide de l'*utilisateur Amazon VPC.*
Pour consulter vos listes de AWS préfixes gérées dans la console ou les décrire en utilisant AWS Command Line Interface (AWS CLI), consultez les listes de [préfixes AWS gérées par -dans le guide de l'utilisateur](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) Amazon *VPC*.
## Validation de la politique de contrôle des services de votre organisation dans un environnement multi-comptes
Cette section explique comment valider les paramètres de votre politique de contrôle des services (SCP) afin de garantir que la surveillance du temps d'exécution fonctionne comme prévu au sein de votre organisation.
Si vous avez défini une ou plusieurs politiques de contrôle des services pour gérer les autorisations au sein de votre organisation, vous devez vérifier qu'elle ne refuse pas l'`guardduty:SendSecurityTelemetry`action. Pour plus d'informations sur le SCPs fonctionnement, voir l'[évaluation du SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) dans le *guide de l'AWS Organizations utilisateur*.
Si vous êtes un compte membre, connectez-vous à l'administrateur délégué associé. Pour plus d'informations sur la gestion SCPs au sein de votre organisation, consultez la section [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de AWS Organizations l'utilisateur*.
Procédez comme suit pour tout SCPs ce que vous avez configuré dans votre environnement multi-comptes :
**`guardduty:SendSecurityTelemetry`La validation n'est pas refusée dans SCP**
1. Connectez-vous à la console Organizations à l'adresse [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/). Vous devez vous connecter en tant que rôle IAM ou en tant qu'utilisateur root [(ce n'est pas recommandé)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) dans le compte de gestion de l'organisation.
1. Dans le panneau de navigation, sélectionnez **Policies (politiques)**. Ensuite, sous **Types de politiques pris en charge**, sélectionnez **Politiques de contrôle des services**.
1. Sur la page **Politiques de contrôle des services**, choisissez le nom de la politique que vous souhaitez valider.
1. Sur la page détaillée de la politique, consultez le **contenu** de cette politique. Assurez-vous qu'il ne refuse pas l'`guardduty:SendSecurityTelemetry`action.
La politique SCP suivante est un exemple pour *ne pas nier* l'`guardduty:SendSecurityTelemetry`action :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:SendSecurityTelemetry"
],
"Resource": "*"
}
]
}
```
------
Si votre politique refuse cette action, vous devez la mettre à jour. Pour plus d’informations, consultez [Mise à jour d’une politique de contrôle des services (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy) dans le *Guide de l’utilisateur AWS Organizations *.
## Validation des autorisations des rôles et des limites des autorisations liées aux politiques
Suivez les étapes suivantes pour vérifier que les limites d'autorisations associées au rôle et à sa politique **ne limitent pas** l'`guardduty:SendSecurityTelemetry`action.
**Pour afficher la limite des autorisations pour les rôles et sa politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de gauche, sous **Gestion des accès**, sélectionnez **Rôles**.
1. Sur la page **Rôles**, sélectionnez le rôle *`TaskExecutionRole`* que vous avez peut-être créé.
1. Sur la page du rôle sélectionné, sous l'onglet **Autorisations**, développez le nom de la politique associée à ce rôle. Vérifiez ensuite que cette politique ne restreint pas`guardduty:SendSecurityTelemetry`.
1. Si la **limite des autorisations** est définie, développez cette section. Développez ensuite chaque politique pour vérifier qu'elle ne limite pas l'`guardduty:SendSecurityTelemetry`action. La politique doit ressembler à cela[Example SCP policy](#ecs-runtime-scp-not-deny-policy-example).
Le cas échéant, effectuez l'une des actions suivantes :
+ Pour modifier la politique, sélectionnez **Modifier**. Sur la page **Modifier les autorisations** pour cette politique, mettez-la à jour dans l'**éditeur de stratégie**. Assurez-vous que le schéma JSON reste valide. Ensuite, choisissez **Suivant**. Vous pouvez ensuite consulter et enregistrer les modifications.
+ Pour modifier cette limite d'autorisations et en choisir une autre, choisissez **Modifier la limite**.
+ Pour supprimer cette limite d'autorisations, choisissez **Supprimer la limite**.
Pour plus d'informations sur la gestion des politiques, consultez la section [Politiques et autorisations Gestion des identités et des accès AWS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) le *guide de l'utilisateur IAM*.
## Limites de processeur et de mémoire
Dans la définition de la tâche Fargate, vous devez spécifier la valeur du processeur et de la mémoire au niveau de la tâche. Le tableau suivant indique les combinaisons valides de valeurs de processeur et de mémoire au niveau des tâches, ainsi que la limite de mémoire maximale de l'agent de GuardDuty sécurité correspondant pour le GuardDuty conteneur.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)
Après avoir activé la surveillance du temps d'exécution et vérifié que l'état de couverture de votre cluster est **sain**, vous pouvez configurer et consulter les métriques Container Insight. Pour plus d’informations, consultez [Configuration de la surveillance sur le cluster Amazon ECS](runtime-monitoring-setting-cpu-mem-monitoring.md#ecs-runtime-cpu-memory-monitoring-agent).
L'étape suivante consiste à configurer la surveillance du temps d'exécution ainsi que l'agent de sécurité.