Container Security auf Amazon ECS Bottlerocket-Instanzen aktivieren

Ansichten:

Konfigurieren Sie Bottlerocket-Containerinstanzen, um die Bereitstellung von Container Security zu unterstützen, indem Sie privilegierte Container aktivieren.

Vorbereitungen

Zugriff auf Ihre Bottlerocket-Containerinstanzen über AWS Systems Manager Session Manager oder SSH.
Administrative Berechtigungen zum Ändern der Instanzeinstellungen.
Ein aktiver Amazon ECS-Cluster mit Bottlerocket-AMI.

Wichtig

Amazon ECS-Cluster, die das Bottlerocket-AMI verwenden, unterstützen standardmäßig keine Container Security. Bottlerocket deaktiviert standardmäßig privilegierte Container, was verhindert, dass das Container Security Scout Daemonset auf Container-Instanzen bereitgestellt wird.

Der Scout-Daemonset benötigt das Attribut com.amazonaws.ecs.capability.privileged-container, um zu funktionieren. Bottlerocket setzt settings.ecs.allow-privileged-containers standardmäßig auf false, was diese Bereitstellung blockiert.

Hinweis

Das Aktivieren von privilegierten Containern auf Bottlerocket-Instanzen ermöglicht es Containern, mit erhöhten Berechtigungen zu laufen. Stellen Sie sicher, dass diese Konfiguration mit den Sicherheitsanforderungen Ihrer Organisation übereinstimmt, bevor Sie fortfahren.

Prozedur

Stellen Sie über den AWS Systems Manager Session Manager oder SSH eine Verbindung zu Ihrer Bottlerocket-Containerinstanz her.
Geben Sie den Admin-Container ein.

Aktivieren Sie privilegierte Container, indem Sie den folgenden Befehl ausführen:

apiclient set --json '{
  "settings": {
    "ecs": {
      "allow-privileged-containers": true
    }
  }
}'

Starten Sie die Instanz neu, um sicherzustellen, dass alle Einstellungen angewendet werden.
Überprüfen Sie, ob das Attribut hinzugefügt wurde, indem Sie die Container-Instanzattribute in der Amazon ECS-Konsole überprüfen. Suchen Sie nach dem Attribut com.amazonaws.ecs.capability.privileged-container.

Der Container Security Scout Daemonset wird automatisch auf der Instanz bereitgestellt, sobald das Attribut com.amazonaws.ecs.capability.privileged-container erkannt wird.

Hinweis

Sie müssen diese Konfiguration auf jeder Bottlerocket-Containerinstanz in Ihrem ECS-Cluster durchführen. Um diesen Prozess zu automatisieren, sollten Sie die EC2-Benutzerdaten oder AWS Systems Manager-Automatisierungsdokumente in Betracht ziehen.

Nächste Schritte

Weitere Informationen zu den Bottlerocket ECS-Einstellungen finden Sie in der Bottlerocket-Dokumentation.