Amazon ECS BottlerocketインスタンスでContainer Securityを有効にする

ビュー:

Bottlerocketコンテナインスタンスを構成して、特権コンテナを有効にすることでContainer Securityの展開をサポートします。

始める前に

AWS Systems Manager Session ManagerまたはSSHを通じてBottlerocketコンテナインスタンスにアクセスします。
インスタンス設定を変更するための管理者権限。
Bottlerocket AMIを使用したアクティブなAmazon ECSクラスター。

重要

Bottlerocket AMIを使用するAmazon ECSクラスターはデフォルトでContainer Securityをサポートしていません。Bottlerocketはデフォルトで特権コンテナを無効にしているため、Container Security ScoutのDaemonSetがコンテナインスタンスに展開されるのを防ぎます。

ScoutのDaemonSetは機能するためにcom.amazonaws.ecs.capability.privileged-container属性を必要とします。Bottlerocketはデフォルトでsettings.ecs.allow-privileged-containersをfalseに設定しており、これがこのデプロイメントをブロックします。

注意

Bottlerocketインスタンスで特権コンテナを有効にすると、コンテナが昇格された権限で実行されるようになります。この設定が組織のセキュリティ要件に合致していることを確認してから進めてください。

手順

AWS Systems Manager Session ManagerまたはSSHを使用してBottlerocketコンテナインスタンスに接続します。
管理コンテナに入ります。

次のコマンドを実行して特権コンテナを有効にします。

apiclient set --json '{
  "settings": {
    "ecs": {
      "allow-privileged-containers": true
    }
  }
}'

インスタンスを再起動して、すべての設定が適用されていることを確認してください。
Amazon ECS コンソールでコンテナインスタンス属性を確認し、属性が追加されたことを検証します。com.amazonaws.ecs.capability.privileged-container 属性を探してください。

Container Security Scout DaemonSetは、com.amazonaws.ecs.capability.privileged-container属性が検出されると、インスタンスに自動的にデプロイされます。

注意

この構成は、ECSクラスター内の各Bottlerocketコンテナインスタンスで実行する必要があります。このプロセスを自動化するには、EC2ユーザーデータまたはAWS Systems Managerオートメーションドキュメントの使用を検討してください。

次のステップ

Bottlerocket ECS設定の詳細については、Bottlerocketドキュメントを参照してください。