trendmicro:patch-exclude=true AWSタグを使用して、特定のECSクラスター内のタスク定義がタスク定義パッチャーによって変更されるのを防ぎ、TrendAI Vision One™コンソールからラインタイムセキュリティを無効にしないでください。
デフォルトでは、Amazon ECSクラスターでラインタイムセキュリティが有効になっている場合、タスク定義パッチャーはFargateタスク定義を自動的に修正してContainer
Securityコンテナを含めます。クラスターのコンソールでラインタイムセキュリティを有効にしたまま、そのクラスターのタスク定義にパッチャーが変更を適用するのを防ぎたい場合は、
trendmicro:patch-exclude=trueタグをAWSのECSクラスターリソースに直接適用できます。 |
重要
|
除外タグによるパッチ適用動作
次の表は、
trendmicro:patch-exclude=trueタグがクラスタに存在するかどうかに応じて、タスク定義パッチャーがどのように動作するかを説明しています。|
トリガ
|
タグがありません
|
タグが存在します (
true) |
|
クラスターでラインタイムセキュリティが有効になりました
|
クラスターがパッチ適用されました
|
クラスターはコンソールで有効としてマークされていますが、パッチは適用されていません
|
|
CloudFormationスタック
createまたはupdateはクラスターを調整します |
クラスターがパッチ適用または更新されました
|
クラスターは変更されません
|
|
クラスターのECSサービスデプロイメントイベントが発生
|
サービスがパッチ適用されました
|
スキップしました
|
|
スタンドアロンタスクの状態変更イベントがクラスターに対して発生します
|
タスクが修正されました
|
スキップしました
|
|
クラスターでラインタイムセキュリティが無効になっています
|
クラスターが配信されました
|
クラスターが配信されました
|
|
CloudFormation スタックがアンインストールされました
|
クラスターが配信されました
|
クラスターが配信されました
|
|
クラスターにタグが追加されました (他の実行された処理はありません)
|
N/A
|
自動的に何も起こりません—既存のパッチはそのまま残ります
|
|
クラスターからタグが削除されました
|
N/A
|
何も自動的には起こりません。パッチャーは次の調整、サービス展開、またはタスクイベントでパッチを再開します
|
一般的な使用例
- どのクラスターをパッチ適用するかを制御する
-
trendmicro:patch-exclude=trueタグを、パッチの対象外にしたいクラスターに適用してください。これらのクラスターには新しいパッチが適用されず、既にパッチが適用されたタスク定義はそのまま残ります。 - 除外されたクラスターからContainer Securityを完全に削除する
-
TrendAI Vision One™コンソールからクラスター上のラインタイムセキュリティを無効にします。除外タグの有無にかかわらず、デパッチは常に実行されます。
- 以前に除外されたクラスターのパッチ適用を再有効化する
-
AWSのクラスターから
trendmicro:patch-exclude=trueタグを削除してください。パッチ処理は次回の調整、ECSサービスのデプロイメント、またはタスクイベントで再開されます。TrendAI Vision One™コンソールで追加の操作は必要ありません。
AWSで除外タグを適用
-
AWSマネジメントコンソールにサインインし、[Amazon ECS]に移動します。
-
[クラスタ]を選択し、除外したいクラスターの名前をクリックします。
-
クラスター詳細ページで、[タグ]タブをクリックします。
-
[タグを管理]をクリックし、[タグを追加]をクリックします。
-
次の値を入力して [保存] をクリックします。
-
キー:
trendmicro:patch-exclude -
値:
真
-
|
重要タグの値は小文字で
trueとして入力してください。他の大文字小文字の組み合わせはパッチャーによって無視されます。 |