Container Security 支援保護已連接的 Amazon ECS Fargate 容器。
 |
重要在繼續之前,您必須連接承載 Fargate 容器的 Amazon ECS 叢集:
|
ECS Task Definition Patcher 是一個基於 Lambda 的服務,會在版本
2.0.0 之後自動修補 Amazon ECS Fargate 任務定義,以包含 Container Security 容器(Falco、Scout 和 Pdig)。當部署
Container Security 時,您應注意以下事項:-
容器必須具有網路連接。
-
Container Security 使用
ptrace來檢查容器。如果您也在使用ptrace,監控可能無法正常運作。 -
Container Security 在任務定義中啟用
pidMode。啟用pidMode將導致每個任務僅有一個 ECS Exec 會話。欲了解詳細資訊,請參閱 使用 Amazon ECS Exec 進行除錯。 -
Fargate 上的容器安全性需要至少 1 個 vCPU(1024 個 CPU 單位)和 512MiB 記憶體。請參考 AWS 任務大小表來確定在 Fargate 上運行容器安全性和工作負載的適當任務大小。
 |
注意手動修補的 Fargate 服務將不會自動修補。請使用不含 Container Security 映像的原始任務定義,以確保 Fargate 服務能夠自動修補。
|
步驟
- 在 Trend Vision One 主控台上,移至。
- 在樹狀結構中,點擊「Amazon ECS」,然後在列表中找到並點擊 Fargate 叢集。
- 開啟Runtime Security。
- 在另一個瀏覽器分頁中,登入託管叢集的 AWS 帳戶。
重要
截至2025年11月19日,以下AWS指示和螢幕截圖均有效。如需進一步協助,請查閱您的AWS文件。 - 將下述額外權限新增至您想要保護的 Fargate 服務的任務角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:GetParameter", "Resource": "arn:aws:ssm:${Region}:${Account}:parameter/V1CS/*" }, { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:${Region}:${Account}:secret:/V1CS/${CLUSTER_NAME}/AuthToken-*" }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "arn:aws:ecs:${Region}:${Account}:task/*" } ] }位置:-
$(Region)- Fargate 容器託管的區域(例如,us-east-1)。 -
$Account)- 管理 Fargate 容器的 AWS 帳戶。 -
${CLUSTER_NAME}- 此 Fargate 服務部署的叢集。您可以將此欄位替換為*,以將此 IAM 角色應用於任何叢集。
-
trendmicro-container-security-ecs-taskdef-patcherlambda 更新任務定義並使用新的任務定義重新部署 ECS 服務。注意
僅支援 AWS ECS 服務;不支援 ECS 任務。