使用 trendmicro:patch-exclude=true AWS 標籤來防止任務定義修補程式修改特定 ECS 叢集中的任務定義,而不需從 TrendAI Vision One™ 主控台停用執行時安全性。
預設情況下,當 Amazon ECS 叢集上已啟動 Runtime Security 時,Task Definition Patcher 會自動修改 Fargate
任務定義以包含 Container Security 容器。如果您希望在控制台中保持叢集的 Runtime Security 已啟動,但防止 Patcher 對該叢集的任務定義進行更改,您可以直接在
AWS 中將
trendmicro:patch-exclude=true 標籤應用於 ECS 叢集資源。 |
重要
|
使用排除標籤的修補行為
下表描述了任務定義修補程式在叢集中是否存在
trendmicro:patch-exclude=true標籤時的行為。|
觸發
|
標籤缺失
|
標籤存在 (
true) |
|
叢集上的執行時安全已啟動
|
叢集已修補
|
叢集在控制台中標記為已啟動,但未套用任何修補程式
|
|
CloudFormation 堆疊
create 或 update 會調整叢集 |
叢集已修補或更新
|
叢集保持不變
|
|
ECS 服務部署事件觸發於叢集
|
服務已修補
|
已略過
|
|
獨立任務狀態變更事件觸發叢集
|
任務已修補
|
已略過
|
|
叢集上的執行時安全性已停用
|
叢集已部署
|
叢集已部署
|
|
CloudFormation 堆疊已解除安裝
|
叢集已部署
|
叢集已部署
|
|
標籤已新增至叢集(未採取其他中毒處理行動)
|
無
|
沒有任何事情會自動發生——現有的修補程式將保持不變
|
|
標籤已從叢集中移除
|
無
|
沒有任何事情會自動發生——修補程式將在下一次調和、服務部署或任務事件中繼續修補
|
常見使用案例
- 控制哪些叢集獲得修補
-
將
trendmicro:patch-exclude=true標籤應用於您希望排除在修補程式範圍之外的叢集。新的修補程式將不會應用於這些叢集;任何已經修補的任務定義將保持不變。 - 完全從排除的叢集中移除 Container Security
-
從 TrendAI Vision One™ 控制台關閉叢集上的執行時安全性。無論是否存在排除標籤,解除修補程序始終運行。
- 重新啟用先前排除的叢集的修補功能
-
從 AWS 中的叢集中移除
trendmicro:patch-exclude=true標籤。修補程式將在下次協調、ECS 服務部署或任務事件時恢復。TrendAI Vision One™ 控制台中無需執行其他操作。
在 AWS 中套用排除標籤
-
登入 AWS 管理控制台並導航至「Amazon ECS」。
-
選擇「Clusters」並點擊您想要排除的叢集名稱。
-
在叢集詳細資訊頁面上,點擊「標籤 (Tags)」標籤。
-
按「Manage tags」,然後按一下「Add tag」。
-
輸入以下數值,然後點擊「儲存」:
-
機碼:
trendmicro:patch-exclude -
值:
true
-
|
重要將標籤值輸入為小寫的
true。修補程式會忽略其他大小寫。 |