Prisma Cloud Compute: ECS Defender が特権 false でデプロイされた場合、「Defender コンポーネントでエラーが発生しました。」

935

Created On 01/07/25 16:36 PM - Last Modified 02/10/26 21:22 PM

Symptom

ECS Defender DaemonSet を "privileged": false でデプロイすると、ユーザーには「Defender コンポーネントでエラーが発生しました。」というメッセージが表示される場合があります。

以下のようなエラーが発生します。

ERRO 2025-01-07T16:18:48.588 defender.go:269 Failed to fetch cluster: readlink /proc/1/root: permission denied
ERRO 2025-01-07T16:18:48.593 defender.go:283 Failed to find OS distribution info: failed to read release data file open /proc/1/root/etc/os-release: permission denied
ERRO 2025-01-07T16:18:48.636 defender.go:508 Failed to get host security options: could not open /sys/module/apparmor/parameters/enabled: readlink /proc/1/root: permission denied
ERRO 2025-01-07T16:18:48.636 defender.go:570 Failed to check for prevent compatibility failed to find host config value of CONFIG_FANOTIFY_ACCESS_PERMISSIONS: exit status 1
ERRO 2025-01-07T16:18:48.637 defender.go:825 Failed to create firewall manager: open /proc/1/root/sys/fs/cgroup/memory/ecs/db7be44845fb461b937e0c62eb1d3fbb/c4c17782ac01d5d7e78ee2f76f6346c26602b30837e859130d4bfbb621e30d94/memory.limit_in_bytes: permission denied
ERRO 2025-01-07T16:18:49.671 defender.go:1092 Failed to enable process monitoring. failed to find mnt namespace for current process: readlink /proc/1/ns/pid: permission denied
ERRO 2025-01-07T16:18:49.674 defender.go:1158 Failed to initialize networking: failed to initialize host network data readlink /proc/1/ns/net: permission denied
ERRO 2025-01-07T16:18:49.675 defender.go:1186 Failed to init filesystem monitor readlink /proc/1/ns/pid: permission denied

Environment

Prisma Cloud Compute SaaS バージョン
Prisma Cloud Compute セルフホスト版
Amazon ECS の Orchestrator Defenders

Cause

これらのエラーは、ecs-task.json で privileged が "false" に設定されている場合に発生します。

      "privileged": false,

Resolution

特権を「true」に設定し、新しいタスク定義リビジョンを使用するようにサービスを再構成します。

 "privileged": true,

Additional Information

別の解決策としては、タスク定義に以下の機能/行を追加します。