Konfiguration von EKS Runtime Monitoring für Umgebungen mit mehreren Konten () API - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von EKS Runtime Monitoring für Umgebungen mit mehreren Konten () API

In Umgebungen mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto EKS Runtime Monitoring für die Mitgliedskonten aktivieren oder deaktivieren und die GuardDuty Agentenverwaltung für die EKS Cluster verwalten, die zu den Mitgliedskonten in ihrer Organisation gehören. Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter Verwaltung mehrerer Konten.

Dieser Abschnitt enthält Schritte zur Konfiguration von EKS Runtime Monitoring und zur Verwaltung des GuardDuty Security Agents für die EKS Cluster, die zum delegierten GuardDuty Administratorkonto gehören.

Auf der Grundlage von Ansätze zur Verwaltung von GuardDuty Security Agents in EKS Amazon-Clustern können Sie einen bevorzugten Ansatz wählen und die in der folgenden Tabelle aufgeführten Schritte ausführen.

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

Schritte

Den Security Agent verwalten über GuardDuty (Alle EKS Cluster überwachen)

Ausführen des supdateDetectorAPIindem Sie Ihre eigene regionale Melder-ID verwenden und den features Objektnamen als EKS_RUNTIME_MONITORING und den Status als übergebenENABLED.

Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster in Ihrem Konto.

Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

Das folgende Beispiel aktiviert sowohl EKS_RUNTIME_MONITORING als auch EKS_ADDON_MANAGEMENT:

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-false. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Anmerkung

    Fügen Sie Ihrem EKS Cluster immer das Ausschluss-Tag hinzu, bevor Sie das STATUS von EKS_RUNTIME_MONITORING auf setzen. ENABLED Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

    Ausführen des supdateDetectorAPIindem Sie Ihre eigene regionale Melder-ID verwenden und den features Objektnamen als EKS_RUNTIME_MONITORING und den Status als übergebenENABLED.

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die nicht von der Überwachung ausgeschlossen wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert sowohl EKS_RUNTIME_MONITORING als auch EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Überwachen Sie ausgewählte EKS Cluster (mithilfe des Inclusion-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-true. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ausführen des supdateDetectorAPIindem Sie Ihre eigene regionale Melder-ID verwenden und den features Objektnamen als EKS_RUNTIME_MONITORING und den Status als übergebenENABLED.

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die mit dem true -Paar GuardDutyManaged - gekennzeichnet wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Den Sicherheitsagent manuell verwalten

  1. Ausführen des supdateDetectorAPIindem Sie Ihre eigene regionale Melder-ID verwenden und den features Objektnamen als EKS_RUNTIME_MONITORING und den Status als übergebenENABLED.

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Dieser Abschnitt enthält Schritte zur Aktivierung von EKS Runtime Monitoring und zur Verwaltung des Security Agents für alle Mitgliedskonten. Dazu gehören das delegierte GuardDuty Administratorkonto, bestehende Mitgliedskonten und die neuen Konten, die der Organisation beitreten.

Auf der Grundlage von Ansätze zur Verwaltung von GuardDuty Security Agents in EKS Amazon-Clustern können Sie einen bevorzugten Ansatz wählen und die in der folgenden Tabelle aufgeführten Schritte ausführen.

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

Schritte

Den Security Agent verwalten über GuardDuty (Alle EKS Cluster überwachen)

Um die EKS Laufzeitüberwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster in Ihrem Konto.

Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

Das folgende Beispiel aktiviert sowohl EKS_RUNTIME_MONITORING als auch EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Anmerkung

Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-false. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Anmerkung

    Fügen Sie Ihrem EKS Cluster immer das Ausschluss-Tag hinzu, bevor Sie das STATUS von EKS_RUNTIME_MONITORING auf setzen. ENABLED Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

    Ausführen des supdateDetectorAPIindem Sie Ihre eigene regionale Melder-ID verwenden und den features Objektnamen als EKS_RUNTIME_MONITORING und den Status als übergebenENABLED.

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die nicht von der Überwachung ausgeschlossen wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert sowohl EKS_RUNTIME_MONITORING als auch EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Anmerkung

    Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Überwachen Sie ausgewählte EKS Cluster (mithilfe des Inclusion-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-true. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ausführen des supdateDetectorAPIindem Sie Ihre eigene regionale Melder-ID verwenden und den features Objektnamen als EKS_RUNTIME_MONITORING und den Status als übergebenENABLED.

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die mit dem true -Paar GuardDutyManaged - gekennzeichnet wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Anmerkung

    Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Den Sicherheitsagent manuell verwalten

  1. Ausführen des supdateDetectorAPIindem Sie Ihre eigene regionale Melder-ID verwenden und den features Objektnamen als EKS_RUNTIME_MONITORING und den Status als übergebenENABLED.

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Dieser Abschnitt enthält die Schritte zur Aktivierung von EKS Runtime Monitoring und zur Verwaltung des GuardDuty Security Agents für bestehende aktive Mitgliedskonten in Ihrem Unternehmen.

Auf der Grundlage von Ansätze zur Verwaltung von GuardDuty Security Agents in EKS Amazon-Clustern können Sie einen bevorzugten Ansatz wählen und die in der folgenden Tabelle aufgeführten Schritte ausführen.

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

Schritte

Den Security Agent verwalten über GuardDuty (Alle EKS Cluster überwachen)

Um die EKS Laufzeitüberwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster in Ihrem Konto.

Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

Das folgende Beispiel aktiviert sowohl EKS_RUNTIME_MONITORING als auch EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Anmerkung

Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-false. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Anmerkung

    Fügen Sie Ihrem EKS Cluster immer das Ausschluss-Tag hinzu, bevor Sie das STATUS von EKS_RUNTIME_MONITORING auf setzen. ENABLED Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

    Um die EKS Runtime Monitoring selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die nicht von der Überwachung ausgeschlossen wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert sowohl EKS_RUNTIME_MONITORING als auch EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Anmerkung

    Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Überwachen Sie ausgewählte EKS Cluster (mithilfe des Inclusion-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-true. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Um die EKS Laufzeitüberwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die mit dem true -Paar GuardDutyManaged - gekennzeichnet wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Anmerkung

    Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Den Sicherheitsagent manuell verwalten

  1. Um die EKS Laufzeitüberwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Das delegierte GuardDuty Administratorkonto kann EKS Runtime Monitoring automatisch aktivieren und einen Ansatz für die Verwaltung des GuardDuty Security Agents für neue Konten wählen, die Ihrem Unternehmen beitreten.

Auf der Grundlage von Ansätze zur Verwaltung von GuardDuty Security Agents in EKS Amazon-Clustern können Sie einen bevorzugten Ansatz wählen und die in der folgenden Tabelle aufgeführten Schritte ausführen.

Bevorzugter Ansatz zur Verwaltung des Security Agents GuardDuty

Schritte

Den Security Agent verwalten über GuardDuty (Alle EKS Cluster überwachen)

Um die EKS Runtime Monitoring selektiv für Ihre neuen Konten zu aktivieren, rufen Sie den UpdateOrganizationConfigurationAPIBetrieb mit Ihrem eigenen. detector ID

Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster in Ihrem Konto.

Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

Im folgenden Beispiel werden beide Optionen EKS_RUNTIME_MONITORING und EKS_ADDON_MANAGEMENT für ein einzelnes Konto aktiviert. Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

Um das detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-false. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Anmerkung

    Fügen Sie Ihrem EKS Cluster immer das Ausschluss-Tag hinzu, bevor Sie das STATUS von EKS_RUNTIME_MONITORING auf setzen. ENABLED Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

    Um die EKS Runtime Monitoring selektiv für Ihre neuen Konten zu aktivieren, rufen Sie den UpdateOrganizationConfigurationAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die nicht von der Überwachung ausgeschlossen wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Im folgenden Beispiel werden beide Optionen EKS_RUNTIME_MONITORING und EKS_ADDON_MANAGEMENT für ein einzelnes Konto aktiviert. Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Um das detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Überwachen Sie ausgewählte EKS Cluster (mithilfe des Inclusion-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-true. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Um EKS Runtime Monitoring selektiv für Ihre neuen Konten zu aktivieren, rufen Sie den UpdateOrganizationConfigurationAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die mit dem true -Paar GuardDutyManaged - gekennzeichnet wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT für ein einzelnes Konto. Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Um das detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Den Sicherheitsagent manuell verwalten

  1. Um die EKS Laufzeitüberwachung selektiv für Ihre neuen Konten zu aktivieren, rufen Sie den UpdateOrganizationConfigurationAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT für ein einzelnes Konto. Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Um das detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

  2. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Dieser Abschnitt enthält die Schritte zur Konfiguration von EKS Runtime Monitoring und zur Verwaltung des Security Agents für einzelne aktive Mitgliedskonten.

Auf der Grundlage von Ansätze zur Verwaltung von GuardDuty Security Agents in EKS Amazon-Clustern können Sie einen bevorzugten Ansatz wählen und die in der folgenden Tabelle aufgeführten Schritte ausführen.

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

Schritte

Den Security Agent verwalten über GuardDuty (Alle EKS Cluster überwachen)

Um die EKS Laufzeitüberwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster in Ihrem Konto.

Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

Das folgende Beispiel aktiviert sowohl EKS_RUNTIME_MONITORING als auch EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Anmerkung

Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-false. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Anmerkung

    Fügen Sie Ihrem EKS Cluster immer das Ausschluss-Tag hinzu, bevor Sie das STATUS von EKS_RUNTIME_MONITORING auf setzen. ENABLED Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

    Um die EKS Runtime Monitoring selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als ENABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die nicht von der Überwachung ausgeschlossen wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert sowohl EKS_RUNTIME_MONITORING als auch EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Anmerkung

    Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Überwachen Sie ausgewählte EKS Cluster (mithilfe des Inclusion-Tags)

  1. Fügen Sie dem EKS Cluster, den Sie von der Überwachung ausschließen möchten, ein Tag hinzu. Das Schlüssel-Wert-Paar ist GuardDutyManaged-true. Weitere Informationen zum Hinzufügen des Tags finden Sie unter Arbeiten mit Tags mithilfe von CLIAPI, oder eksctl im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen Sie ec2:CreateTags durch eks:TagResource.

    • Ersetzen Sie ec2:DeleteTags durch eks:UntagResource.

    • Ersetze durch access-project GuardDutyManaged

    • 123456789012Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Um die EKS Laufzeitüberwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle EKS Amazon-Cluster, die mit dem true -Paar GuardDutyManaged - gekennzeichnet wurden.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Anmerkung

    Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.

    Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von UnprocessedAccounts zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.

Den Sicherheitsagent manuell verwalten

  1. Um die EKS Laufzeitüberwachung selektiv für Ihre Mitgliedskonten zu aktivieren, führen Sie den updateMemberDetectorsAPIBetrieb mit Ihrem eigenen. detector ID

    Stellen Sie den Status für EKS_ADDON_MANAGEMENT als DISABLED ein.

    Alternativ können Sie den AWS CLI Befehl verwenden, indem Sie Ihre eigene regionale Melder-ID verwenden. Um die detectorId für Ihr Konto und Ihre aktuelle Region geltenden Einstellungen zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Das folgende Beispiel aktiviert EKS_RUNTIME_MONITORING und deaktiviert EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.