Manuelles Installieren des GuardDuty Security Agents auf Amazon EKS-Ressourcen - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Manuelles Installieren des GuardDuty Security Agents auf Amazon EKS-Ressourcen

In diesem Abschnitt wird beschrieben, wie Sie den GuardDuty Security Agent zum ersten Mal für bestimmte EKS-Cluster bereitstellen können. Bevor Sie mit diesem Abschnitt fortfahren, stellen Sie sicher, dass Sie die Voraussetzungen bereits eingerichtet und Runtime Monitoring für Ihre Konten aktiviert haben. Der GuardDuty Security Agent (EKS-Add-on) funktioniert nicht, wenn Sie Runtime Monitoring nicht aktivieren.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um den GuardDuty Security Agent zum ersten Mal zu installieren.

Console

  1. Öffnen Sie die Amazon EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

  2. Wählen Sie Ihren Clusternamen aus.

  3. Wählen Sie die Registerkarte Add-ons.

  4. Wählen Sie Weitere Add-Ons erhalten.

  5. Wählen Sie auf der Seite „Add-Ons auswählen“ Amazon GuardDuty Runtime Monitoring aus.

  6. Wählen Sie den Agenten aus, der als neueste Version und Standardversion angezeigt wird.

  7. Verwenden Sie auf der Seite Ausgewählte Add-On-Einstellungen konfigurieren die Standardeinstellungen. Wenn der Status Ihres EKS-Add-ons Aktivierung erfordert lautet, wählen Sie Aktivieren aus GuardDuty. Diese Aktion öffnet die GuardDuty Konsole, in der Sie Runtime Monitoring für Ihre Konten konfigurieren können.

  8. Nachdem Sie Runtime Monitoring für Ihre Konten konfiguriert haben, kehren Sie zur Amazon EKS-Konsole zurück. Der Status Ihres EKS-Add-Ons sollte sich auf Bereit zur Installation geändert haben.

  9. (Optional) Bereitstellung des Konfigurationsschemas für das EKS-Add-On

    Wenn Sie für die Add-On-Version Version v1.5.0 oder höher wählen, unterstützt Runtime Monitoring die Konfiguration bestimmter GuardDuty Agentenparameter. Hinweise zu Parameterbereichen finden Sie unterKonfigurieren Sie die Parameter für das EKS-Zusatz.

    1. Erweitern Sie Optionale Konfigurationseinstellungen, um die konfigurierbaren Parameter sowie deren erwarteten Wert und Format anzuzeigen.

    2. Stellen Sie die Parameter ein. Die Werte müssen in dem unter angegebenen Bereich liegenKonfigurieren Sie die Parameter für das EKS-Zusatz.

    3. Wählen Sie Änderungen speichern, um das Add-on auf der Grundlage der erweiterten Konfiguration zu erstellen.

    4. Bei der Methode zur Konfliktlösung wird die von Ihnen gewählte Option verwendet, um einen Konflikt zu lösen, wenn Sie den Wert eines Parameters auf einen anderen Wert als den Standardwert aktualisieren. Weitere Informationen zu den aufgelisteten Optionen finden Sie unter ResolveConflicts in der Amazon EKS-API-Referenz.

  10. Wählen Sie Weiter.

  11. Überprüfen Sie auf der Seite Überprüfen und erstellen alle Details und wählen Sie dann Erstellen.

  12. Gehen Sie zurück zu den Cluster-Details und wählen Sie die Registerkarte Ressourcen.

  13. Sie können die neuen Pods mit dem Präfix anzeigen. aws-guardduty-agent

API/CLI

Sie können den Amazon-EKS-Add-On-Agent (aws-guardduty-agent) konfigurieren, indem Sie eine der folgenden Optionen verwenden:

  • Starte CreateAddonfür dein Konto.

  • Anmerkung

    Wenn Sie für das Add-on version Version 1.5.0 oder höher wählen, unterstützt Runtime Monitoring die Konfiguration bestimmter GuardDuty Agentenparameter. Weitere Informationen finden Sie unter Konfigurieren Sie die Parameter für das EKS-Zusatz.

    Verwenden Sie die folgenden Werte für die Parameter:

    • Geben Sie unter addonName den Wert aws-guardduty-agent ein.

      Sie können das folgende AWS CLI Beispiel verwenden, wenn Sie konfigurierbare Werte verwenden, die für Addon-Versionen v1.5.0 oder höher unterstützt werden. Achten Sie darauf, die rot markierten Platzhalterwerte und die Example.json mit den konfigurierten Werten verknüpften Platzhalterwerte zu ersetzen.

      aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.5.0-eksbuild.1 --configuration-values 'file://example.json'
      Beispiel example.json
      {
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

    • Weitere Informationen zu unterstützten addonVersion finden Sie unter Kubernetes-Versionen, die vom Security Agent unterstützt werden GuardDuty .

  • Alternativ können Sie verwenden. AWS CLI Weitere Informationen finden Sie unter create-addon.

Private DNS-Namen für VPC-Endpunkt

Standardmäßig löst der Security Agent den privaten DNS-Namen des VPC-Endpunkts auf und stellt eine Verbindung zu ihm her. Die folgende Liste enthält die privaten DNS-Namen für Ihre Endpoints:

  • Nicht-FIPS-Endpunkt — guardduty-data.us-east-1.amazonaws.com

  • FIPS-Endpunkt — guardduty-data-fips.us-east-1.amazonaws.com

Das AWS-Region,us-east-1, ändert sich je nach Ihrer Region.