Automatisches Verwalten des Security Agents für Amazon EKS-Ressourcen

Fokusmodus

Automatisches Verwalten des Security Agents für Amazon EKS-Ressourcen - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Runtime Monitoring unterstützt die Aktivierung des Security Agents durch GuardDuty automatische Konfiguration und manuell. In diesem Abschnitt werden die Schritte zur Aktivierung der automatisierten Agentenkonfiguration für Amazon EKS-Cluster beschrieben.

Bevor Sie fortfahren, stellen Sie sicher, dass Sie die befolgt habenVoraussetzungen für die Unterstützung von Amazon EKS-Clustern.

Wählen Sie die Schritte in den folgenden Abschnitten entsprechend Ihrer bevorzugten Vorgehensweise aus. Verwalten Sie den Security Agent über GuardDuty

In Umgebungen mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto die automatische Agentenkonfiguration für die Mitgliedskonten aktivieren oder deaktivieren und den automatisierten Agenten für die EKS-Cluster verwalten, die zu den Mitgliedskonten in ihrer Organisation gehören. Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter Verwaltung mehrerer Konten.

Konfiguration der automatisierten Agentenkonfiguration für das delegierte Administratorkonto GuardDuty

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	Wenn Sie im Bereich Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung: Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. GuardDuty verteilt und verwaltet den Security Agent für alle EKS-Cluster, die zum delegierten GuardDuty Administratorkonto gehören, sowie für alle EKS-Cluster, die zu allen bestehenden und potenziell neuen Mitgliedskonten in der Organisation gehören. Wählen Sie Konten manuell konfigurieren. Wenn Sie im Bereich Runtime Monitoring die Option Konten manuell konfigurieren ausgewählt haben, gehen Sie wie folgt vor: Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Konten manuell konfigurieren aus. Wählen Sie im Abschnitt Delegiertes GuardDuty Administratorkonto (dieses Konto) die Option Aktivieren aus. Wählen Sie Save (Speichern) aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto bereitgestellt. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Aktivieren aus. Für die EKS-Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty wird die Bereitstellung und Aktualisierung des GuardDuty Security Agents verwaltet. Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Wenn Sie den Automated Agent für diesen EKS-Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen Wenn Sie den GuardDuty Security Agent für diesen EKS-Cluster manuell verwaltet haben, finden Sie weitere Informationen unterRessourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster in Ihrem Konto: Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für delegiertes GuardDuty Administratorkonto (dieses Konto) deaktivieren auswählen. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben. Wählen Sie Save (Speichern) aus. Fügen Sie Ihrem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für delegiertes GuardDuty Administratorkonto (dieses Konto) deaktivieren auswählen. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Automatischer Agent für alle Mitgliedskonten automatisch aktivieren

Anmerkung

Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	In diesem Thema geht es darum, Runtime Monitoring für alle Mitgliedskonten zu aktivieren. Daher wird bei den folgenden Schritten davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. GuardDuty verteilt und verwaltet den Security Agent für alle EKS-Cluster, die zum delegierten GuardDuty Administratorkonto gehören, sowie für alle EKS-Cluster, die zu allen bestehenden und potenziell neuen Mitgliedskonten in der Organisation gehören. Wählen Sie Save (Speichern) aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie Automated Agent für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto installiert. Wählen Sie auf der Registerkarte Konfiguration im Abschnitt Runtime Monitoring-Konfiguration die Option Bearbeiten aus. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. Für die EKS-Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty wird die Bereitstellung und Aktualisierung des GuardDuty Security Agents verwaltet. Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Wenn Sie die automatische Agentenkonfiguration für diesen EKS-Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Wenn Sie den GuardDuty Security Agent für diesen EKS-Cluster manuell verwaltet haben, finden Sie weitere Informationen unterRessourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster für alle Mitgliedskonten in Ihrer Organisation: Aktivieren Sie im Abschnitt Automatisierte Agentenkonfiguration keine Konfiguration. Behalten Sie die Konfiguration für Runtime Monitoring mit der Konfiguration im vorherigen Schritt bei. Wählen Sie Save (Speichern) aus. Fügen Sie Ihrem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. Aktivieren Sie im Abschnitt Automatisierte Agentenkonfiguration keine Konfiguration. Behalten Sie die Konfiguration für Runtime Monitoring mit der Konfiguration im vorherigen Schritt bei. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Aktivierung des automatisierten Agenten für alle vorhandenen aktiven Mitgliedskonten

Anmerkung

Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

Um den GuardDuty Security Agent für bestehende aktive Mitgliedskonten in Ihrem Unternehmen zu verwalten

GuardDuty Um Runtime-Ereignisse von den EKS-Clustern zu empfangen, die zu den bestehenden aktiven Mitgliedskonten in der Organisation gehören, müssen Sie einen bevorzugten Ansatz für die Verwaltung des GuardDuty Security Agents für diese EKS-Cluster wählen. Weitere Informationen zu diesen Ansätzen finden Sie unter Ansätze zur Verwaltung von GuardDuty Sicherheitsagenten in Amazon EKS-Clustern.

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	So überwachen Sie alle EKS-Cluster auf allen vorhandenen aktiven Mitgliedskonten Auf der Seite Runtime Monitoring können Sie auf der Registerkarte Konfiguration den aktuellen Status der automatisierten Agentenkonfiguration einsehen. Wählen Sie im Bereich Automatisierte Agentenkonfiguration im Abschnitt Aktive Mitgliedskonten die Option Aktionen aus. Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten. Wählen Sie Bestätigen aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto installiert. Wählen Sie auf der Registerkarte Konfiguration im Bereich Automatisierte Agentenkonfiguration unter Aktive Mitgliedskonten die Option Aktionen aus. Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten. Wählen Sie Bestätigen aus. Um einen EKS-Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Nach diesem Schritt GuardDuty wird der Security Agent für diesen Cluster nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Unabhängig davon, wie Sie den Security Agent verwalten (über GuardDuty oder manuell), müssen Sie den bereitgestellten Security Agent aus diesem EKS-Cluster entfernen, um den Empfang von Runtime-Ereignissen von diesem Cluster zu beenden. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Aktivieren Sie auf der Seite Konten nach der Aktivierung von Runtime Monitoring nicht Runtime Monitoring — Automated Agent configuration. Fügen Sie dem EKS-Cluster ein Tag hinzu, das zu dem ausgewählten Konto gehört, das Sie überwachen möchten. Das Schlüssel-Wert-Paar des Tags muss `GuardDutyManaged`-`true` sein. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration nicht die Option Aktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	Wählen Sie auf der Seite Runtime Monitoring die Option Bearbeiten, um die bestehende Konfiguration zu aktualisieren. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Automatisch für neue Mitgliedskonten aktivieren aus. Wählen Sie Save (Speichern) aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto installiert. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Automatisch für neue Mitgliedskonten aktivieren aus. Für die EKS-Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty wird die Bereitstellung und Aktualisierung des GuardDuty Security Agents verwaltet. Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde Unabhängig davon, ob Sie den GuardDuty Security Agent über GuardDuty oder manuell verwalten, fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel as `GuardDutyManaged` und dem Wert as hinzu`false`. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Wenn Sie den Automated Agent für diesen EKS-Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Wenn Sie den GuardDuty Security Agent für diesen EKS-Cluster manuell verwaltet haben, finden Sie weitere Informationen unterRessourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster auf die neuen Mitgliedskonten in Ihrer Organisation. Stellen Sie sicher, dass im Abschnitt Automatisierte Agentenkonfiguration die Option Automatisch für neue Mitgliedskonten aktivieren deaktiviert ist. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben. Wählen Sie Save (Speichern) aus. Fügen Sie Ihrem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. Stellen Sie sicher, dass das Kontrollkästchen Automatisch für neue Mitgliedskonten aktivieren im Abschnitt Automatische Agentenkonfiguration deaktiviert ist. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Selektives Konfigurieren des automatisierten Agenten für aktive Mitgliedskonten

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	Wählen Sie auf der Seite Konten die Konten aus, für die Sie die automatische Agentenkonfiguration aktivieren möchten. Sie können mehr als ein Konto zur gleichen Zeit auswählen. Stellen Sie sicher, dass für die Konten, die Sie in diesem Schritt auswählen, EKS-Laufzeit-Überwachung bereits aktiviert ist. Wählen Sie unter Schutzpläne bearbeiten die entsprechende Option aus, um Runtime Monitoring — Automatisierte Agentenkonfiguration zu aktivieren. Wählen Sie Bestätigen aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto bereitgestellt. Wählen Sie auf der Kontenseite das Konto aus, für das Sie Agent automatisch verwalten aktivieren möchten. Sie können mehr als ein Konto zur gleichen Zeit auswählen. Wählen Sie unter Schutzpläne bearbeiten die entsprechende Option aus, um die automatische Agentenkonfiguration mit Runtime Monitoring für das ausgewählte Konto zu aktivieren. Verwaltet bei EKS-Clustern, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty die Bereitstellung und Aktualisierung des Security Agents. GuardDuty Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Wenn Sie zuvor die automatische Agentenkonfiguration für diesen EKS-Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Wenn Sie den GuardDuty Security Agent für diesen EKS-Cluster manuell verwaltet haben, müssen Sie ihn entfernen. Weitere Informationen finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster, die zu den ausgewählten Konten gehören: Stellen Sie sicher, dass Sie die automatische Agentenkonfiguration mit Runtime Monitoring nicht für die ausgewählten Konten aktivieren, die über die EKS-Cluster verfügen, die Sie überwachen möchten. Fügen Sie Ihrem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Nach dem Hinzufügen des Tags GuardDuty werden die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten, verwaltet. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Behalten Sie für die Runtime Monitoring-Konfiguration dieselbe wie im vorherigen Schritt bei. Stellen Sie sicher, dass Sie für keines der ausgewählten Konten die automatische Agentenkonfiguration von Runtime Monitoring aktivieren. Wählen Sie Bestätigen aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Konfiguration eines automatisierten Agenten für Umgebungen mit mehreren Konten

Konfiguration der automatisierten Agentenkonfiguration für das delegierte Administratorkonto GuardDuty

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	Wenn Sie im Bereich Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung: Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. GuardDuty verteilt und verwaltet den Security Agent für alle EKS-Cluster, die zum delegierten GuardDuty Administratorkonto gehören, sowie für alle EKS-Cluster, die zu allen bestehenden und potenziell neuen Mitgliedskonten in der Organisation gehören. Wählen Sie Konten manuell konfigurieren. Wenn Sie im Bereich Runtime Monitoring die Option Konten manuell konfigurieren ausgewählt haben, gehen Sie wie folgt vor: Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Konten manuell konfigurieren aus. Wählen Sie im Abschnitt Delegiertes GuardDuty Administratorkonto (dieses Konto) die Option Aktivieren aus. Wählen Sie Save (Speichern) aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto bereitgestellt. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Aktivieren aus. Für die EKS-Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty wird die Bereitstellung und Aktualisierung des GuardDuty Security Agents verwaltet. Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Wenn Sie den Automated Agent für diesen EKS-Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen Wenn Sie den GuardDuty Security Agent für diesen EKS-Cluster manuell verwaltet haben, finden Sie weitere Informationen unterRessourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster in Ihrem Konto: Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für delegiertes GuardDuty Administratorkonto (dieses Konto) deaktivieren auswählen. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben. Wählen Sie Save (Speichern) aus. Fügen Sie Ihrem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für delegiertes GuardDuty Administratorkonto (dieses Konto) deaktivieren auswählen. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Automatischer Agent für alle Mitgliedskonten automatisch aktivieren

Anmerkung

Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	In diesem Thema geht es darum, Runtime Monitoring für alle Mitgliedskonten zu aktivieren. Daher wird bei den folgenden Schritten davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. GuardDuty verteilt und verwaltet den Security Agent für alle EKS-Cluster, die zum delegierten GuardDuty Administratorkonto gehören, sowie für alle EKS-Cluster, die zu allen bestehenden und potenziell neuen Mitgliedskonten in der Organisation gehören. Wählen Sie Save (Speichern) aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie Automated Agent für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto installiert. Wählen Sie auf der Registerkarte Konfiguration im Abschnitt Runtime Monitoring-Konfiguration die Option Bearbeiten aus. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. Für die EKS-Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty wird die Bereitstellung und Aktualisierung des GuardDuty Security Agents verwaltet. Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Wenn Sie die automatische Agentenkonfiguration für diesen EKS-Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Wenn Sie den GuardDuty Security Agent für diesen EKS-Cluster manuell verwaltet haben, finden Sie weitere Informationen unterRessourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster für alle Mitgliedskonten in Ihrer Organisation: Aktivieren Sie im Abschnitt Automatisierte Agentenkonfiguration keine Konfiguration. Behalten Sie die Konfiguration für Runtime Monitoring mit der Konfiguration im vorherigen Schritt bei. Wählen Sie Save (Speichern) aus. Fügen Sie Ihrem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. Aktivieren Sie im Abschnitt Automatisierte Agentenkonfiguration keine Konfiguration. Behalten Sie die Konfiguration für Runtime Monitoring mit der Konfiguration im vorherigen Schritt bei. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Aktivierung des automatisierten Agenten für alle vorhandenen aktiven Mitgliedskonten

Anmerkung

Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

Um den GuardDuty Security Agent für bestehende aktive Mitgliedskonten in Ihrem Unternehmen zu verwalten

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	So überwachen Sie alle EKS-Cluster auf allen vorhandenen aktiven Mitgliedskonten Auf der Seite Runtime Monitoring können Sie auf der Registerkarte Konfiguration den aktuellen Status der automatisierten Agentenkonfiguration einsehen. Wählen Sie im Bereich Automatisierte Agentenkonfiguration im Abschnitt Aktive Mitgliedskonten die Option Aktionen aus. Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten. Wählen Sie Bestätigen aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto installiert. Wählen Sie auf der Registerkarte Konfiguration im Bereich Automatisierte Agentenkonfiguration unter Aktive Mitgliedskonten die Option Aktionen aus. Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten. Wählen Sie Bestätigen aus. Um einen EKS-Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Nach diesem Schritt GuardDuty wird der Security Agent für diesen Cluster nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Unabhängig davon, wie Sie den Security Agent verwalten (über GuardDuty oder manuell), müssen Sie den bereitgestellten Security Agent aus diesem EKS-Cluster entfernen, um den Empfang von Runtime-Ereignissen von diesem Cluster zu beenden. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Aktivieren Sie auf der Seite Konten nach der Aktivierung von Runtime Monitoring nicht Runtime Monitoring — Automated Agent configuration. Fügen Sie dem EKS-Cluster ein Tag hinzu, das zu dem ausgewählten Konto gehört, das Sie überwachen möchten. Das Schlüssel-Wert-Paar des Tags muss `GuardDutyManaged`-`true` sein. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration nicht die Option Aktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	Wählen Sie auf der Seite Runtime Monitoring die Option Bearbeiten, um die bestehende Konfiguration zu aktualisieren. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Automatisch für neue Mitgliedskonten aktivieren aus. Wählen Sie Save (Speichern) aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto installiert. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Automatisch für neue Mitgliedskonten aktivieren aus. Für die EKS-Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty wird die Bereitstellung und Aktualisierung des GuardDuty Security Agents verwaltet. Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde Unabhängig davon, ob Sie den GuardDuty Security Agent über GuardDuty oder manuell verwalten, fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel as `GuardDutyManaged` und dem Wert as hinzu`false`. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Wenn Sie den Automated Agent für diesen EKS-Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Wenn Sie den GuardDuty Security Agent für diesen EKS-Cluster manuell verwaltet haben, finden Sie weitere Informationen unterRessourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster auf die neuen Mitgliedskonten in Ihrer Organisation. Stellen Sie sicher, dass im Abschnitt Automatisierte Agentenkonfiguration die Option Automatisch für neue Mitgliedskonten aktivieren deaktiviert ist. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben. Wählen Sie Save (Speichern) aus. Fügen Sie Ihrem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS-Cluster manuell verwalten. Stellen Sie sicher, dass das Kontrollkästchen Automatisch für neue Mitgliedskonten aktivieren im Abschnitt Automatische Agentenkonfiguration deaktiviert ist. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Selektives Konfigurieren des automatisierten Agenten für aktive Mitgliedskonten

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	Wählen Sie auf der Seite Konten die Konten aus, für die Sie die automatische Agentenkonfiguration aktivieren möchten. Sie können mehr als ein Konto zur gleichen Zeit auswählen. Stellen Sie sicher, dass für die Konten, die Sie in diesem Schritt auswählen, EKS-Laufzeit-Überwachung bereits aktiviert ist. Wählen Sie unter Schutzpläne bearbeiten die entsprechende Option aus, um Runtime Monitoring — Automatisierte Agentenkonfiguration zu aktivieren. Wählen Sie Bestätigen aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto bereitgestellt. Wählen Sie auf der Kontenseite das Konto aus, für das Sie Agent automatisch verwalten aktivieren möchten. Sie können mehr als ein Konto zur gleichen Zeit auswählen. Wählen Sie unter Schutzpläne bearbeiten die entsprechende Option aus, um die automatische Agentenkonfiguration mit Runtime Monitoring für das ausgewählte Konto zu aktivieren. Verwaltet bei EKS-Clustern, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty die Bereitstellung und Aktualisierung des Security Agents. GuardDuty Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Wenn Sie zuvor die automatische Agentenkonfiguration für diesen EKS-Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Wenn Sie den GuardDuty Security Agent für diesen EKS-Cluster manuell verwaltet haben, müssen Sie ihn entfernen. Weitere Informationen finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS-Cluster, die zu den ausgewählten Konten gehören: Stellen Sie sicher, dass Sie die automatische Agentenkonfiguration mit Runtime Monitoring nicht für die ausgewählten Konten aktivieren, die über die EKS-Cluster verfügen, die Sie überwachen möchten. Fügen Sie Ihrem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Nach dem Hinzufügen des Tags GuardDuty werden die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten, verwaltet. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den GuardDuty Security Agent manuell verwalten	Behalten Sie für die Runtime Monitoring-Konfiguration dieselbe wie im vorherigen Schritt bei. Stellen Sie sicher, dass Sie für keines der ausgewählten Konten die automatische Agentenkonfiguration von Runtime Monitoring aktivieren. Wählen Sie Bestätigen aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Ein eigenständiges Konto hat die Entscheidung, einen Schutzplan AWS-Konto in einem bestimmten Bereich zu aktivieren oder zu deaktivieren AWS-Region.

Wenn Ihr Konto über oder über AWS Organizations die Einladungsmethode mit einem GuardDuty Administratorkonto verknüpft ist, gilt dieser Abschnitt nicht für Ihr Konto. Weitere Informationen finden Sie unter Runtime Monitoring für Umgebungen mit mehreren Konten aktivieren.

Nachdem Sie Runtime Monitoring aktiviert haben, stellen Sie sicher, dass Sie den GuardDuty Security Agent durch automatische Konfiguration oder manuelle Installation installieren. Nachdem Sie alle im folgenden Verfahren aufgeführten Schritte ausgeführt haben, stellen Sie sicher, dass Sie den Security Agent installieren.

Je nachdem, ob Sie alle oder ausgewählte Amazon EKS-Ressourcen überwachen möchten, wählen Sie eine bevorzugte Methode und folgen Sie den Schritten in der folgenden Tabelle.

Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.
Wählen Sie im Navigationsbereich Runtime Monitoring aus.

Wählen Sie auf der Registerkarte Konfiguration die Option Aktivieren aus, um die automatische Agentenkonfiguration für Ihr Konto zu aktivieren.

Bevorzugter Ansatz für die Installation des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Aktivieren aus. GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle vorhandenen und potenziell neuen EKS-Cluster in Ihrem Konto. Wählen Sie Save (Speichern) aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto bereitgestellt. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Aktivieren aus. Für die EKS-Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty wird die Bereitstellung und Aktualisierung des GuardDuty Security Agents verwaltet. Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Nach diesem Schritt GuardDuty wird der Security Agent für diesen Cluster nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Deaktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert. Wählen Sie Speichern. Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den Agent manuell verwalten	Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Deaktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Konfiguration des automatisierten Agenten für ein eigenständiges Konto

Ein eigenständiges Konto hat die Entscheidung, einen Schutzplan AWS-Konto in einem bestimmten Bereich zu aktivieren oder zu deaktivieren AWS-Region.

Je nachdem, ob Sie alle oder ausgewählte Amazon EKS-Ressourcen überwachen möchten, wählen Sie eine bevorzugte Methode und folgen Sie den Schritten in der folgenden Tabelle.

Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.
Wählen Sie im Navigationsbereich Runtime Monitoring aus.

Wählen Sie auf der Registerkarte Konfiguration die Option Aktivieren aus, um die automatische Agentenkonfiguration für Ihr Konto zu aktivieren.

Bevorzugter Ansatz für die Installation des GuardDuty Security Agents	Schritte
Verwalten Sie den Security Agent über GuardDuty (Alle EKS-Cluster überwachen)	Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Aktivieren aus. GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle vorhandenen und potenziell neuen EKS-Cluster in Ihrem Konto. Wählen Sie Save (Speichern) aus.
Alle EKS-Cluster überwachen, jedoch einige davon ausschließen (mithilfe des Ausschluss-Tags)	Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetzen Sie `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/. Wählen Sie im Navigationsbereich Runtime Monitoring aus. Anmerkung Fügen Sie Ihren EKS-Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern in Ihrem Konto bereitgestellt. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Aktivieren aus. Für die EKS-Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty wird die Bereitstellung und Aktualisierung des GuardDuty Security Agents verwaltet. Wählen Sie Save (Speichern) aus. Um einen EKS-Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `false` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. Nach diesem Schritt GuardDuty wird der Security Agent für diesen Cluster nicht aktualisiert. Der Security Agent bleibt jedoch weiterhin installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS-Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Um die Laufzeit-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Sicherheitsagent aus diesem EKS-Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.
Ausgewählte EKS-Cluster mithilfe von Einschließen-Tags überwachen	Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Deaktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert. Wählen Sie Speichern. Fügen Sie diesem EKS-Cluster ein Tag mit dem Schlüssel als `GuardDutyManaged` und seinem Wert als `true` hinzu. Weitere Informationen zum Markieren Ihres Amazon-EKS-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im Amazon-EKS-Benutzerhandbuch. GuardDuty verwaltet die Verteilung und Aktualisierung des Security Agents für die ausgewählten EKS-Cluster, die Sie überwachen möchten. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben: Ersetzen Sie `ec2:CreateTags` durch `eks:TagResource`. Ersetzen Sie `ec2:DeleteTags` durch `eks:UntagResource`. Ersetze `access-project` durch `GuardDutyManaged` `123456789012`Ersetzen Sie durch die AWS-Konto ID der vertrauenswürdigen Entität. Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere `PrincipalArn` hinzuzufügen: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]`
Den Agent manuell verwalten	Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Deaktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert. Wählen Sie Save (Speichern) aus. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für den Amazon EKS-Cluster.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Automatisierter Agent auf Fargate (nur Amazon ECS)

Manuelles Agentenmanagement für Amazon EKS-Cluster

Wählen Sie Ihre Cookie-Einstellungen aus

Automatisches Verwalten des Security Agents für Amazon EKS-Ressourcen

Konfiguration der automatisierten Agentenkonfiguration für das delegierte Administratorkonto GuardDuty

Um einen EKS-Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

Automatischer Agent für alle Mitgliedskonten automatisch aktivieren

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

Aktivierung des automatisierten Agenten für alle vorhandenen aktiven Mitgliedskonten

Anmerkung

Um den GuardDuty Security Agent für bestehende aktive Mitgliedskonten in Ihrem Unternehmen zu verwalten

So überwachen Sie alle EKS-Cluster auf allen vorhandenen aktiven Mitgliedskonten

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde

Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

Selektives Konfigurieren des automatisierten Agenten für aktive Mitgliedskonten

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

Konfiguration eines automatisierten Agenten für Umgebungen mit mehreren Konten

Konfiguration der automatisierten Agentenkonfiguration für das delegierte Administratorkonto GuardDuty

Um einen EKS-Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

Automatischer Agent für alle Mitgliedskonten automatisch aktivieren

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

Aktivierung des automatisierten Agenten für alle vorhandenen aktiven Mitgliedskonten

Anmerkung

Um den GuardDuty Security Agent für bestehende aktive Mitgliedskonten in Ihrem Unternehmen zu verwalten

So überwachen Sie alle EKS-Cluster auf allen vorhandenen aktiven Mitgliedskonten

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde

Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

Selektives Konfigurieren des automatisierten Agenten für aktive Mitgliedskonten

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde

Konfiguration des automatisierten Agenten für ein eigenständiges Konto

Um einen EKS-Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

Anmerkung

Um einen EKS-Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde

Hat Ihnen diese Seite geholfen?

Nächstes Thema:

Vorheriges Thema:

Brauchen Sie Hilfe?