Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Configurar la Supervisión en tiempo de ejecución de EKS para una cuenta independiente (API)

PDF
RSS
Modo de enfoque
Configurar la Supervisión en tiempo de ejecución de EKS para una cuenta independiente (API) - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Una cuenta independiente es la propietaria de la decisión de habilitar o deshabilitar un plan de protección Cuenta de AWS en un plan específico Región de AWS.

Si su cuenta está asociada a una cuenta de GuardDuty administrador mediante AWS Organizations una invitación o mediante el método de invitación, esta sección no se aplica a su cuenta. Para obtener más información, consulte Configurar la Supervisión en tiempo de ejecución de EKS para entornos con varias cuentas (API).

Después de activar Runtime Monitoring, asegúrese de instalar el agente GuardDuty de seguridad mediante una configuración automática o un despliegue manual. Como parte de completar todos los pasos que se indican en el siguiente procedimiento, asegúrese de instalar el agente de seguridad.

Según los Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS, puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.

Enfoque preferido para administrar el agente GuardDuty de seguridad

Pasos

Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)

  1. Ejecute la updateDetectorUtilice su propio identificador de detector regional y transfiera el nombre EKS_RUNTIME_MONITORING y el estado del features objeto comoENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta.

  2. Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

    En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-false. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyalo por el Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Añada siempre la etiqueta de exclusión a su clúster de EKS antes de establecer el valor STATUS de EKS_RUNTIME_MONITORING enENABLED; de lo contrario, el agente de GuardDuty seguridad se desplegará en todos los clústeres de EKS de su cuenta.

    Ejecute la updateDetectorUtilice su propio identificador de detector regional y transfiera el nombre EKS_RUNTIME_MONITORING y el estado del features objeto comoENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que no se hayan excluido de la supervisión.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

    En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-true. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyalo por el Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ejecute la updateDetectorUtilice su propio identificador de detector regional y transfiera el nombre EKS_RUNTIME_MONITORING y el estado del features objeto comoENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que se hayan etiquetado con el true par GuardDutyManaged -.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Administración manual del agente de seguridad

  1. Ejecute la updateDetectorUtilice su propio identificador de detector regional y transfiera el nombre EKS_RUNTIME_MONITORING y el estado del features objeto comoENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

  2. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.