Configuration de la surveillance du temps EKS d'exécution pour les environnements à comptes multiples () API - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la surveillance du temps EKS d'exécution pour les environnements à comptes multiples () API

Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps EKS d'exécution pour les comptes membres et gérer la gestion des GuardDuty agents pour les EKS clusters appartenant aux comptes membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter Managing multiple accounts.

Cette section décrit les étapes à suivre pour configurer la surveillance du temps EKS d'exécution et gérer l'agent de GuardDuty sécurité pour les EKS clusters appartenant au compte d' GuardDuty administrateur délégué.

Sur la base de Approches pour gérer les agents GuardDuty de sécurité dans les EKS clusters Amazon, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)

Exécutez le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom EKS_RUNTIME_MONITORING et le statut de features l'objet en tant queENABLED.

Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte.

Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

L'exemple suivant active EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT :

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-false. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Note

    Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre STATUS of EKS_RUNTIME_MONITORING sur ENABLED ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte.

    Exécutez le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom EKS_RUNTIME_MONITORING et le statut de features l'objet en tant queENABLED.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT :

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-true. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Exécutez le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom EKS_RUNTIME_MONITORING et le statut de features l'objet en tant queENABLED.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la true paire GuardDutyManaged -.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT :

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Gestion manuelle de l'agent de sécurité

  1. Exécutez le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom EKS_RUNTIME_MONITORING et le statut de features l'objet en tant queENABLED.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT :

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Cette section décrit les étapes permettant EKS d'activer la surveillance du temps d'exécution et de gérer l'agent de sécurité pour tous les comptes membres. Cela inclut le compte d' GuardDuty administrateur délégué, les comptes de membres existants et les nouveaux comptes qui rejoignent l'organisation.

Sur la base de Approches pour gérer les agents GuardDuty de sécurité dans les EKS clusters Amazon, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)

Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte.

Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

L'exemple suivant active EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT :

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Note

Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-false. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Note

    Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre STATUS of EKS_RUNTIME_MONITORING sur ENABLED ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte.

    Exécutez le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom EKS_RUNTIME_MONITORING et le statut de features l'objet en tant queENABLED.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Note

    Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-true. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Exécutez le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom EKS_RUNTIME_MONITORING et le statut de features l'objet en tant queENABLED.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la true paire GuardDutyManaged -.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Note

    Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Gestion manuelle de l'agent de sécurité

  1. Exécutez le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom EKS_RUNTIME_MONITORING et le statut de features l'objet en tant queENABLED.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Cette section décrit les étapes permettant EKS d'activer la surveillance du temps d'exécution et GuardDuty de gérer l'agent de sécurité pour les comptes de membres actifs existants dans votre organisation.

Sur la base de Approches pour gérer les agents GuardDuty de sécurité dans les EKS clusters Amazon, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)

Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte.

Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

L'exemple suivant active EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT :

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Note

Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-false. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Note

    Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre STATUS of EKS_RUNTIME_MONITORING sur ENABLED ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte.

    Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Note

    Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-true. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la true paire GuardDutyManaged -.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Note

    Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Gestion manuelle de l'agent de sécurité

  1. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Le compte d' GuardDuty administrateur délégué peut activer automatiquement la surveillance du temps EKS d'exécution et choisir une approche pour gérer l'agent GuardDuty de sécurité pour les nouveaux comptes qui rejoignent votre organisation.

Sur la base de Approches pour gérer les agents GuardDuty de sécurité dans les EKS clusters Amazon, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)

Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos nouveaux comptes, invoquez UpdateOrganizationConfigurationAPIopération en utilisant le vôtredetector ID.

Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte.

Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

L'exemple suivant active à la fois EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT pour un seul compte. Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-false. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Note

    Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre STATUS of EKS_RUNTIME_MONITORING sur ENABLED ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte.

    Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos nouveaux comptes, invoquez UpdateOrganizationConfigurationAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active à la fois EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT pour un seul compte. Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-true. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos nouveaux comptes, invoquez UpdateOrganizationConfigurationAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la true paire GuardDutyManaged -.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT pour un seul compte. Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Gestion manuelle de l'agent de sécurité

  1. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos nouveaux comptes, invoquez UpdateOrganizationConfigurationAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT pour un seul compte. Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

  2. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Cette section décrit les étapes de configuration de la surveillance du EKS temps d'exécution et de gestion de l'agent de sécurité pour les comptes de membres actifs individuels.

Sur la base de Approches pour gérer les agents GuardDuty de sécurité dans les EKS clusters Amazon, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)

Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte.

Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

L'exemple suivant active EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT :

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Note

Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-false. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Note

    Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre STATUS of EKS_RUNTIME_MONITORING sur ENABLED ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte.

    Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que ENABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Note

    Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)

  1. Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est GuardDutyManaged-true. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la true paire GuardDutyManaged -.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Note

    Vous pouvez également transmettre une liste de comptes IDs séparés par un espace.

    Lorsque le code est correctement exécuté, il renvoie une liste vide de UnprocessedAccounts. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.

Gestion manuelle de l'agent de sécurité

  1. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour les comptes de vos membres, exécutez updateMemberDetectorsAPIopération en utilisant le vôtredetector ID.

    Définissez l'état pour EKS_ADDON_MANAGEMENT en tant que DISABLED.

    Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

    L'exemple suivant active EKS_RUNTIME_MONITORING et désactive EKS_ADDON_MANAGEMENT :

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.