Installation manuelle GuardDuty de l'agent de sécurité sur les ressources Amazon EKS - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Installation manuelle GuardDuty de l'agent de sécurité sur les ressources Amazon EKS

Cette section décrit comment déployer l'agent de GuardDuty sécurité pour la première fois pour des clusters EKS spécifiques. Avant de passer à cette section, assurez-vous d'avoir déjà configuré les prérequis et activé la surveillance du temps d'exécution pour vos comptes. L'agent GuardDuty de sécurité (module complémentaire EKS) ne fonctionnera pas si vous n'activez pas la surveillance du temps d'exécution.

Choisissez votre méthode d'accès préférée pour déployer l'agent GuardDuty de sécurité pour la première fois.

Console

  1. Ouvrez la console Amazon EKS à l'adresse https://console.aws.amazon.com/eks/home#/clusters.

  2. Choisissez le nom de votre cluster.

  3. Choisissez l'onglet Modules complémentaires.

  4. Choisissez Obtenez plus de modules complémentaires.

  5. Sur la page Sélectionner les modules complémentaires, choisissez Amazon GuardDuty Runtime Monitoring.

  6. Choisissez l'agent qui apparaît en tant que version la plus récente et par défaut.

  7. Sur la page Configurer les paramètres du module complémentaire sélectionné, utilisez les paramètres par défaut. Si le statut de votre module complémentaire EKS est Nécessite une activation, choisissez Activer GuardDuty. Cette action ouvre la GuardDuty console permettant de configurer la surveillance du temps d'exécution pour vos comptes.

  8. Après avoir configuré la surveillance du temps d'exécution pour vos comptes, revenez à la console Amazon EKS. L'état de votre module complémentaire EKS doit être passé à Prêt à installer.

  9. (Facultatif) Fourniture du schéma de configuration du module complémentaire EKS

    Pour la version complémentaire, si vous choisissez la version v1.5.0 ou supérieure, Runtime Monitoring prend en charge la configuration de paramètres spécifiques de l' GuardDuty agent. Pour plus d'informations sur les plages de paramètres, consultezConfiguration des paramètres du module complémentaire EKS.

    1. Développez les paramètres de configuration facultatifs pour afficher les paramètres configurables ainsi que leur valeur et leur format attendus.

    2. Définissez les paramètres. Les valeurs doivent être comprises dans la plage indiquée dansConfiguration des paramètres du module complémentaire EKS.

    3. Choisissez Enregistrer les modifications pour créer le module complémentaire en fonction de la configuration avancée.

    4. Pour la méthode de résolution des conflits, l'option que vous choisissez sera utilisée pour résoudre un conflit lorsque vous mettez à jour la valeur d'un paramètre à une valeur autre que celle par défaut. Pour plus d'informations sur les options répertoriées, consultez ResolveConflicts dans le manuel Amazon EKS API Reference.

  10. Choisissez Suivant.

  11. Dans la page Vérifier et créer, vérifiez tous les détails, puis choisissez Créer.

  12. Revenez aux détails du cluster et choisissez l'onglet Ressources.

  13. Vous pouvez afficher les nouveaux modules avec le préfixe aws-guardduty-agent.

API/CLI

Vous pouvez configurer l'agent de module complémentaire Amazon EKS (aws-guardduty-agent) à l'aide de l'une des options suivantes :

  • Courez CreateAddonpour votre compte.

  • Note

    Pour le module complémentaireversion, si vous choisissez la version v1.5.0 ou supérieure, Runtime Monitoring prend en charge la configuration de paramètres spécifiques de l' GuardDuty agent. Pour de plus amples informations, veuillez consulter Configuration des paramètres du module complémentaire EKS.

    Utilisez les valeurs suivantes pour les paramètres de demande :

    • Pour addonName, saisissez aws-guardduty-agent.

      Vous pouvez utiliser l' AWS CLI exemple suivant lorsque vous utilisez des valeurs configurables prises en charge pour les versions d'addon v1.5.0 ou supérieures. Assurez-vous de remplacer les valeurs d'espace réservé surlignées en rouge et celles Example.json associées aux valeurs configurées.

      aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.5.0-eksbuild.1 --configuration-values 'file://example.json'
      Exemple.json
      {
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

    • Pour plus d'informations sur les addonVersion pris en charge, veuillez consulter Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty .

  • Vous pouvez également utiliser AWS CLI. Pour plus d'informations, consultez create-addon.

Noms DNS privés pour le point de terminaison VPC

Par défaut, l'agent de sécurité résout et se connecte au nom DNS privé du point de terminaison VPC. La liste suivante fournit les noms DNS privés de vos points de terminaison :

  • Point de terminaison non FIPS — guardduty-data.us-east-1.amazonaws.com

  • Point de terminaison FIPS — guardduty-data-fips.us-east-1.amazonaws.com

Le Région AWSus-east-1, changera en fonction de votre région.