Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Gestion automatique de l'agent de sécurité pour les ressources Amazon EKS

PDF
RSS
Mode de mise au point
Gestion automatique de l'agent de sécurité pour les ressources Amazon EKS - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

La surveillance du temps d'exécution prend en charge l'activation de l'agent de sécurité par le biais d'une configuration GuardDuty automatique et manuelle. Cette section décrit les étapes permettant d'activer la configuration automatique des agents pour les clusters Amazon EKS.

Avant de continuer, assurez-vous d'avoir suivi leConditions préalables à la prise en charge des clusters Amazon EKS.

En fonction de l'approche que vous préférezGérez l'agent de sécurité via GuardDuty, choisissez les étapes correspondantes dans les sections suivantes.

Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les comptes des membres et gérer l'agent automatique pour les clusters EKS appartenant aux comptes membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter Managing multiple accounts.

Configuration de la configuration automatique de l'agent pour le compte GuardDuty administrateur délégué

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

Si vous avez choisi Activer pour tous les comptes dans la section Surveillance du temps d'exécution, les options suivantes s'offrent à vous :

  • Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. GuardDuty déploiera et gérera l'agent de sécurité pour tous les clusters EKS appartenant au compte de compte d' GuardDuty administrateur délégué ainsi que pour tous les clusters EKS appartenant à tous les comptes membres existants et potentiellement nouveaux de l'organisation.

  • Choisissez Configurer les comptes manuellement.

Si vous avez choisi Configurer les comptes manuellement dans la section Surveillance du temps d'exécution, procédez comme suit :

  1. Choisissez Configurer les comptes manuellement dans la section Configuration automatique de l'agent.

  2. Choisissez Activer dans la section compte GuardDuty administrateur délégué (ce compte).

Choisissez Save (Enregistrer).

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Dans l'onglet Configuration, choisissez Activer dans la section de gestion des GuardDuty agents.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Save (Enregistrer).

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous avez activé l'agent automatique pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

  4. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezDésactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS de votre compte :

  1. Assurez-vous de choisir Désactiver pour le compte GuardDuty administrateur délégué (ce compte) dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. Assurez-vous de choisir Désactiver pour le compte GuardDuty administrateur délégué (ce compte) dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activation automatique Agent automatique pour tous les comptes de membres

Note

La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

Cette rubrique vise à activer la surveillance du temps d'exécution pour tous les comptes membres. Par conséquent, les étapes suivantes supposent que vous devez avoir choisi Activer pour tous les comptes dans la section Surveillance du temps d'exécution.

  1. Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. GuardDuty déploiera et gérera l'agent de sécurité pour tous les clusters EKS appartenant au compte de compte d' GuardDuty administrateur délégué ainsi que pour tous les clusters EKS appartenant à tous les comptes membres existants et potentiellement nouveaux de l'organisation.

  2. Choisissez Save (Enregistrer).

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer l'agent automatisé pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Sous l'onglet Configuration, choisissez Modifier dans la section Configuration de la surveillance du temps d'exécution.

  6. Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  7. Choisissez Save (Enregistrer).

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Si la configuration automatique de l'agent est activée pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

  3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezDésactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour tous les comptes membres de votre organisation :

  1. N'activez aucune configuration dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. N'activez aucune configuration dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activation de l'agent automatique pour tous les comptes de membres actifs existants

Note

La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

Pour gérer l'agent GuardDuty de sécurité pour les comptes de membres actifs existants de votre organisation

  • GuardDuty Pour recevoir les événements d'exécution des clusters EKS appartenant aux comptes de membres actifs existants de l'organisation, vous devez choisir une approche préférée pour gérer l'agent de GuardDuty sécurité pour ces clusters EKS. Pour plus d'informations sur ces approches, veuillez consulter Approches pour gérer les agents GuardDuty de sécurité dans les clusters Amazon EKS.

    Approche préférée pour gérer les agents GuardDuty de sécurité

    Étapes

    Gérez l'agent de sécurité via GuardDuty

    (Surveiller tous les clusters EKS)
    Pour surveiller tous les clusters EKS pour tous les comptes membres actifs existants

    1. Sur la page Runtime Monitoring, sous l'onglet Configuration, vous pouvez consulter l'état actuel de la configuration automatique des agents.

    2. Dans le volet Configuration automatique de l'agent, dans la section Comptes membres actifs, sélectionnez Actions.

    3. Dans Actions, choisissez Activer pour tous les comptes membres actifs existants.

    4. Choisissez Confirmer.

    Surveiller tous les clusters EKS, mais en exclure certains (à l'aide d'une balise d'exclusion)

    Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

    Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    4. Dans le volet de navigation, choisissez Runtime Monitoring.

      Note

      Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

    5. Sous l'onglet Configuration, dans le volet Configuration automatique de l'agent, sous Comptes membres actifs, sélectionnez Actions.

    6. Dans Actions, choisissez Activer pour tous les comptes membres actifs.

    7. Choisissez Confirmer.

    Pour exclure un cluster EKS de la surveillance une fois que l'agent de GuardDuty sécurité a déjà été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      Après cette étape, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Quelle que soit la façon dont vous gérez l'agent de sécurité (par le biais GuardDuty ou manuellement), pour ne plus recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

    Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

    1. Sur la page Comptes, une fois que vous avez activé la surveillance du temps d'exécution, n'activez pas la surveillance du temps d'exécution - Configuration automatique de l'agent.

    2. Ajoutez une balise au cluster EKS qui appartient au compte sélectionné que vous souhaitez surveiller. La paire clé-valeur de la balise doit être GuardDutyManaged-true.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

    3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gestion manuelle de l'agent de GuardDuty sécurité

    1. Assurez-vous de ne pas sélectionner Activer dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Save (Enregistrer).

    3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activer automatiquement la configuration automatique des agents pour les nouveaux membres

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

  1. Sur la page Runtime Monitoring, choisissez Modifier pour mettre à jour la configuration existante.

  2. Dans la section Configuration automatique de l'agent, sélectionnez Activer automatiquement pour les nouveaux comptes membres.

  3. Choisissez Save (Enregistrer).

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Dans l'onglet Configuration, sélectionnez Activer automatiquement les nouveaux comptes membres dans la section Gestion des GuardDuty agents.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Save (Enregistrer).

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Que vous gériez l'agent GuardDuty de sécurité par le biais GuardDuty ou manuellement, ajoutez une balise à ce cluster EKS avec la clé as GuardDutyManaged et sa valeur asfalse.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Si l'agent automatisé est activé pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezDésactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour les nouveaux comptes membres de votre organisation.

  1. Assurez-vous de désactiver l'option Activer automatiquement pour les nouveaux comptes membres dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. Assurez-vous de décocher la case Activer automatiquement pour les nouveaux comptes membres dans la section Configuration automatique des agents. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Configuration sélective de l'agent automatisé pour les comptes de membres actifs

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

  1. Sur la page Comptes, sélectionnez les comptes pour lesquels vous souhaitez activer la configuration automatique des agents. Vous pouvez sélectionner plusieurs comptes à la fois. Assurez-vous que la surveillance d'exécution EKS est déjà activée sur les comptes que vous sélectionnez au cours de cette étape.

  2. Dans Modifier les plans de protection, choisissez l'option appropriée pour activer Runtime Monitoring - Configuration automatisée des agents.

  3. Choisissez Confirmer.

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  4. Sur la page Comptes, sélectionnez le compte pour lequel vous souhaitez activer Gérer automatiquement l'agent. Vous pouvez sélectionner plusieurs comptes à la fois.

  5. Dans Modifier les plans de protection, choisissez l'option appropriée pour activer la configuration automatique de l'agent Runtime Monitoring pour le compte sélectionné.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Save (Enregistrer).

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Si vous avez déjà activé la configuration automatique de l'agent pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, vous devez le supprimer. Pour de plus amples informations, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS appartenant aux comptes sélectionnés :

  1. Assurez-vous de ne pas activer la configuration automatique de l'agent Runtime Monitoring pour les comptes sélectionnés dotés des clusters EKS que vous souhaitez surveiller.

  2. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Après avoir ajouté la balise, GuardDuty il gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectifs que vous souhaitez surveiller.

  3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

  1. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente. Assurez-vous de ne pas activer Runtime Monitoring - Configuration automatique de l'agent pour aucun des comptes sélectionnés.

  2. Choisissez Confirmer.

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les comptes des membres et gérer l'agent automatique pour les clusters EKS appartenant aux comptes membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter Managing multiple accounts.

Configuration de la configuration automatique de l'agent pour le compte GuardDuty administrateur délégué

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

Si vous avez choisi Activer pour tous les comptes dans la section Surveillance du temps d'exécution, les options suivantes s'offrent à vous :

  • Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. GuardDuty déploiera et gérera l'agent de sécurité pour tous les clusters EKS appartenant au compte de compte d' GuardDuty administrateur délégué ainsi que pour tous les clusters EKS appartenant à tous les comptes membres existants et potentiellement nouveaux de l'organisation.

  • Choisissez Configurer les comptes manuellement.

Si vous avez choisi Configurer les comptes manuellement dans la section Surveillance du temps d'exécution, procédez comme suit :

  1. Choisissez Configurer les comptes manuellement dans la section Configuration automatique de l'agent.

  2. Choisissez Activer dans la section compte GuardDuty administrateur délégué (ce compte).

Choisissez Save (Enregistrer).

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Dans l'onglet Configuration, choisissez Activer dans la section de gestion des GuardDuty agents.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Save (Enregistrer).

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous avez activé l'agent automatique pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

  4. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezDésactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS de votre compte :

  1. Assurez-vous de choisir Désactiver pour le compte GuardDuty administrateur délégué (ce compte) dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. Assurez-vous de choisir Désactiver pour le compte GuardDuty administrateur délégué (ce compte) dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activation automatique Agent automatique pour tous les comptes de membres

Note

La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

Cette rubrique vise à activer la surveillance du temps d'exécution pour tous les comptes membres. Par conséquent, les étapes suivantes supposent que vous devez avoir choisi Activer pour tous les comptes dans la section Surveillance du temps d'exécution.

  1. Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. GuardDuty déploiera et gérera l'agent de sécurité pour tous les clusters EKS appartenant au compte de compte d' GuardDuty administrateur délégué ainsi que pour tous les clusters EKS appartenant à tous les comptes membres existants et potentiellement nouveaux de l'organisation.

  2. Choisissez Save (Enregistrer).

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer l'agent automatisé pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Sous l'onglet Configuration, choisissez Modifier dans la section Configuration de la surveillance du temps d'exécution.

  6. Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  7. Choisissez Save (Enregistrer).

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Si la configuration automatique de l'agent est activée pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

  3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezDésactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour tous les comptes membres de votre organisation :

  1. N'activez aucune configuration dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. N'activez aucune configuration dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activation de l'agent automatique pour tous les comptes de membres actifs existants

Note

La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

Pour gérer l'agent GuardDuty de sécurité pour les comptes de membres actifs existants de votre organisation

  • GuardDuty Pour recevoir les événements d'exécution des clusters EKS appartenant aux comptes de membres actifs existants de l'organisation, vous devez choisir une approche préférée pour gérer l'agent de GuardDuty sécurité pour ces clusters EKS. Pour plus d'informations sur ces approches, veuillez consulter Approches pour gérer les agents GuardDuty de sécurité dans les clusters Amazon EKS.

    Approche préférée pour gérer les agents GuardDuty de sécurité

    Étapes

    Gérez l'agent de sécurité via GuardDuty

    (Surveiller tous les clusters EKS)
    Pour surveiller tous les clusters EKS pour tous les comptes membres actifs existants

    1. Sur la page Runtime Monitoring, sous l'onglet Configuration, vous pouvez consulter l'état actuel de la configuration automatique des agents.

    2. Dans le volet Configuration automatique de l'agent, dans la section Comptes membres actifs, sélectionnez Actions.

    3. Dans Actions, choisissez Activer pour tous les comptes membres actifs existants.

    4. Choisissez Confirmer.

    Surveiller tous les clusters EKS, mais en exclure certains (à l'aide d'une balise d'exclusion)

    Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

    Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    4. Dans le volet de navigation, choisissez Runtime Monitoring.

      Note

      Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

    5. Sous l'onglet Configuration, dans le volet Configuration automatique de l'agent, sous Comptes membres actifs, sélectionnez Actions.

    6. Dans Actions, choisissez Activer pour tous les comptes membres actifs.

    7. Choisissez Confirmer.

    Pour exclure un cluster EKS de la surveillance une fois que l'agent de GuardDuty sécurité a déjà été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      Après cette étape, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Quelle que soit la façon dont vous gérez l'agent de sécurité (par le biais GuardDuty ou manuellement), pour ne plus recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

    Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

    1. Sur la page Comptes, une fois que vous avez activé la surveillance du temps d'exécution, n'activez pas la surveillance du temps d'exécution - Configuration automatique de l'agent.

    2. Ajoutez une balise au cluster EKS qui appartient au compte sélectionné que vous souhaitez surveiller. La paire clé-valeur de la balise doit être GuardDutyManaged-true.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

    3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gestion manuelle de l'agent de GuardDuty sécurité

    1. Assurez-vous de ne pas sélectionner Activer dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Save (Enregistrer).

    3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activer automatiquement la configuration automatique des agents pour les nouveaux membres

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

  1. Sur la page Runtime Monitoring, choisissez Modifier pour mettre à jour la configuration existante.

  2. Dans la section Configuration automatique de l'agent, sélectionnez Activer automatiquement pour les nouveaux comptes membres.

  3. Choisissez Save (Enregistrer).

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Dans l'onglet Configuration, sélectionnez Activer automatiquement les nouveaux comptes membres dans la section Gestion des GuardDuty agents.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Save (Enregistrer).

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Que vous gériez l'agent GuardDuty de sécurité par le biais GuardDuty ou manuellement, ajoutez une balise à ce cluster EKS avec la clé as GuardDutyManaged et sa valeur asfalse.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Si l'agent automatisé est activé pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezDésactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour les nouveaux comptes membres de votre organisation.

  1. Assurez-vous de désactiver l'option Activer automatiquement pour les nouveaux comptes membres dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. Assurez-vous de décocher la case Activer automatiquement pour les nouveaux comptes membres dans la section Configuration automatique des agents. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Save (Enregistrer).

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Configuration sélective de l'agent automatisé pour les comptes de membres actifs

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

  1. Sur la page Comptes, sélectionnez les comptes pour lesquels vous souhaitez activer la configuration automatique des agents. Vous pouvez sélectionner plusieurs comptes à la fois. Assurez-vous que la surveillance d'exécution EKS est déjà activée sur les comptes que vous sélectionnez au cours de cette étape.

  2. Dans Modifier les plans de protection, choisissez l'option appropriée pour activer Runtime Monitoring - Configuration automatisée des agents.

  3. Choisissez Confirmer.

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  4. Sur la page Comptes, sélectionnez le compte pour lequel vous souhaitez activer Gérer automatiquement l'agent. Vous pouvez sélectionner plusieurs comptes à la fois.

  5. Dans Modifier les plans de protection, choisissez l'option appropriée pour activer la configuration automatique de l'agent Runtime Monitoring pour le compte sélectionné.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Save (Enregistrer).

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Si vous avez déjà activé la configuration automatique de l'agent pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, vous devez le supprimer. Pour de plus amples informations, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS appartenant aux comptes sélectionnés :

  1. Assurez-vous de ne pas activer la configuration automatique de l'agent Runtime Monitoring pour les comptes sélectionnés dotés des clusters EKS que vous souhaitez surveiller.

  2. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Après avoir ajouté la balise, GuardDuty il gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectifs que vous souhaitez surveiller.

  3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2:CreateTags par eks:TagResource.

    • Remplacez ec2:DeleteTags par eks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

  1. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente. Assurez-vous de ne pas activer Runtime Monitoring - Configuration automatique de l'agent pour aucun des comptes sélectionnés.

  2. Choisissez Confirmer.

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Un compte autonome prend la décision d'activer ou de désactiver un plan de protection Compte AWS dans un espace spécifique Région AWS.

Si votre compte est associé à un compte GuardDuty administrateur par le biais AWS Organizations ou par le biais d'une invitation, cette section ne s'applique pas à votre compte. Pour de plus amples informations, veuillez consulter Activation de la surveillance du temps d'exécution pour les environnements à comptes multiples.

Après avoir activé la surveillance du temps d'exécution, veillez à installer l'agent GuardDuty de sécurité par le biais d'une configuration automatique ou d'un déploiement manuel. Dans le cadre de toutes les étapes répertoriées dans la procédure suivante, veillez à installer l'agent de sécurité.

Selon votre préférence en matière de surveillance de toutes les ressources Amazon EKS ou de certaines d'entre elles, choisissez une méthode préférée et suivez les étapes décrites dans le tableau suivant.

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, choisissez Runtime Monitoring.

  3. Dans l'onglet Configuration, choisissez Activer pour activer la configuration automatique des agents pour votre compte.

    Approche préférée pour déployer l'agent GuardDuty de sécurité

    Étapes

    Gérez l'agent de sécurité via GuardDuty

    (Surveiller tous les clusters EKS)

    1. Choisissez Activer dans la section Configuration automatique de l'agent. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les clusters EKS existants et potentiellement nouveaux de votre compte.

    2. Choisissez Save (Enregistrer).

    Surveiller tous les clusters EKS, mais en exclure certains (à l'aide d'une balise d'exclusion)

    Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

    Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    4. Dans le volet de navigation, choisissez Runtime Monitoring.

      Note

      Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

    5. Dans l'onglet Configuration, choisissez Activer dans la section de gestion des GuardDuty agents.

      Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

    6. Choisissez Save (Enregistrer).

    Pour exclure un cluster EKS de la surveillance une fois que l'agent de GuardDuty sécurité a déjà été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      Après cette étape, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

    Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

    1. Assurez-vous de choisir Désactiver dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Enregistrer.

    3. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

    4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gestion manuelle de l'agent

    1. Assurez-vous de choisir Désactiver dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Save (Enregistrer).

    3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Un compte autonome prend la décision d'activer ou de désactiver un plan de protection Compte AWS dans un espace spécifique Région AWS.

Si votre compte est associé à un compte GuardDuty administrateur par le biais AWS Organizations ou par le biais d'une invitation, cette section ne s'applique pas à votre compte. Pour de plus amples informations, veuillez consulter Activation de la surveillance du temps d'exécution pour les environnements à comptes multiples.

Après avoir activé la surveillance du temps d'exécution, veillez à installer l'agent GuardDuty de sécurité par le biais d'une configuration automatique ou d'un déploiement manuel. Dans le cadre de toutes les étapes répertoriées dans la procédure suivante, veillez à installer l'agent de sécurité.

Selon votre préférence en matière de surveillance de toutes les ressources Amazon EKS ou de certaines d'entre elles, choisissez une méthode préférée et suivez les étapes décrites dans le tableau suivant.

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, choisissez Runtime Monitoring.

  3. Dans l'onglet Configuration, choisissez Activer pour activer la configuration automatique des agents pour votre compte.

    Approche préférée pour déployer l'agent GuardDuty de sécurité

    Étapes

    Gérez l'agent de sécurité via GuardDuty

    (Surveiller tous les clusters EKS)

    1. Choisissez Activer dans la section Configuration automatique de l'agent. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les clusters EKS existants et potentiellement nouveaux de votre compte.

    2. Choisissez Save (Enregistrer).

    Surveiller tous les clusters EKS, mais en exclure certains (à l'aide d'une balise d'exclusion)

    Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

    Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    4. Dans le volet de navigation, choisissez Runtime Monitoring.

      Note

      Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

    5. Dans l'onglet Configuration, choisissez Activer dans la section de gestion des GuardDuty agents.

      Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

    6. Choisissez Save (Enregistrer).

    Pour exclure un cluster EKS de la surveillance une fois que l'agent de GuardDuty sécurité a déjà été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      Après cette étape, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

    Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

    1. Assurez-vous de choisir Désactiver dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Enregistrer.

    3. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

    4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2:CreateTags par eks:TagResource.

      • Remplacez ec2:DeleteTags par eks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gestion manuelle de l'agent

    1. Assurez-vous de choisir Désactiver dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Save (Enregistrer).

    3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.