Mengkonfigurasi EKS Runtime Monitoring untuk akun mandiri (API) - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi EKS Runtime Monitoring untuk akun mandiri (API)

Akun mandiri memiliki keputusan untuk mengaktifkan atau menonaktifkan rencana perlindungan di akun mereka Akun AWS secara spesifik. Wilayah AWS

Jika akun Anda dikaitkan dengan akun GuardDuty administrator melalui AWS Organizations, atau dengan metode undangan, bagian ini tidak berlaku untuk akun Anda. Untuk informasi selengkapnya, lihat Mengkonfigurasi EKS Runtime Monitoring untuk lingkungan multi-akun (API).

Setelah Anda mengaktifkan Runtime Monitoring, pastikan untuk menginstal agen GuardDuty keamanan melalui konfigurasi otomatis atau penerapan manual. Sebagai bagian dari menyelesaikan semua langkah yang tercantum dalam prosedur berikut, pastikan untuk menginstal agen keamanan.

BerdasarkanPendekatan untuk mengelola agen GuardDuty keamanan di kluster Amazon EKS, Anda dapat memilih pendekatan yang disukai dan mengikuti langkah-langkah seperti yang disebutkan dalam tabel berikut.

Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan

Langkah-langkah

Kelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS)

  1. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS di akun Anda.

  2. Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. false Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2:CreateTags denganeks:TagResource.

    • Ganti ec2:DeleteTags denganeks:UntagResource.

    • Ganti access-project dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. catatan

    Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum menyetel EKS_RUNTIME_MONITORING keENABLED; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda. STATUS

    Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang belum dikecualikan dari pemantauan.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Pantau kluster EKS selektif (menggunakan tag inklusi)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. true Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2:CreateTags denganeks:TagResource.

    • Ganti ec2:DeleteTags denganeks:UntagResource.

    • Ganti access-project dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua cluster Amazon EKS yang telah ditandai dengan - pair. GuardDutyManaged true

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Mengelola agen keamanan secara manual

  1. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

  2. Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.