Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione del monitoraggio del EKS runtime per un account indipendente () API
A un account autonomo spetta la decisione di abilitare o disabilitare un piano di protezione in uno specifico account Account AWS . Regione AWS
Se il tuo account è associato a un account GuardDuty amministratore tramite AWS Organizations o tramite il metodo di invito, questa sezione non si applica al tuo account. Per ulteriori informazioni, consulta Configurazione del monitoraggio del EKS runtime per ambienti con più account () API.
Dopo aver abilitato il Runtime Monitoring, assicurati GuardDuty di installare Security Agent tramite la configurazione automatica o la distribuzione manuale. Come parte del completamento di tutti i passaggi elencati nella procedura seguente, assicuratevi di installare il security agent.
In base a Approcci per gestire gli agenti GuardDuty di sicurezza nei EKS cluster Amazon, puoi scegliere l'approccio che preferisci e seguire le fasi indicate nella tabella seguente.
|
Approccio preferito per gestire l'agente GuardDuty di sicurezza
|
Fasi |
|
Gestisci l'agente di sicurezza tramite GuardDuty (monitora tutti i EKS cluster)
|
-
Eseguire updateDetectorAPIutilizzando il proprio ID regionale del rilevatore e passando il nome dell'featuresoggetto as EKS_RUNTIME_MONITORING e lo status as. ENABLED
Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.
GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per tutti i EKS cluster Amazon del tuo account.
-
In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectors API.
Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
|
Monitora tutti EKS i cluster ma escludi alcuni di essi (utilizzando il tag di esclusione) |
-
Aggiungi un tag al EKS cluster che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-false. Per ulteriori informazioni sull'aggiunta del tag, consulta Lavorare con i tag usando CLIAPI, o eksctl nella Amazon EKS User Guide.
Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:
-
Replace (Sostituisci) ec2:CreateTags con. eks:TagResource
-
Replace (Sostituisci) ec2:DeleteTags coneks:UntagResource.
-
Replace (Sostituisci) access-project con GuardDutyManaged
-
Replace (Sostituisci) 123456789012 con l' Account AWS ID dell'entità affidabile.
Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:
"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Aggiungi sempre il tag di esclusione al EKS cluster prima di impostare STATUS of EKS_RUNTIME_MONITORING toENABLED; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i EKS cluster del tuo account. Eseguire updateDetectorAPIutilizzando l'ID del rilevatore regionale e passando il nome dell'featuresoggetto as e lo status asEKS_RUNTIME_MONITORING. ENABLED
Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.
GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per tutti i EKS cluster Amazon che non sono stati esclusi dal monitoraggio.
In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectors API.
Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
|
Monitora EKS i cluster selettivi (utilizzando il tag di inclusione) |
-
Aggiungi un tag al EKS cluster che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-true. Per ulteriori informazioni sull'aggiunta del tag, consulta Lavorare con i tag usando CLIAPI, o eksctl nella Amazon EKS User Guide.
Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:
-
Replace (Sostituisci) ec2:CreateTags con. eks:TagResource
-
Replace (Sostituisci) ec2:DeleteTags coneks:UntagResource.
-
Replace (Sostituisci) access-project con GuardDutyManaged
-
Replace (Sostituisci) 123456789012 con l' Account AWS ID dell'entità affidabile.
Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:
"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Eseguire updateDetectorAPIutilizzando il proprio ID regionale del rilevatore e passando il nome features dell'oggetto EKS_RUNTIME_MONITORING e lo status asENABLED.
Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.
GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per tutti i EKS cluster Amazon etichettati con la true coppia GuardDutyManaged -.
In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectors API.
L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
|
|
Gestire l'agente di sicurezza manualmente
|
-
Eseguire updateDetectorAPIutilizzando il proprio ID regionale del rilevatore e passando il nome features dell'oggetto EKS_RUNTIME_MONITORING e lo status asENABLED.
Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.
In alternativa, è possibile utilizzare il AWS CLI comando utilizzando il proprio ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectors API.
L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
-
Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il EKS cluster Amazon.
|
