マルチアカウント環境の EKS Runtime Monitoring の設定 (API) - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチアカウント環境の EKS Runtime Monitoring の設定 (API)

マルチアカウント環境では、委任 GuardDuty 管理者アカウントのみがメンバーアカウントの EKS Runtime Monitoring を有効または無効にし、組織内のメンバーアカウントに属するEKSクラスターの GuardDuty エージェント管理を管理できます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。マルチアカウント環境の詳細については、「複数のアカウントの管理」を参照してください。

このセクションでは、EKSRuntime Monitoring を設定し、 GuardDuty委任 GuardDuty 管理者アカウントに属するEKSクラスターのセキュリティエージェントを管理する手順について説明します。

Amazon EKSクラスターでセキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

セキュリティエージェントを管理する GuardDutyための推奨アプローチ

ステップ

を使用してセキュリティエージェントを管理する GuardDuty (すべてのEKSクラスターをモニタリング)

を実行updateDetector API 独自のリージョンレベルのディテクター ID を使用し、featuresオブジェクト名を EKS_RUNTIME_MONITORINGとして、ステータスを として渡しますENABLED

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を EKS_RUNTIME_MONITORING に設定するEKS前に、必ずクラスターに除外タグを追加してくださいENABLED。追加しないと、 GuardDutyセキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    を実行updateDetector API 独自のリージョンレベルのディテクター ID を使用し、featuresオブジェクト名を EKS_RUNTIME_MONITORINGとして、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、 https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

選択EKSクラスターをモニタリングする (包含タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. を実行updateDetector API 独自のリージョンレベルのディテクター ID を使用し、featuresオブジェクト名を EKS_RUNTIME_MONITORINGとして、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、 https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

セキュリティエージェントの手動管理

  1. を実行updateDetector API 独自のリージョンレベルのディテクター ID を使用し、featuresオブジェクト名を EKS_RUNTIME_MONITORINGとして、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。

このセクションでは、EKSRuntime Monitoring を有効にし、すべてのメンバーアカウントのセキュリティエージェントを管理する手順について説明します。これには、委任 GuardDuty 管理者アカウント、既存のメンバーアカウント、および組織に参加する新しいアカウントが含まれます。

Amazon EKSクラスターでセキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

セキュリティエージェントを管理する GuardDutyための推奨アプローチ

ステップ

を使用してセキュリティエージェントを管理する GuardDuty (すべてのEKSクラスターをモニタリング)

メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を EKS_RUNTIME_MONITORING に設定するEKS前に、必ずクラスターに除外タグを追加してくださいENABLED。追加しないと、 GuardDutyセキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    を実行updateDetector API 独自のリージョンレベルのディテクター ID を使用し、featuresオブジェクト名を EKS_RUNTIME_MONITORINGとして、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

選択EKSクラスターをモニタリングする (包含タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. を実行updateDetector API 独自のリージョンレベルのディテクター ID を使用し、featuresオブジェクト名を EKS_RUNTIME_MONITORINGとして、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

セキュリティエージェントの手動管理

  1. を実行updateDetector API 独自のリージョンレベルのディテクター ID を使用し、featuresオブジェクト名を EKS_RUNTIME_MONITORINGとして、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。

このセクションでは、組織内の既存のアクティブなメンバーアカウントの EKS Runtime Monitoring を有効にし、セキュリティエージェントを管理する GuardDuty手順について説明します。

Amazon EKSクラスターでセキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

セキュリティエージェントを管理する GuardDutyための推奨アプローチ

ステップ

を使用してセキュリティエージェントを管理する GuardDuty (すべてのEKSクラスターをモニタリング)

メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、 https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を EKS_RUNTIME_MONITORING に設定するEKS前に、必ずクラスターに除外タグを追加してくださいENABLED。追加しないと、 GuardDutyセキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

選択EKSクラスターをモニタリングする (包含タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

セキュリティエージェントの手動管理

  1. メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。

委任 GuardDuty 管理者アカウントは EKS Runtime Monitoring を自動的に有効にし、組織に参加する新しいアカウントの GuardDuty セキュリティエージェントを管理する方法を選択できます。

Amazon EKSクラスターでセキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

セキュリティエージェントを管理する GuardDutyための推奨アプローチ

ステップ

を使用してセキュリティエージェントを管理する GuardDuty (すべてのEKSクラスターをモニタリング)

新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、 UpdateOrganizationConfiguration API 独自の を使用した オペレーションdetector ID

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

次の例では、1 つのアカウントで EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。スペースでIDs区切られたアカウントのリストを渡すこともできます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を EKS_RUNTIME_MONITORING に設定するEKS前に、必ずクラスターに除外タグを追加してくださいENABLED。追加しないと、 GuardDutyセキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、 UpdateOrganizationConfiguration API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、1 つのアカウントで EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。スペースでIDs区切られたアカウントのリストを渡すこともできます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

選択EKSクラスターをモニタリングする (包含タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、 UpdateOrganizationConfiguration API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、1 つのアカウントで EKS_RUNTIME_MONITORING を有効にし、EKS_ADDON_MANAGEMENT を無効にします。スペースでIDs区切られたアカウントのリストを渡すこともできます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

セキュリティエージェントの手動管理

  1. 新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、 UpdateOrganizationConfiguration API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、1 つのアカウントで EKS_RUNTIME_MONITORING を有効にし、EKS_ADDON_MANAGEMENT を無効にします。スペースでIDs区切られたアカウントのリストを渡すこともできます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。

このセクションでは、個々のアクティブなメンバーアカウントの EKS Runtime Monitoring を設定し、セキュリティエージェントを管理する手順について説明します。

Amazon EKSクラスターでセキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

セキュリティエージェントを管理する GuardDutyための推奨アプローチ

ステップ

を使用してセキュリティエージェントを管理する GuardDuty (すべてのEKSクラスターをモニタリング)

メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を EKS_RUNTIME_MONITORING に設定するEKS前に、必ずクラスターに除外タグを追加してくださいENABLED。追加しないと、 GuardDutyセキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

選択EKSクラスターをモニタリングする (包含タグを使用)

  1. モニタリングから除外するEKSクラスターにタグを追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKSユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource に置き換えます。

    • ec2:DeleteTagseks:UntagResource に置き換えます。

    • access-projectGuardDutyManaged に置き換える

    • を信頼されたエンティティの AWS アカウント ID 123456789012に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、 https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

セキュリティエージェントの手動管理

  1. メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、 https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。