スタンドアロンアカウントの EKS Runtime Monitoring の設定 (API) - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

スタンドアロンアカウントの EKS Runtime Monitoring の設定 (API)

スタンドアロンアカウントは、特定の AWS アカウント の で保護プランを有効または無効にする決定を所有します AWS リージョン。

アカウントが を通じて AWS Organizations、または招待方法によって GuardDuty 管理者アカウントに関連付けられている場合、このセクションはアカウントには適用されません。詳細については、「マルチアカウント環境の EKS Runtime Monitoring の設定 (API)」を参照してください。

Runtime Monitoring を有効にした後、自動設定または手動デプロイを使用して GuardDuty セキュリティエージェントをインストールしてください。次の手順に記載されたすべてのステップを完了する一環として、セキュリティエージェントをインストールしてください。

Amazon EKS クラスターの GuardDuty セキュリティエージェントを管理するためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

GuardDuty セキュリティエージェントを管理するための推奨アプローチ

ステップ

GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング)

  1. ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト名を EKS_RUNTIME_MONITORING として、ステータスを ENABLED として渡して、updateDetector API を実行します。

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、アカウント内のすべての Amazon EKS クラスターのセキュリティエージェントのデプロイと更新を管理します。

  2. または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用)

  1. モニタリングから除外する EKS クラスターにタグを追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」の「CLI、API または eksctl でのタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource で置き換えます。

    • ec2:DeleteTagseks:UntagResource で置き換えます。

    • access-projectGuardDutyManaged に置き換えます。

    • 123456789012 を信頼されたエンティティの AWS アカウント ID に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    EKS_RUNTIME_MONITORINGSTATUSENABLED に設定する前に、必ず EKS クラスターに除外タグを追加してください。追加しないと、GuardDuty セキュリティエージェントがアカウント内のすべての EKS クラスターにデプロイされます。

    ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト名を EKS_RUNTIME_MONITORING として、ステータスを ENABLED として渡して、updateDetector API を実行します。

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKS クラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

選択的な EKS クラスターのモニタリング (包含タグの使用)

  1. モニタリングから除外する EKS クラスターにタグを追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」の「CLI、API または eksctl でのタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • ec2:CreateTagseks:TagResource で置き換えます。

    • ec2:DeleteTagseks:UntagResource で置き換えます。

    • access-projectGuardDutyManaged に置き換えます。

    • 123456789012 を信頼されたエンティティの AWS アカウント ID に置き換えます。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト名を EKS_RUNTIME_MONITORING として、ステータスを ENABLED として渡して、updateDetector API を実行します。

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKS クラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

セキュリティエージェントの手動管理

  1. ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト名を EKS_RUNTIME_MONITORING として、ステータスを ENABLED として渡して、updateDetector API を実行します。

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

  2. セキュリティエージェントを管理するには、「Amazon EKS クラスターのセキュリティエージェントの手動管理」を参照してください。