Amazon EKS の GuardDuty セキュリティエージェント (アドオン) パラメータを設定する - Amazon GuardDuty
設定されたパラメータを使用した自動エージェント設定動作設定可能なパラメータと値設定スキーマの更新の検証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EKS の GuardDuty セキュリティエージェント (アドオン) パラメータを設定する

Amazon EKS の GuardDuty セキュリティエージェントの特定のパラメータを設定できます。このサポートは、GuardDuty セキュリティエージェントバージョン 1.5.0 以降で利用できます。最新のアドオンバージョンについては、「Amazon EKS クラスター用の GuardDuty セキュリティエージェント」を参照してください。

セキュリティエージェント設定スキーマを更新する理由

GuardDuty セキュリティエージェントの設定スキーマは、Amazon EKS クラスター内のすべてのコンテナで同じです。デフォルト値が関連するワークロードおよびインスタンスサイズと一致しない場合は、CPU 設定、メモリ設定、PriorityClass、および dnsPolicy 設定の設定を検討してください。Amazon EKS クラスターの GuardDuty エージェントを管理する方法に関係なく、これらのパラメータの既存の設定を設定または更新できます。

設定されたパラメータを使用した自動エージェント設定動作

GuardDuty がユーザーに代わってセキュリティエージェント (EKS アドオン) を管理する場合、必要に応じてアドオンを更新します。GuardDuty は、設定可能なパラメータの値をデフォルト値に設定します。ただし、パラメータを目的の値に更新することはできます。これにより競合が発生する場合、resolveConflicts のデフォルトオプションは None です。

設定可能なパラメータと値

アドオンパラメータを設定するステップについては、以下を参照してください。

次の表は、Amazon EKS アドオンを手動でデプロイしたり、既存のアドオン設定を更新したりするために使用できる範囲と値を示しています。

CPU 設定

パラメータ

デフォルト値

設定可能な範囲

リクエスト

200m

200m から 10000m の間、両方を含む

制限

1000m
[メモリの設定]

パラメータ

デフォルト値

設定可能な範囲

リクエスト

256Mi

256Mi から 20000Mi の間、両方を含む

制限

1024Mi
PriorityClass 設定

GuardDuty が Amazon EKS アドオンを作成する場合、割り当てられる PriorityClassaws-guardduty-agent.priorityclass です。つまり、エージェントポッドの優先度に基づいてアクションは実行されません。このアドオンパラメータは、次のいずれかの PriorityClass オプションを選択して設定できます。

設定可能な PriorityClass

preemptionPolicy

preemptionPolicy の説明

ポッド値

aws-guardduty-agent.priorityclass

Never

アクションなし

1000000

aws-guardduty-agent.priorityclass-high

PreemptLowerPriority

この値を割り当てると、優先度値がエージェントポッド値よりも低いポッドの実行が中断されます。

100000000

system-cluster-critical1

PreemptLowerPriority

2000000000

system-node-critical1

PreemptLowerPriority

2000001000

1 Kubernetes には、system-cluster-criticalsystem-node-critical の 2 つの PriorityClass オプションがあります。詳細については、「Kubernetes ドキュメント」の「PriorityClass」を参照してください。

dnsPolicy 設定

Kubernetes がサポートする次の DNS ポリシーオプションのいずれかを選択します。設定が指定されていない場合は、ClusterFirst がデフォルト値として使用されます。

  • ClusterFirst

  • ClusterFirstWithHostNet

  • Default

これらのポリシーの詳細については、「Kubernetes ドキュメント」の「Pod の DNS ポリシー」を参照してください。

設定スキーマの更新の検証

パラメータを設定した後、次のステップを実行して設定スキーマが更新されていることを確認します。

  1. Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。

  2. ナビゲーションペインで [Clusters] (クラスター) を選択します。

  3. [クラスター] ページで、更新を検証する [クラスター名] を選択します。

  4. [リソース] タブを選択してください。

  5. [リソースタイプ] ペインの [ワークロード] で、[DaemonSets] を選択します。

  6. [aws-guardduty-agent] を選択します。

  7. [aws-guardduty-agent] ページで [Raw ビュー] を選択して、フォーマットされていない JSON レスポンスを表示します。設定可能なパラメータに、指定した値が表示されていることを確認します。

確認した後、GuardDuty コンソールに切り替えます。対応する を選択し、Amazon EKS クラスターのカバレッジステータス AWS リージョン を表示します。詳細については、「Amazon EKS クラスターのランタイムカバレッジとトラブルシューティング」を参照してください。