독립 실행형 계정에 대한 EKS 런타임 모니터링 구성(API) - Amazon GuardDuty

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

독립 실행형 계정에 대한 EKS 런타임 모니터링 구성(API)

독립 실행형 계정은 특정 의 에서 보호 계획을 활성화 또는 비활성화하는 결정을 소유 AWS 계정 합니다 AWS 리전.

계정이 AWS Organizations또는 초대 방법을 통해 GuardDuty 관리자 계정과 연결된 경우 이 섹션은 계정에 적용되지 않습니다. 자세한 내용은 다중 계정 환경에 대한 EKS 런타임 모니터링 구성(API) 단원을 참조하십시오.

런타임 모니터링을 활성화한 후 자동 구성 또는 수동 배포를 통해 GuardDuty 보안 에이전트를 설치해야 합니다. 다음 절차에 나열된 모든 단계를 완료하려면 보안 에이전트를 설치해야 합니다.

Amazon EKS 클러스터에서 보안 에이전트를 관리하는 GuardDuty 방법에 따라 원하는 접근 방식을 선택하고 다음 표에 언급된 단계를 따를 수 있습니다.

GuardDuty 보안 에이전트를 관리하기 위한 선호하는 접근 방식

단계

를 통해 보안 에이전트 관리 GuardDuty (모든 EKS 클러스터 모니터링)

  1. 를 실행합니다. updateDetector API 자체 리전 탐지기 ID를 사용하고 features 객체 이름을 로 전달EKS_RUNTIME_MONITORING하고 상태를 로 전달합니다ENABLED.

    EKS_ADDON_MANAGEMENT의 상태를 ENABLED로 설정합니다.

    GuardDuty 는 계정의 모든 Amazon EKS 클러스터에 대한 보안 에이전트의 배포 및 업데이트를 관리합니다.

  2. 또는 자체 리전 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수 있습니다. 계정 및 현재 리전에 detectorId 대한 를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API.

    다음 예시에서는 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT를 모두 활성화합니다.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

모든 EKS 클러스터를 모니터링하지만 일부 클러스터는 제외(제외 태그 사용)

  1. 모니터링에서 제외하려는 태그를 EKS 클러스터에 추가합니다. 키-값 쌍은 GuardDutyManaged-false입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI, API또는 eksctl을 사용하여 태그 작업을 참조하세요.

  2. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다.

    • Replace ec2:CreateTags 를 사용합니다eks:TagResource.

    • Replace ec2:DeleteTags 를 사용합니다eks:UntagResource.

    • Replace access-project 와 함께 GuardDutyManaged

    • Replace 123456789012 신뢰할 수 있는 엔터티의 AWS 계정 ID를 사용합니다.

      신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 PrincipalArn을 추가합니다.

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 참고

    를 로 설정STATUSEKS_RUNTIME_MONITORING하기 전에 항상 EKS 클러스터에 제외 태그를 추가합니다. ENABLED그렇지 않으면 GuardDuty 보안 에이전트가 계정의 모든 EKS 클러스터에 배포됩니다.

    를 실행합니다. updateDetector API 자체 리전 탐지기 ID를 사용하고 features 객체 이름을 로 전달EKS_RUNTIME_MONITORING하고 상태를 로 전달합니다ENABLED.

    EKS_ADDON_MANAGEMENT의 상태를 ENABLED로 설정합니다.

    GuardDuty 는 모니터링에서 제외되지 않은 모든 Amazon EKS 클러스터에 대한 보안 에이전트의 배포 및 업데이트를 관리합니다.

    또는 자체 리전 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수 있습니다. 계정 및 현재 리전에 detectorId 대한 를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API.

    다음 예시에서는 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT를 모두 활성화합니다.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

선택적 EKS 클러스터 모니터링(포함 태그 사용)

  1. 모니터링에서 제외하려는 태그를 EKS 클러스터에 추가합니다. 키-값 쌍은 GuardDutyManaged-true입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI, API또는 eksctl을 사용하여 태그 작업을 참조하세요.

  2. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다.

    • Replace ec2:CreateTags 를 사용합니다eks:TagResource.

    • Replace ec2:DeleteTags 를 사용합니다eks:UntagResource.

    • Replace access-project 와 함께 GuardDutyManaged

    • Replace 123456789012 신뢰할 수 있는 엔터티의 AWS 계정 ID를 사용합니다.

      신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 PrincipalArn을 추가합니다.

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 를 실행합니다. updateDetector API 자체 리전 탐지기 ID를 사용하고 features 객체 이름을 로 전달EKS_RUNTIME_MONITORING하고 상태를 로 전달합니다ENABLED.

    EKS_ADDON_MANAGEMENT의 상태를 DISABLED로 설정합니다.

    GuardDuty 는 GuardDutyManaged-true 페어로 태그가 지정된 모든 Amazon EKS 클러스터에 대한 보안 에이전트의 배포 및 업데이트를 관리합니다.

    또는 자체 리전 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수 있습니다. 계정 및 현재 리전에 detectorId 대한 를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API.

    다음 예시에서는 EKS_RUNTIME_MONITORING을 활성화하고 EKS_ADDON_MANAGEMENT를 비활성화합니다.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

수동으로 보안 에이전트 관리

  1. 를 실행합니다. updateDetector API 자체 리전 탐지기 ID를 사용하고 features 객체 이름을 로 전달EKS_RUNTIME_MONITORING하고 상태를 로 전달합니다ENABLED.

    EKS_ADDON_MANAGEMENT의 상태를 DISABLED로 설정합니다.

    또는 자체 리전 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수 있습니다. 계정 및 현재 리전에 detectorId 대한 를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API.

    다음 예시에서는 EKS_RUNTIME_MONITORING을 활성화하고 EKS_ADDON_MANAGEMENT를 비활성화합니다.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

  2. 보안 에이전트를 관리하려면 Amazon EKS 클러스터에 대한 보안 에이전트 수동 관리 섹션을 참조하세요.