Amazon EKS 리소스에 GuardDuty 보안 에이전트 수동 설치 - Amazon GuardDuty

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EKS 리소스에 GuardDuty 보안 에이전트 수동 설치

이 섹션에서는 특정 EKS 클러스터에 보안 GuardDuty 에이전트를 처음 배포하는 방법을 설명합니다. 이 섹션을 진행하기 전에 사전 조건을 이미 설정하고 계정에 대해 런타임 모니터링을 활성화했는지 확인하세요. 런타임 모니터링을 활성화하지 않으면 GuardDuty 보안 에이전트(EKS 추가 기능)가 작동하지 않습니다.

선호하는 액세스 방법을 선택하여 GuardDuty 보안 에이전트를 처음으로 배포합니다.

Console

  1. 홈#/클러스터 에서 Amazon EKS 콘솔을 엽니다. https://console.aws.amazon.com/eks/

  2. 클러스터 이름을 선택합니다.

  3. 추가 기능(Add-ons) 탭을 선택합니다.

  4. 추가 기능 더 가져오기를 선택합니다.

  5. 추가 기능 선택 페이지에서 Amazon GuardDuty 런타임 모니터링을 선택합니다.

  6. 선택한 추가 기능 설정 구성 페이지에서 기본 설정을 사용합니다. EKS 추가 기능 상태가 활성화 필요 인 경우 활성화를 GuardDuty 선택합니다. 이 작업을 수행하면 GuardDuty 콘솔이 열려 계정에 대한 런타임 모니터링을 구성합니다.

  7. 계정에 런타임 모니터링을 구성한 후 Amazon EKS 콘솔로 다시 전환합니다. EKS 추가 기능의 상태가 설치 준비 완료로 변경되었어야 합니다.

  8. (선택 사항) EKS 추가 기능 구성 스키마 제공

    추가 기능 버전 의 경우 v1.5.0 이상을 선택하면 런타임 모니터링이 GuardDuty 에이전트의 특정 파라미터 구성을 지원합니다. 파라미터 범위에 대한 자세한 내용은 섹션을 참조하세요EKS 추가 기능 파라미터 구성.

    1. 구성 가능한 파라미터와 예상 값 및 형식을 보려면 선택적 구성 설정을 확장합니다.

    2. 파라미터를 설정합니다. 값은 에 제공된 범위 내에 있어야 합니다EKS 추가 기능 파라미터 구성.

    3. 변경 사항 저장을 선택하여 고급 구성을 기반으로 추가 기능을 생성합니다.

    4. 충돌 해결 방법 의 경우 파라미터 값을 기본값이 아닌 값으로 업데이트할 때 선택한 옵션을 사용하여 충돌을 해결합니다. 나열된 옵션에 대한 자세한 내용은 Amazon 참조resolveConflicts의 섹션을 참조하세요. EKS API

  9. Next(다음)를 선택합니다.

  10. 검토 및 생성 페이지에서 세부 정보를 확인한 다음 생성을 선택합니다.

  11. 클러스터 세부 정보로 돌아가서 리소스 탭을 선택합니다.

  12. 접두사가 인 새 포드를 볼 수 있습니다aws-guardduty-agent.

API/CLI

다음 옵션 중 하나를 사용하여 Amazon EKS 추가 기능 에이전트(aws-guardduty-agent)를 구성할 수 있습니다.

  • 계정에 CreateAddon 대해 를 실행합니다.

  • 참고

    추가 기능 에서 v1.5.0 이상을 version선택하면 런타임 모니터링이 GuardDuty 에이전트의 특정 파라미터 구성을 지원합니다. 자세한 내용은 EKS 추가 기능 파라미터 구성 단원을 참조하십시오.

    요청 파라미터에 대해 다음 값을 사용합니다.

    • addonNameaws-guardduty-agent를 입력합니다.

      추가 기능 버전 v1.5.0 이상에서 지원되는 구성 가능한 값을 사용할 때 다음 AWS CLI 예제를 사용할 수 있습니다. 빨간색Example.json으로 강조 표시된 자리 표시자 값과 구성된 값과 연결된 를 교체해야 합니다.

      aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.5.0-eksbuild.1 --configuration-values 'file://example.json'
      예 Example.json
      {
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

    • 지원되는 addonVersion에 대한 내용은 GuardDuty 보안 에이전트에서 지원하는 Kubernetes 버전 섹션을 참조하세요.

  • 또는 를 사용할 수 있습니다 AWS CLI. 자세한 내용은 create-addon 을 참조하세요.

VPC 엔드포인트의 프라이빗 DNS 이름

기본적으로 보안 에이전트는 VPC 엔드포인트의 프라이빗 DNS 이름을 확인하고 연결합니다. 다음 목록은 엔드포인트의 프라이빗 DNS 이름을 제공합니다.

  • 비FIPS 엔드포인트 - guardduty-data.us-east-1.amazonaws.com

  • FIPS 엔드포인트 - guardduty-data-fips.us-east-1.amazonaws.com

AWS 리전,us-east-1는 리전에 따라 변경됩니다.