Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Configurando o EKS Runtime Monitoring para ambientes com várias contas () API

Modo de foco
Configurando o EKS Runtime Monitoring para ambientes com várias contas () API - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Em ambientes com várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar o EKS Runtime Monitoring para as contas membros e gerenciar o gerenciamento de GuardDuty agentes para os EKS clusters pertencentes às contas membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciar de várias contas.

Esta seção fornece etapas para configurar o EKS Runtime Monitoring e gerenciar o agente de GuardDuty segurança dos EKS clusters que pertencem à conta do GuardDuty administrador delegado.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Gerenciar o agente de segurança manualmente

  1. Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Esta seção fornece etapas para configurar o EKS Runtime Monitoring e gerenciar o agente de GuardDuty segurança dos EKS clusters que pertencem à conta do GuardDuty administrador delegado.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Gerenciar o agente de segurança manualmente

  1. Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Esta seção inclui etapas para ativar o EKS Runtime Monitoring e gerenciar o agente de segurança para todas as contas dos membros. Isso inclui a conta de GuardDuty administrador delegado, as contas de membros existentes e as novas contas que ingressam na organização.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'
  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Esta seção inclui etapas para ativar o EKS Runtime Monitoring e gerenciar o agente de segurança para todas as contas dos membros. Isso inclui a conta de GuardDuty administrador delegado, as contas de membros existentes e as novas contas que ingressam na organização.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Execute a updateDetectorAPIusando seu próprio ID de detector regional e passando o nome do features objeto EKS_RUNTIME_MONITORING e o status comoENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'
  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Esta seção inclui as etapas para ativar o EKS Runtime Monitoring e gerenciar o agente de GuardDuty segurança para contas de membros ativos existentes em sua organização.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'
  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Esta seção inclui as etapas para ativar o EKS Runtime Monitoring e gerenciar o agente de GuardDuty segurança para contas de membros ativos existentes em sua organização.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'
  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

A conta de GuardDuty administrador delegado pode ativar automaticamente o EKS Runtime Monitoring e escolher uma abordagem de como gerenciar o agente de GuardDuty segurança para novas contas que ingressam na sua organização.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Para ativar seletivamente o EKS Runtime Monitoring para suas novas contas, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT para uma única conta. Você também pode passar uma lista de contas IDs separadas por um espaço.

Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Para ativar seletivamente o EKS Runtime Monitoring para suas novas contas, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT para uma única conta. Você também pode passar uma lista de contas IDs separadas por um espaço.

    Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Para ativar seletivamente o EKS Runtime Monitoring para suas novas contas, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT para uma única conta. Você também pode passar uma lista de contas IDs separadas por um espaço.

    Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para ativar seletivamente o EKS Runtime Monitoring para suas novas contas, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT para uma única conta. Você também pode passar uma lista de contas IDs separadas por um espaço.

    Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

A conta de GuardDuty administrador delegado pode ativar automaticamente o EKS Runtime Monitoring e escolher uma abordagem de como gerenciar o agente de GuardDuty segurança para novas contas que ingressam na sua organização.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Para ativar seletivamente o EKS Runtime Monitoring para suas novas contas, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT para uma única conta. Você também pode passar uma lista de contas IDs separadas por um espaço.

Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Para ativar seletivamente o EKS Runtime Monitoring para suas novas contas, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT para uma única conta. Você também pode passar uma lista de contas IDs separadas por um espaço.

    Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Para ativar seletivamente o EKS Runtime Monitoring para suas novas contas, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT para uma única conta. Você também pode passar uma lista de contas IDs separadas por um espaço.

    Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para ativar seletivamente o EKS Runtime Monitoring para suas novas contas, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT para uma única conta. Você também pode passar uma lista de contas IDs separadas por um espaço.

    Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Esta seção inclui as etapas para configurar o EKS Runtime Monitoring e gerenciar o agente de segurança para contas individuais de membros ativos.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'
  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Esta seção inclui as etapas para configurar o EKS Runtime Monitoring e gerenciar o agente de segurança para contas individuais de membros ativos.

Com base nas Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty (monitore todos os EKS clusters)

Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon em sua conta.

Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu EKS cluster antes de definir o STATUS of EKS_RUNTIME_MONITORING comoENABLED; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que não foram excluídos do monitoramento.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitore EKS clusters seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao EKS cluster que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag, consulte Como trabalhar com tags usando oCLI,API, ou eksctl no Guia EKS do usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags pelo eks:TagResource.

    • Substitua ec2:DeleteTags pelo eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters da Amazon que foram marcados com o true par GuardDutyManaged -.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de contas IDs separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para ativar seletivamente o EKS Runtime Monitoring para suas contas de membros, execute o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'
  2. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.