Instalando o agente de GuardDuty segurança manualmente nos EKS recursos da Amazon - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Instalando o agente de GuardDuty segurança manualmente nos EKS recursos da Amazon

Esta seção descreve como você pode implantar o agente de GuardDuty segurança pela primeira vez em EKS clusters específicos. Antes de prosseguir com esta seção, verifique se você já configurou os pré-requisitos e ativou o Runtime Monitoring para suas contas. O agente GuardDuty de segurança (EKScomplemento) não funcionará se você não ativar o Runtime Monitoring.

Escolha seu método de acesso preferido para implantar o agente de GuardDuty segurança pela primeira vez.

Console

  1. Abra o EKS console da Amazon em https://console.aws.amazon.com/eks/home#/clusters.

  2. Escolha o Nome do cluster.

  3. Escolha a guia Add-ons (Complementos).

  4. Escolha Obter mais complementos.

  5. Na página Selecionar complementos, escolha Amazon GuardDuty Runtime Monitoring.

  6. Use as configurações padrão na página Definir configurações do complemento selecionado. Se o status do seu EKS complemento for Requer ativação, escolha Ativar GuardDuty. Essa ação abrirá o GuardDuty console para configurar o Runtime Monitoring para suas contas.

  7. Depois de configurar o Runtime Monitoring para suas contas, volte para o EKS console da Amazon. O status do seu EKS complemento deveria ter mudado para Pronto para instalar.

  8. (Opcional) Fornecendo um EKS esquema de configuração complementar

    Para a versão complementar, se você escolher a versão 1.5.0 e superior, o Runtime Monitoring oferece suporte à configuração de parâmetros específicos do agente. GuardDuty Para obter informações sobre intervalos de parâmetros, consulteConfigurar EKS parâmetros complementares.

    1. Expanda as configurações opcionais para visualizar os parâmetros configuráveis e seu valor e formato esperados.

    2. Defina os parâmetros. Os valores devem estar no intervalo fornecido emConfigurar EKS parâmetros complementares.

    3. Escolha Salvar alterações para criar o complemento com base na configuração avançada.

    4. Para o método de resolução de conflitos, a opção escolhida será usada para resolver um conflito quando você atualizar o valor de um parâmetro para um valor não padrão. Para obter mais informações sobre as opções listadas, consulte resolveConflictsna EKSAPIReferência da Amazon.

  9. Escolha Próximo.

  10. Na página Revisar e criar, verifique as rotas e escolha Criar rotas.

  11. Navegue de volta aos detalhes do cluster e selecione a guia Recursos.

  12. Você pode ver os novos pods com o prefixo aws-guardduty-agent.

API/CLI

Você pode configurar o agente EKS complementar da Amazon (aws-guardduty-agent) usando uma das seguintes opções:

  • Corra CreateAddonpara sua conta.

  • nota

    Para o complementoversion, se você escolher a versão 1.5.0 e superior, o Runtime Monitoring oferece suporte à configuração de parâmetros específicos do agente. GuardDuty Para obter mais informações, consulte Configurar EKS parâmetros complementares.

    Use os seguintes valores para os parâmetros de solicitação:

    • Em addonName, digite aws-guardduty-agent.

      Você pode usar o AWS CLI exemplo a seguir ao usar valores configuráveis compatíveis com as versões do complemento v1.5.0 e superiores. Certifique-se de substituir os valores do espaço reservado destacados em vermelho e os Example.json associados aos valores configurados.

      aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.5.0-eksbuild.1 --configuration-values 'file://example.json'
      exemplo Exemplo.json
      {
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

    • Para obter informações sobre a addonVersion compatível, consulte Versões do Kubernetes suportadas pelo agente de segurança GuardDuty .

  • Como alternativa, você pode usar AWS CLI. Para obter mais informações, consulte create-addon.

DNSNomes privados para VPC endpoint

Por padrão, o agente de segurança resolve e se conecta ao DNS nome privado do VPC endpoint. A lista a seguir fornece os DNS nomes privados dos seus endpoints:

  • Não FIPS endpoint — guardduty-data.us-east-1.amazonaws.com

  • FIPSponto final — guardduty-data-fips.us-east-1.amazonaws.com

O Região da AWS, us-east-1, mudará com base na sua região.