为独立账户配置EKS运行时监控 (API) - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为独立账户配置EKS运行时监控 (API)

独立账户拥有在特定账户中启用或禁用保护计划的决定 AWS 区域。 AWS 账户

如果您的账户通过或通过 AWS Organizations邀请方式与 GuardDuty 管理员账户关联,则此部分不适用于您的账户。有关更多信息,请参阅 为多账户环境配置EKS运行时监控 () API

启用运行时监控后,请确保通过自动配置或手动部署来安装 GuardDuty 安全代理。在完成以下过程中列出的所有步骤时,务必要安装安全代理。

根据 在 Amazon EKS 集群中管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有EKS集群)

  1. 运行updateDetectorAPI使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

  2. 或者,您可以使用自己的区域探测器 ID 来使用该 AWS CLI 命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

监控所有EKS集群,但排除其中一些集群(使用排除标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(可信实体除外),请使用《AWS Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 AWS 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的EKS集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有EKS集群上。STATUS EKS_RUNTIME_MONITORING

    运行updateDetectorAPI使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理尚未排除在监控范围之外的所有 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 AWS CLI 命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

监控选择性EKS聚类(使用包含标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(可信实体除外),请使用《AWS Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 AWS 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行updateDetectorAPI使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 AWS CLI 命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

手动管理安全代理

  1. 运行updateDetectorAPI使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以使用自己的区域探测器 ID 来使用该 AWS CLI 命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理