為多帳戶環境 (API) 設定 EKS 執行期監控

在多帳戶環境中，只有委派的 GuardDuty 管理員帳戶可以啟用或停用成員帳戶的 EKS 執行期監控，以及管理屬於其組織中成員帳戶的 EKS 叢集的 GuardDuty 代理程式管理。GuardDuty 成員帳戶無法從其帳戶修改此組態。委派的 GuardDuty 管理員帳戶使用管理其成員帳戶 AWS Organizations。如需有關多帳戶環境的詳細資訊，請參閱 Managing multiple accounts。

本節提供設定 EKS 執行期監控和管理屬於委派 GuardDuty 管理員帳戶之 EKS 叢集的 GuardDuty 安全代理程式的步驟。

根據在 Amazon EKS 叢集中管理 GuardDuty 安全代理程式的方法，您可以選擇偏好的方法，並依照下表所述的步驟進行。

GuardDuty 安全代理程式的偏好管理方法	步驟
透過 GuardDuty 管理安全代理程式 (監控所有 EKS 叢集)	使用您的區域偵測器 ID，並將 `features` 物件名稱作為 `EKS_RUNTIME_MONITORING` 來以 `ENABLED` 狀態傳遞，進而執行 updateDetector API。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將管理帳戶中所有 Amazon EKS 叢集的安全代理程式部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 和 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'`
監控所有 EKS 叢集，但排除其中一些叢集 (使用排除標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`false`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 注意在將 `EKS_RUNTIME_MONITORING` 的 `STATUS` 設定為 `ENABLED` 之前，請務必將排除標籤新增至您的 EKS 叢集；否則，GuardDuty 安全代理程式將部署在您帳戶中的所有 EKS 叢集上。使用您的區域偵測器 ID，並將 `features` 物件名稱作為 `EKS_RUNTIME_MONITORING` 來以 `ENABLED` 狀態傳遞，進而執行 updateDetector API。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將為尚未排除監控的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 和 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'`
監控選定 EKS 叢集 (使用包含標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`true`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 使用您的區域偵測器 ID，並將 `features` 物件名稱作為 `EKS_RUNTIME_MONITORING` 來以 `ENABLED` 狀態傳遞，進而執行 updateDetector API。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。 GuardDuty 將為已加上 `GuardDutyManaged`-`true` 對標籤的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 並停用 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'`
手動管理安全代理程式	使用您的區域偵測器 ID，並將 `features` 物件名稱作為 `EKS_RUNTIME_MONITORING` 來以 `ENABLED` 狀態傳遞，進而執行 updateDetector API。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 並停用 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` 若要管理安全代理程式，請參閱手動管理 Amazon EKS 叢集的安全代理程式。

本節包含為所有成員帳戶啟用 EKS 執行期監控和管理安全代理程式的步驟。這包括委派的 GuardDuty 管理員帳戶、現有的成員帳戶，以及加入組織的新帳戶。

根據在 Amazon EKS 叢集中管理 GuardDuty 安全代理程式的方法，您可以選擇偏好的方法，並依照下表所述的步驟進行。

GuardDuty 安全代理程式的偏好管理方法	步驟
透過 GuardDuty 管理安全代理程式 (監控所有 EKS 叢集)	若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將管理帳戶中所有 Amazon EKS 叢集的安全代理程式部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 和 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
監控所有 EKS 叢集，但排除其中一些叢集 (使用排除標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`false`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 注意在將 `EKS_RUNTIME_MONITORING` 的 `STATUS` 設定為 `ENABLED` 之前，請務必將排除標籤新增至您的 EKS 叢集；否則，GuardDuty 安全代理程式將部署在您帳戶中的所有 EKS 叢集上。使用您的區域偵測器 ID，並將 `features` 物件名稱作為 `EKS_RUNTIME_MONITORING` 來以 `ENABLED` 狀態傳遞，進而執行 updateDetector API。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將為尚未排除監控的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 和 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
監控選定 EKS 叢集 (使用包含標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`true`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 使用您的區域偵測器 ID，並將 `features` 物件名稱作為 `EKS_RUNTIME_MONITORING` 來以 `ENABLED` 狀態傳遞，進而執行 updateDetector API。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。 GuardDuty 將為已加上 `GuardDutyManaged`-`true` 對標籤的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 並停用 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
手動管理安全代理程式	使用您的區域偵測器 ID，並將 `features` 物件名稱作為 `EKS_RUNTIME_MONITORING` 來以 `ENABLED` 狀態傳遞，進而執行 updateDetector API。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 並停用 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` 若要管理安全代理程式，請參閱手動管理 Amazon EKS 叢集的安全代理程式。

本節包含為組織中現有的作用中成員帳戶啟用 EKS 執行期監控和管理 GuardDuty 安全代理程式的步驟。

根據在 Amazon EKS 叢集中管理 GuardDuty 安全代理程式的方法，您可以選擇偏好的方法，並依照下表所述的步驟進行。

GuardDuty 安全代理程式的偏好管理方法	步驟
透過 GuardDuty 管理安全代理程式 (監控所有 EKS 叢集)	若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將管理帳戶中所有 Amazon EKS 叢集的安全代理程式部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 和 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
監控所有 EKS 叢集，但排除其中一些叢集 (使用排除標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`false`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 注意在將 `EKS_RUNTIME_MONITORING` 的 `STATUS` 設定為 `ENABLED` 之前，請務必將排除標籤新增至您的 EKS 叢集；否則，GuardDuty 安全代理程式將部署在您帳戶中的所有 EKS 叢集上。若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將為尚未排除監控的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 和 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
監控選定 EKS 叢集 (使用包含標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`true`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。 GuardDuty 將為已加上 `GuardDutyManaged`-`true` 對標籤的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 並停用 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
手動管理安全代理程式	若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 並停用 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` 若要管理安全代理程式，請參閱手動管理 Amazon EKS 叢集的安全代理程式。

委派的 GuardDuty 管理員帳戶可以自動啟用 EKS 執行期監控，並選擇如何為加入組織的新帳戶管理 GuardDuty 安全代理程式的方法。

根據在 Amazon EKS 叢集中管理 GuardDuty 安全代理程式的方法，您可以選擇偏好的方法，並依照下表所述的步驟進行。

GuardDuty 安全代理程式的偏好管理方法	步驟
透過 GuardDuty 管理安全代理程式 (監控所有 EKS 叢集)	若要為您的新帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 調用 UpdateOrganizationConfiguration API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將管理帳戶中所有 Amazon EKS 叢集的安全代理程式部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會為單一帳戶啟用 `EKS_ADDON_MANAGEMENT` 和 `EKS_RUNTIME_MONITORING`。您也可以傳遞以空格分隔的帳戶 ID 清單。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。 `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'` 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
監控所有 EKS 叢集，但排除其中一些叢集 (使用排除標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`false`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 注意在將 `EKS_RUNTIME_MONITORING` 的 `STATUS` 設定為 `ENABLED` 之前，請務必將排除標籤新增至您的 EKS 叢集；否則，GuardDuty 安全代理程式將部署在您帳戶中的所有 EKS 叢集上。若要為您的新帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 調用 UpdateOrganizationConfiguration API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將為尚未排除監控的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會為單一帳戶啟用 `EKS_ADDON_MANAGEMENT` 和 `EKS_RUNTIME_MONITORING`。您也可以傳遞以空格分隔的帳戶 ID 清單。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。 `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'` 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
監控選定 EKS 叢集 (使用包含標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`true`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 若要為您的新帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 調用 UpdateOrganizationConfiguration API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。 GuardDuty 將為已加上 `GuardDutyManaged`-`true` 對標籤的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會為單一帳戶啟用 `EKS_ADDON_MANAGEMENT` 和停用 `EKS_RUNTIME_MONITORING`。您也可以傳遞以空格分隔的帳戶 ID 清單。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。 `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'` 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
手動管理安全代理程式	若要為您的新帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 調用 UpdateOrganizationConfiguration API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會為單一帳戶啟用 `EKS_ADDON_MANAGEMENT` 和停用 `EKS_RUNTIME_MONITORING`。您也可以傳遞以空格分隔的帳戶 ID 清單。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。 `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'` 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。若要管理安全代理程式，請參閱手動管理 Amazon EKS 叢集的安全代理程式。

本節包含為個別作用中成員帳戶設定 EKS 執行期監控和管理安全代理程式的步驟。

根據在 Amazon EKS 叢集中管理 GuardDuty 安全代理程式的方法，您可以選擇偏好的方法，並依照下表所述的步驟進行。

GuardDuty 安全代理程式的偏好管理方法	步驟
透過 GuardDuty 管理安全代理程式 (監控所有 EKS 叢集)	若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將管理帳戶中所有 Amazon EKS 叢集的安全代理程式部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 和 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
監控所有 EKS 叢集，但排除其中一些叢集 (使用排除標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`false`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 注意在將 `EKS_RUNTIME_MONITORING` 的 `STATUS` 設定為 `ENABLED` 之前，請務必將排除標籤新增至您的 EKS 叢集；否則，GuardDuty 安全代理程式將部署在您帳戶中的所有 EKS 叢集上。若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `ENABLED`。 GuardDuty 將為尚未排除監控的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 和 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
監控選定 EKS 叢集 (使用包含標籤)	為您要排除監控的 EKS 叢集加上標籤。鍵值對為 `GuardDutyManaged`-`true`。如需有關新增標籤的詳細資訊，請參閱《Amazon EKS 使用者指南》中的透過 CLI、API 或 eksctl 使用標籤。若要防止修改標籤 (僅允許信任的實體進行修改)，請使用《AWS Organizations 使用者指南》中防止標籤被授權主體以外的人員修改中提供的政策。在此政策中，請取代下列詳細資訊：使用 `eks:TagResource` 取代 `ec2:CreateTags`。使用 `eks:UntagResource` 取代 `ec2:DeleteTags`。使用 `GuardDutyManaged` 取代 `access-project` 將 `123456789012` 取代為信任實體的 AWS 帳戶 ID。當不只有一個信任的實體時，使用下列範例來新增多個 `PrincipalArn`： `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。 GuardDuty 將為已加上 `GuardDutyManaged`-`true` 對標籤的所有 Amazon EKS 叢集，管理安全代理程式的部署和更新。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 並停用 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'` 注意您也可以傳遞以空格分隔的帳戶 ID 清單。當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。
手動管理安全代理程式	若要為您的成員帳戶選擇性地啟用 EKS 執行期監控，請使用您自己的`偵測器 ID` 執行 updateMemberDetectors API 操作。將 `EKS_ADDON_MANAGEMENT` 的狀態設定為 `DISABLED`。或者，您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找`detectorId`您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。下列範例會啟用 `EKS_RUNTIME_MONITORING` 並停用 `EKS_ADDON_MANAGEMENT`： `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` 若要管理安全代理程式，請參閱手動管理 Amazon EKS 叢集的安全代理程式。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

EKS 執行期監控

為獨立帳戶 (API) 設定 EKS 執行期監控

為多帳戶環境 (API) 設定 EKS 執行期監控

注意

注意

注意

注意

注意

注意

注意

注意

注意

注意

注意

注意

注意

注意