設定獨立帳戶的EKS執行期監控 (API) - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定獨立帳戶的EKS執行期監控 (API)

獨立帳戶擁有 AWS 帳戶 在特定 中啟用或停用保護計劃的決定 AWS 區域。

如果您的帳戶透過 AWS Organizations或邀請方式與 GuardDuty 管理員帳戶相關聯,則此區段不適用於您的帳戶。如需詳細資訊,請參閱設定多帳戶環境的EKS執行期監控 (API)

啟用執行期監控之後,請務必透過自動組態或手動部署來安裝 GuardDuty 安全代理程式。完成下列程序列出的所有步驟時,請務必安裝安全代理程式。

根據 在 Amazon EKS叢集中管理 GuardDuty安全代理程式的方法,您可以選擇偏好的方法,並依照下表所述的步驟進行。

管理 GuardDuty 安全代理程式的偏好方法

步驟

透過 管理安全代理程式 GuardDuty (監控所有EKS叢集)

  1. 執行 updateDetector API 使用您自己的區域偵測器 ID,並將features物件名稱傳遞為 EKS_RUNTIME_MONITORING,狀態傳遞為 ENABLED

    EKS_ADDON_MANAGEMENT 的狀態設定為 ENABLED

    GuardDuty 將管理您帳戶中所有 Amazon EKS叢集的安全代理程式的部署和更新。

  2. 或者,您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

    下列範例會啟用 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

監控所有叢集,但排除部分EKS叢集 (使用排除標籤)

  1. 將標籤新增至您要排除監控的EKS叢集。鍵值對為 GuardDutyManaged-false。如需新增標籤的詳細資訊,請參閱 Amazon EKS使用者指南 中的使用標籤 CLI、 API或 eksctl

  2. 若要防止修改標籤 (僅允許信任的實體進行修改),請使用《AWS Organizations 使用者指南》防止標籤被授權主體以外的人員修改中提供的政策。在此政策中,請取代下列詳細資訊:

    • Replace (取代) ec2:CreateTags 使用 eks:TagResource

    • Replace (取代) ec2:DeleteTags 使用 eks:UntagResource

    • Replace (取代) access-project 使用 GuardDutyManaged

    • Replace (取代) 123456789012 具有受信任實體的 AWS 帳戶 ID。

      當不只有一個信任的實體時,使用下列範例來新增多個 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在將 STATUS 設定為 EKS_RUNTIME_MONITORING 之前,請務必將排除標籤新增至您的EKS叢集ENABLED;否則, GuardDuty 安全代理程式將部署在您帳戶中的所有EKS叢集上。

    執行 updateDetector API 使用您自己的區域偵測器 ID,並將features物件名稱傳遞為 EKS_RUNTIME_MONITORING,狀態傳遞為 ENABLED

    EKS_ADDON_MANAGEMENT 的狀態設定為 ENABLED

    GuardDuty 將管理未排除監控之所有 Amazon EKS叢集的安全代理程式的部署和更新。

    或者,您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

    下列範例會啟用 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

監控選擇性EKS叢集 (使用包含標籤)

  1. 將標籤新增至您要排除監控的EKS叢集。鍵值對為 GuardDutyManaged-true。如需新增標籤的詳細資訊,請參閱 Amazon EKS使用者指南 中的使用 CLI、 API或 eksctl 處理標籤

  2. 若要防止修改標籤 (僅允許信任的實體進行修改),請使用《AWS Organizations 使用者指南》防止標籤被授權主體以外的人員修改中提供的政策。在此政策中,請取代下列詳細資訊:

    • Replace (取代) ec2:CreateTags 使用 eks:TagResource

    • Replace (取代) ec2:DeleteTags 使用 eks:UntagResource

    • Replace (取代) access-project 使用 GuardDutyManaged

    • Replace (取代) 123456789012 具有受信任實體的 AWS 帳戶 ID。

      當不只有一個信任的實體時,使用下列範例來新增多個 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 執行 updateDetector API 使用您自己的區域偵測器 ID,並將features物件名稱傳遞為 EKS_RUNTIME_MONITORING,狀態傳遞為 ENABLED

    EKS_ADDON_MANAGEMENT 的狀態設定為 DISABLED

    GuardDuty 將管理已標記 GuardDutyManaged-true 對之所有 Amazon EKS叢集的安全代理程式的部署和更新。

    或者,您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

    下列範例會啟用 EKS_RUNTIME_MONITORING 並停用 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

手動管理安全代理程式

  1. 執行 updateDetector API 使用您自己的區域偵測器 ID,並將features物件名稱傳遞為 EKS_RUNTIME_MONITORING,狀態傳遞為 ENABLED

    EKS_ADDON_MANAGEMENT 的狀態設定為 DISABLED

    或者,您可以使用自己的區域偵測器 ID 來使用 AWS CLI 命令。若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

    下列範例會啟用 EKS_RUNTIME_MONITORING 並停用 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

  2. 若要管理安全代理程式,請參閱手動管理 Amazon EKS叢集的安全代理程式