Configurar la Supervisión en tiempo de ejecución de EKS para entornos con varias cuentas (API) - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar la Supervisión en tiempo de ejecución de EKS para entornos con varias cuentas (API)

En entornos con varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar EKS Runtime Monitoring para las cuentas de los miembros y administrar los GuardDuty agentes de los clústeres de EKS que pertenecen a las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte Managing multiple accounts.

En esta sección se proporcionan los pasos para configurar EKS Runtime Monitoring y administrar el agente de GuardDuty seguridad para los clústeres de EKS que pertenecen a la cuenta de GuardDuty administrador delegado.

Según los Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS, puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.

Método preferido para administrar el agente GuardDuty de seguridad

Pasos

Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)

Ejecute la API updateDetector con su propio ID de detector regional y pase el nombre del objeto featurescomo EKS_RUNTIME_MONITORING y el estado como ENABLED.

Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta.

Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-false. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyalo por el Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Añada siempre la etiqueta de exclusión a su clúster de EKS antes de establecer el valor STATUS de EKS_RUNTIME_MONITORING enENABLED; de lo contrario, el agente de GuardDuty seguridad se desplegará en todos los clústeres de EKS de su cuenta.

    Ejecute la API updateDetector con su propio ID de detector regional y pase el nombre del objeto featurescomo EKS_RUNTIME_MONITORING y el estado como ENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que no se hayan excluido de la supervisión.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-true. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyalo por el Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ejecute la API updateDetector con su propio ID de detector regional y pase el nombre del objeto featurescomo EKS_RUNTIME_MONITORING y el estado como ENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que se hayan etiquetado con el true par GuardDutyManaged -.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Administración manual del agente de seguridad

  1. Ejecute la API updateDetector con su propio ID de detector regional y pase el nombre del objeto featurescomo EKS_RUNTIME_MONITORING y el estado como ENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

En esta sección se incluyen los pasos para habilitar la Supervisión en tiempo de ejecución de EKS y administrar el agente de seguridad para todas las cuentas de miembro. Esto incluye la cuenta de GuardDuty administrador delegado, las cuentas de los miembros existentes y las nuevas cuentas que se unen a la organización.

Según los Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS, puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.

Enfoque preferido para administrar el agente GuardDuty de seguridad

Pasos

Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)

Para habilitar EKS Runtime Monitoring de forma selectiva para sus cuentas de miembros, ejecute la operación de updateMemberDetectorsAPI con la suya propiadetector ID.

Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta.

Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-false. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyala por la Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Añada siempre la etiqueta de exclusión a su clúster de EKS antes de establecer el valor STATUS de EKS_RUNTIME_MONITORING enENABLED; de lo contrario, el agente de GuardDuty seguridad se desplegará en todos los clústeres de EKS de su cuenta.

    Ejecute la API updateDetector con su propio ID de detector regional y pase el nombre del objeto featurescomo EKS_RUNTIME_MONITORING y el estado como ENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que no se hayan excluido de la supervisión.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-true. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyala por la Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ejecute la API updateDetector con su propio ID de detector regional y pase el nombre del objeto featurescomo EKS_RUNTIME_MONITORING y el estado como ENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que se hayan etiquetado con el true par GuardDutyManaged -.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Administración manual del agente de seguridad

  1. Ejecute la API updateDetector con su propio ID de detector regional y pase el nombre del objeto featurescomo EKS_RUNTIME_MONITORING y el estado como ENABLED.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

En esta sección se incluyen los pasos para habilitar EKS Runtime Monitoring y administrar el agente de GuardDuty seguridad para las cuentas de los miembros activos existentes en su organización.

Según los Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS, puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.

Enfoque preferido para administrar el agente GuardDuty de seguridad

Pasos

Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)

Para habilitar EKS Runtime Monitoring de forma selectiva para sus cuentas de miembros, ejecute la operación de updateMemberDetectorsAPI con la suya propiadetector ID.

Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta.

Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-false. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyala por la Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Añada siempre la etiqueta de exclusión a su clúster de EKS antes de establecer el valor STATUS de EKS_RUNTIME_MONITORING enENABLED; de lo contrario, el agente de GuardDuty seguridad se desplegará en todos los clústeres de EKS de su cuenta.

    Para activar EKS Runtime Monitoring de forma selectiva en las cuentas de sus miembros, ejecute la operación de la updateMemberDetectorsAPI con la suya propiadetector ID.

    Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que no se hayan excluido de la supervisión.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-true. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyala por la Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Para habilitar de forma selectiva EKS Runtime Monitoring para sus cuentas de miembros, ejecute la operación de updateMemberDetectorsAPI con la suya propiadetector ID.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que se hayan etiquetado con el true par GuardDutyManaged -.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Administración manual del agente de seguridad

  1. Para activar EKS Runtime Monitoring de forma selectiva para sus cuentas de miembros, ejecute la operación de la updateMemberDetectorsAPI con la suya propiadetector ID.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

La cuenta de GuardDuty administrador delegado puede habilitar automáticamente EKS Runtime Monitoring y elegir un enfoque para administrar el agente de GuardDuty seguridad para las nuevas cuentas que se unan a su organización.

Según los Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS, puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.

Método preferido para gestionar el agente de seguridad GuardDuty

Pasos

Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)

Para habilitar de forma selectiva la monitorización del tiempo de ejecución de EKS en sus nuevas cuentas, invoque la operación de la UpdateOrganizationConfigurationAPI con la suya propia. detector ID

Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta.

Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

En el siguiente ejemplo se habilitan EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT para una sola cuenta. También puedes pasar una lista de cuentas IDs separadas por un espacio.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-false. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyalo por el Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Añada siempre la etiqueta de exclusión a su clúster de EKS antes de establecer el valor STATUS de EKS_RUNTIME_MONITORING enENABLED; de lo contrario, el agente de GuardDuty seguridad se desplegará en todos los clústeres de EKS de su cuenta.

    Para activar EKS Runtime Monitoring de forma selectiva para sus nuevas cuentas, invoque la operación de la UpdateOrganizationConfigurationAPI con la suya propia. detector ID

    Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que no se hayan excluido de la supervisión.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilitan EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT para una sola cuenta. También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-true. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyalo por el Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Para habilitar de forma selectiva la monitorización de tiempo de ejecución de EKS para sus nuevas cuentas, invoque la operación de la UpdateOrganizationConfigurationAPI con la suya propia. detector ID

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que se hayan etiquetado con el true par GuardDutyManaged -.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT para una sola cuenta. También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Administración manual del agente de seguridad

  1. Para activar EKS Runtime Monitoring de forma selectiva para sus nuevas cuentas, invoque la operación de la UpdateOrganizationConfigurationAPI con la suya propia. detector ID

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT para una sola cuenta. También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

  2. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

En esta sección se incluyen los pasos para configurar la Supervisión en tiempo de ejecución de EKS y administrar el agente de seguridad para cuentas de miembro activas individuales.

Según los Enfoques para administrar los agentes GuardDuty de seguridad en los clústeres de Amazon EKS, puede elegir el enfoque que prefiera y seguir los pasos que se indican en la siguiente tabla.

Método preferido para gestionar el agente GuardDuty de seguridad

Pasos

Gestione el agente de seguridad mediante GuardDuty (supervise todos los clústeres de EKS)

Para habilitar EKS Runtime Monitoring de forma selectiva para sus cuentas de miembros, ejecute la operación de updateMemberDetectorsAPI con la suya propiadetector ID.

Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS de su cuenta.

Como alternativa, puede usar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-false. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyala por la Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Añada siempre la etiqueta de exclusión a su clúster de EKS antes de establecer el valor STATUS de EKS_RUNTIME_MONITORING enENABLED; de lo contrario, el agente de GuardDuty seguridad se desplegará en todos los clústeres de EKS de su cuenta.

    Para activar EKS Runtime Monitoring de forma selectiva en las cuentas de sus miembros, ejecute la operación de la updateMemberDetectorsAPI con la suya propiadetector ID.

    Establezca el estado de EKS_ADDON_MANAGEMENT como ENABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que no se hayan excluido de la supervisión.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el ejemplo siguiente se habilita EKS_RUNTIME_MONITORING y EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Supervisión de determinados clústeres de EKS (mediante una etiqueta de inclusión)

  1. Agregue una etiqueta al clúster de EKS que desee excluir de la supervisión. El par de clave-valor es GuardDutyManaged-true. Para obtener más información sobre cómo agregar la etiqueta, consulte Uso de etiquetas mediante la CLI, la API o eksctl en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations . En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Reemplace access-project por GuardDutyManaged

    • 123456789012Sustitúyala por la Cuenta de AWS ID de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Para habilitar de forma selectiva EKS Runtime Monitoring para sus cuentas de miembros, ejecute la operación de updateMemberDetectorsAPI con la suya propiadetector ID.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    GuardDuty gestionará el despliegue y las actualizaciones del agente de seguridad para todos los clústeres de Amazon EKS que se hayan etiquetado con el true par GuardDutyManaged -.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

    Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Administración manual del agente de seguridad

  1. Para activar EKS Runtime Monitoring de forma selectiva para sus cuentas de miembros, ejecute la operación de la updateMemberDetectorsAPI con la suya propiadetector ID.

    Establezca el estado de EKS_ADDON_MANAGEMENT como DISABLED.

    Como alternativa, puede utilizar el AWS CLI comando utilizando su propio ID de detector regional. Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    En el siguiente ejemplo se habilita EKS_RUNTIME_MONITORING y se deshabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.