Instalar manualmente el agente de seguridad de GuardDuty en los recursos de Amazon EKS - Amazon GuardDuty

Instalar manualmente el agente de seguridad de GuardDuty en los recursos de Amazon EKS

En esta sección se describe cómo puede implementar el agente de seguridad de GuardDuty por primera vez en clústeres de EKS específicos. Antes de continuar con esta sección, asegúrese de que ya ha configurado los requisitos previos y habilitado la Supervisión en tiempo de ejecución para las cuentas. El agente de seguridad de GuardDuty (complemento de EKS) no funcionará si no habilita la supervisión en tiempo de ejecución.

Elija el método de acceso que prefiera para implementar el agente de seguridad de GuardDuty por primera vez.

Console

  1. Abra la consola de Amazon EKS en https://console.aws.amazon.com/eks/home#/clusters.

  2. Elija un nombre para el clúster.

  3. Elija la pestaña Complementos.

  4. Escoja Obtener más complementos.

  5. En la página Seleccionar complementos, seleccione Supervisión en tiempo de ejecución de EKS en Amazon GuardDuty.

  6. GuardDuty recomienda elegir la versión de agente más reciente y predeterminada.

  7. En la página Definir configuración del complemento seleccionado, utilice la configuración predeterminada. Si el estado del complemento de EKS es Requiere activación, seleccione Activar GuardDuty. Esta acción abrirá la consola de GuardDuty para configurar la Supervisión en tiempo de ejecución para las cuentas.

  8. Una vez que haya configurado la Supervisión en tiempo de ejecución para las cuentas, vuelva a la consola de Amazon EKS. El estado de su complemento de EKS debería haber cambiado a Listo para instalar.

  9. (Opcional) Proporcionar esquema de configuración del complemento de EKS

    Para la versión del complemento, si elige la v1.5.0 o superior, Runtime Monitoring permite configurar parámetros específicos del agente de GuardDuty. Para obtener información sobre los rangos de parámetros, consulte Configurar los parámetros del complemento de EKS.

    1. Amplíe Ajustes de configuración opcionales para ver los parámetros que se pueden configurar y su valor y formato previstos.

    2. Establezca los parámetros. Los valores deben estar en el rango proporcionado en Configurar los parámetros del complemento de EKS.

    3. Elija Guardar cambios para crear el complemento según la configuración avanzada.

    4. En Método de resolución de conflictos, la opción que elija se utilizará para resolver conflictos en caso de que actualice el valor de un parámetro a un valor que no sea el predeterminado. Para obtener más información sobre las opciones enumeradas, consulte resolveConflicts en la Referencia de la API de Amazon EKS.

  10. Elija Siguiente.

  11. En la página Revisar y crear, compruebe todos los detalles y elija Crear.

  12. Vuelva a los detalles del clúster y elija la pestaña Recursos.

  13. Puede ver los nuevos pods con el prefijo aws-guardduty-agent.

API/CLI

Puede configurar el agente del complemento de Amazon EKS (aws-guardduty-agent) mediante una de las siguientes opciones:

  • Ejecute CreateAddon para la cuenta.

  • nota

    Para la version del complemento, si elige la v1.5.0 o superior, Runtime Monitoring permite configurar parámetros específicos del agente de GuardDuty. Para obtener más información, consulte Configurar los parámetros del complemento de EKS.

    Utilice los siguientes valores para los parámetros de la solicitud:

    • En addonName, introduzca aws-guardduty-agent.

      Puede utilizar el siguiente ejemplo de AWS CLI cuando utilice valores que se pueden configurar compatibles con las versiones v1.5.0 y posteriores del complemento. Asegúrese de sustituir los valores del marcador de posición resaltados en rojo y el Example.json asociado por los valores configurados.

      aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.11.0-eksbuild.2 --configuration-values 'file://example.json'
      ejemplo Example.json
      {
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

    • Para obtener más información sobre los valores de addonVersion admitidos, consulte Versiones de Kubernetes compatibles con el agente de seguridad de GuardDuty.

  • Como alternativa también puede utilizar la. AWS CLI. Para obtener más información, consulte create-addon.

Nombres de DNS privados para el punto de conexión de VPC

De forma predeterminada, el agente de seguridad resuelve el nombre de DNS privado del punto de conexión de VPC y se conecta a este. En el caso de un punto de conexión que no sea FIPS, su DNS privado aparecerá en el siguiente formato:

Punto de conexión no FIPS: guardduty-data.us-east-1.amazonaws.com

La Región de AWS, us-east-1, cambiará según su región.