Comportement de configuration automatique des agents avec paramètres configurés Paramètres et valeurs configurables Vérification des mises à jour du schéma de configuration

Configuration des paramètres GuardDuty de l'agent de sécurité (module complémentaire) pour Amazon EKS

Vous pouvez configurer des paramètres spécifiques de votre agent GuardDuty de sécurité pour Amazon EKS. Ce support est disponible pour les versions 1.5.0 et supérieures de l'agent de GuardDuty sécurité. Pour plus d'informations sur les dernières versions des modules complémentaires, consultezGuardDuty versions de l'agent de sécurité pour les ressources Amazon EKS.

Pourquoi dois-je mettre à jour le schéma de configuration de l'agent de sécurité ?: Le schéma de configuration de l'agent GuardDuty de sécurité est le même pour tous les conteneurs de vos clusters Amazon EKS. Lorsque les valeurs par défaut ne correspondent pas aux charges de travail et à la taille de l'instance associées, envisagez de configurer les paramètres du processeurPriorityClass, les paramètres de mémoire et dnsPolicy les paramètres. Quelle que soit la façon dont vous gérez l' GuardDuty agent pour vos clusters Amazon EKS, vous pouvez configurer ou mettre à jour la configuration existante de ces paramètres.

Comportement de configuration automatique des agents avec paramètres configurés

Lorsqu'il GuardDuty gère l'agent de sécurité (module complémentaire EKS) en votre nom, il met à jour le module complémentaire en fonction des besoins. GuardDuty définira la valeur des paramètres configurables sur une valeur par défaut. Cependant, vous pouvez toujours mettre à jour les paramètres à la valeur souhaitée. Si cela entraîne un conflit, l'option par défaut pour ResolveConflicts est. None

Paramètres et valeurs configurables

Pour plus d'informations sur les étapes de configuration des paramètres du module complémentaire, voir :

Les tableaux suivants indiquent les plages et les valeurs que vous pouvez utiliser pour déployer le module complémentaire Amazon EKS manuellement ou pour mettre à jour les paramètres du module complémentaire existant.

Réglages du processeur

Paramètres	Valeur par défaut	Gamme configurable
Requêtes	200 m	Entre 200 m et 10 000 m, les deux inclus
Limites	1 000 m	Entre 200 m et 10 000 m, les deux inclus

Réglages de mémoire

Paramètres	Valeur par défaut	Gamme configurable
Requêtes	256 Mi	Entre 256 mi et 20 000 mi, les deux inclus
Limites	1 024 milles	Entre 256 mi et 20 000 mi, les deux inclus

Paramètres PriorityClass

Lorsque vous GuardDuty créez un module complémentaire Amazon EKS pour vous, le module attribué PriorityClass estaws-guardduty-agent.priorityclass. Cela signifie qu'aucune action ne sera entreprise en fonction de la priorité de l'agent pod. Vous pouvez configurer ce paramètre complémentaire en choisissant l'une des PriorityClass options suivantes :

Configurable `PriorityClass`	Valeur `preemptionPolicy`	`preemptionPolicy`description	Valeur du pod
`aws-guardduty-agent.priorityclass`	`Never`	Aucune action	1000000
`aws-guardduty-agent.priorityclass-high`	`PreemptLowerPriority`	L'attribution de cette valeur préemptera un pod exécuté avec une valeur de priorité inférieure à la valeur du pod de l'agent.	100 000 000
`system-cluster-critical`¹	`PreemptLowerPriority`		2 000 000 000
`system-node-critical`¹	`PreemptLowerPriority`		200 000 1000

¹ Kubernetes propose ces deux PriorityClass options — et. system-cluster-critical system-node-critical Pour plus d'informations, consultez la PriorityClassdocumentation de Kubernetes.

Paramètres dnsPolicy

Choisissez l'une des options de politique DNS suivantes prises en charge par Kubernetes. Lorsqu'aucune configuration n'est spécifiée, elle ClusterFirst est utilisée comme valeur par défaut.

ClusterFirst
ClusterFirstWithHostNet
Default

Pour plus d'informations sur ces politiques, consultez la politique DNS de Pod dans la documentation de Kubernetes.

Vérification des mises à jour du schéma de configuration

Après avoir configuré les paramètres, effectuez les étapes suivantes pour vérifier que le schéma de configuration a été mis à jour :

Ouvrez la console Amazon EKS à l'adresse https://console.aws.amazon.com/eks/home#/clusters.
Dans le panneau de navigation, choisissez Clusters.
Sur la page Clusters, sélectionnez le nom du cluster dont vous souhaitez vérifier les mises à jour.
Sélectionnez l'onglet Ressources.
Dans le volet Types de ressources, sous Charges de travail, sélectionnez DaemonSets.
Sélectionnez aws-guardduty-agent.
Sur la aws-guardduty-agentpage, choisissez Vue brute pour afficher la réponse JSON non formatée. Vérifiez que les paramètres configurables affichent la valeur que vous avez fournie.

Après avoir vérifié, passez à la GuardDuty console. Sélectionnez le correspondant Région AWS et consultez l'état de couverture de vos clusters Amazon EKS. Pour de plus amples informations, veuillez consulter Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mise à jour manuelle de l'agent de sécurité pour les ressources Amazon EKS

Validation de la configuration des points de terminaison VPC