Configurazione di EKS Runtime Monitoring per ambienti con più account (API) - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di EKS Runtime Monitoring per ambienti con più account (API)

In ambienti con più account, solo l'account GuardDuty amministratore delegato può abilitare o disabilitare EKS Runtime Monitoring per gli account membro e gestire la gestione degli GuardDuty agenti per i cluster EKS appartenenti agli account membri della rispettiva organizzazione. GuardDuty Gli account membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce gli account dei membri utilizzando AWS Organizations. Per ulteriori informazioni sugli ambienti multi-account, consulta Gestione di più account.

Questa sezione fornisce i passaggi per configurare EKS Runtime Monitoring e gestire il GuardDuty security agent per i cluster EKS che appartengono all'account amministratore delegato GuardDuty .

In base a Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS, puoi scegliere l'approccio che preferisci e seguire le fasi indicate nella tabella seguente.

Approccio preferito per gestire l'agente di sicurezza GuardDuty

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty (monitora tutti i cluster EKS)

Esegui l'API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il nome dell'oggetto features su EKS_RUNTIME_MONITORING e lo stato su ENABLED.

Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS nel tuo account.

In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-false. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Nota

    Aggiungi sempre il tag di esclusione al tuo cluster EKS prima di impostare STATUS of EKS_RUNTIME_MONITORING toENABLED; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.

    Esegui l'API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il nome dell'oggetto features su EKS_RUNTIME_MONITORING e lo stato su ENABLED.

    Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS che non sono stati esclusi dal monitoraggio.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Monitorare cluster EKS selettivi (utilizzando i tag di inclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-true. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Esegui l'API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il nome dell'oggetto features su EKS_RUNTIME_MONITORING e lo stato su ENABLED.

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS etichettati con la true coppia GuardDutyManaged -.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Gestire l'agente di sicurezza manualmente

  1. Esegui l'API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il nome dell'oggetto features su EKS_RUNTIME_MONITORING e lo stato su ENABLED.

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

Questa sezione include i passaggi per abilitare EKS Runtime Monitoring e gestire l'agente di sicurezza per tutti gli account membri. Ciò include l'account GuardDuty amministratore delegato, gli account dei membri esistenti e i nuovi account che entrano a far parte dell'organizzazione.

In base a Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS, puoi scegliere l'approccio che preferisci e seguire le fasi indicate nella tabella seguente.

Approccio preferito per gestire l'agente GuardDuty di sicurezza

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty (monitora tutti i cluster EKS)

Per abilitare selettivamente EKS Runtime Monitoring per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS nel tuo account.

In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Nota

Puoi anche passare un elenco di account IDs separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-false. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Nota

    Aggiungi sempre il tag di esclusione al tuo cluster EKS prima di impostare STATUS of EKS_RUNTIME_MONITORING toENABLED; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.

    Esegui l'API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il nome dell'oggetto features su EKS_RUNTIME_MONITORING e lo stato su ENABLED.

    Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS che non sono stati esclusi dal monitoraggio.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Monitorare cluster EKS selettivi (utilizzando i tag di inclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-true. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Esegui l'API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il nome dell'oggetto features su EKS_RUNTIME_MONITORING e lo stato su ENABLED.

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS etichettati con la true coppia GuardDutyManaged -.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Gestire l'agente di sicurezza manualmente

  1. Esegui l'API updateDetector utilizzando il tuo ID rilevatore regionale e impostando il nome dell'oggetto features su EKS_RUNTIME_MONITORING e lo stato su ENABLED.

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    In alternativa, è possibile utilizzare il AWS CLI comando utilizzando il proprio ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

Questa sezione include i passaggi per abilitare EKS Runtime Monitoring e gestire l'agente di GuardDuty sicurezza per gli account dei membri attivi esistenti nell'organizzazione.

In base a Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS, puoi scegliere l'approccio che preferisci e seguire le fasi indicate nella tabella seguente.

Approccio preferito per la gestione GuardDuty degli agenti di sicurezza

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty (monitora tutti i cluster EKS)

Per abilitare selettivamente EKS Runtime Monitoring per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS nel tuo account.

In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Nota

Puoi anche passare un elenco di account IDs separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-false. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Nota

    Aggiungi sempre il tag di esclusione al tuo cluster EKS prima di impostare STATUS of EKS_RUNTIME_MONITORING toENABLED; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.

    Per abilitare selettivamente EKS Runtime Monitoring per i vostri account membri, eseguite l'operazione updateMemberDetectorsAPI utilizzando le vostre. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS che non sono stati esclusi dal monitoraggio.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Monitorare cluster EKS selettivi (utilizzando i tag di inclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-true. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Per abilitare selettivamente EKS Runtime Monitoring per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS etichettati con la true coppia GuardDutyManaged -.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Gestire l'agente di sicurezza manualmente

  1. Per abilitare selettivamente EKS Runtime Monitoring per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    In alternativa, è possibile utilizzare il AWS CLI comando utilizzando il proprio ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

L'account GuardDuty amministratore delegato può abilitare automaticamente EKS Runtime Monitoring e scegliere un approccio per la gestione del GuardDuty security agent per i nuovi account che entrano a far parte dell'organizzazione.

In base a Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS, puoi scegliere l'approccio che preferisci e seguire le fasi indicate nella tabella seguente.

Approccio preferito per gestire l'agente di sicurezza GuardDuty

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty (monitora tutti i cluster EKS)

Per abilitare selettivamente EKS Runtime Monitoring per i tuoi nuovi account, richiama l'operazione UpdateOrganizationConfigurationAPI utilizzando la tua. detector ID

Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS nel tuo account.

In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT per un singolo account. Puoi anche passare un elenco di account IDs separati da uno spazio.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-false. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Nota

    Aggiungi sempre il tag di esclusione al tuo cluster EKS prima di impostare STATUS of EKS_RUNTIME_MONITORING toENABLED; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.

    Per abilitare selettivamente EKS Runtime Monitoring per i tuoi nuovi account, richiama l'operazione UpdateOrganizationConfigurationAPI utilizzando la tua. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS che non sono stati esclusi dal monitoraggio.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT per un singolo account. Puoi anche passare un elenco di account IDs separati da uno spazio.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Monitorare cluster EKS selettivi (utilizzando i tag di inclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-true. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Per abilitare selettivamente EKS Runtime Monitoring per i tuoi nuovi account, richiama l'operazione UpdateOrganizationConfigurationAPI utilizzando la tua. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS etichettati con la true coppia GuardDutyManaged -.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Nell'esempio seguente viene abilitato EKS_RUNTIME_MONITORING e disabilitato EKS_ADDON_MANAGEMENT per un singolo account. Puoi anche passare un elenco di account IDs separati da uno spazio.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Gestire l'agente di sicurezza manualmente

  1. Per abilitare selettivamente EKS Runtime Monitoring per i tuoi nuovi account, richiama l'operazione UpdateOrganizationConfigurationAPI utilizzando la tua. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    In alternativa, è possibile utilizzare il AWS CLI comando utilizzando il proprio ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Nell'esempio seguente viene abilitato EKS_RUNTIME_MONITORING e disabilitato EKS_ADDON_MANAGEMENT per un singolo account. Puoi anche passare un elenco di account IDs separati da uno spazio.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

  2. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

Questa sezione include i passaggi per configurare EKS Runtime Monitoring e gestire il security agent per i singoli account dei membri attivi.

In base a Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS, puoi scegliere l'approccio che preferisci e seguire le fasi indicate nella tabella seguente.

Approccio preferito per la gestione GuardDuty degli agenti di sicurezza

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty (monitora tutti i cluster EKS)

Per abilitare selettivamente EKS Runtime Monitoring per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS nel tuo account.

In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
Nota

Puoi anche passare un elenco di account IDs separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-false. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. Nota

    Aggiungi sempre il tag di esclusione al tuo cluster EKS prima di impostare STATUS of EKS_RUNTIME_MONITORING toENABLED; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.

    Per abilitare selettivamente EKS Runtime Monitoring per i vostri account membri, eseguite l'operazione updateMemberDetectorsAPI utilizzando le vostre. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su ENABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS che non sono stati esclusi dal monitoraggio.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Nell'esempio seguente vengono abilitati sia EKS_RUNTIME_MONITORING che EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Monitorare cluster EKS selettivi (utilizzando i tag di inclusione)

  1. Aggiungi un tag al cluster EKS che desideri escludere dal monitoraggio. La coppia chiave-valore è GuardDutyManaged-true. Per ulteriori informazioni sull'aggiunta del tag, consulta Utilizzo di tag tramite la CLI, l'API o eksctl nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2:CreateTags con eks:TagResource.

    • Sostituisci ec2:DeleteTags con eks:UntagResource.

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità attendibile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Per abilitare selettivamente EKS Runtime Monitoring per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    GuardDuty gestirà la distribuzione e gli aggiornamenti dell'agente di sicurezza per tutti i cluster Amazon EKS etichettati con la true coppia GuardDutyManaged -.

    In alternativa, puoi utilizzare il AWS CLI comando utilizzando il tuo ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    Nota

    Puoi anche passare un elenco di account IDs separati da uno spazio.

    Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Gestire l'agente di sicurezza manualmente

  1. Per abilitare selettivamente EKS Runtime Monitoring per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

    Imposta lo stato di EKS_ADDON_MANAGEMENT su DISABLED.

    In alternativa, è possibile utilizzare il AWS CLI comando utilizzando il proprio ID regionale del rilevatore. Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    L'esempio seguente abilita EKS_RUNTIME_MONITORING e disabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.