Amazon EKS リソースのセキュリティエージェントの手動更新 - Amazon GuardDuty

Amazon EKS リソースのセキュリティエージェントの手動更新

GuardDuty セキュリティエージェントを手動で管理する場合、アカウントのセキュリティエージェントを更新する責任がユーザーにあります。新しいエージェントバージョンに関する通知については、「GuardDuty セキュリティエージェントのリリースバージョン」の RSS フィードにサブスクライブできます。

セキュリティエージェントを最新バージョンに更新して、追加されたサポートと改善を活用できます。現在のエージェントバージョンが標準サポートを終了していて、引き続き Runtime Monitoring (または EKS Runtime Monitoring) を使用する場合は、利用可能な次のバージョンまたは現在のエージェントバージョンに更新する必要があります。

前提条件

セキュリティエージェントのバージョンを更新する前に、現在使用する予定のエージェントのバージョンが Kubernetes バージョンと互換性があることを確認してください。詳細については、「GuardDuty セキュリティエージェントでサポートされている Kubernetes のバージョン」を参照してください。

Console

  1. https://console.aws.amazon.com/eks/home#/clusters で Amazon EKS コンソールを開きます。

  2. [クラスター名] を選択します。

  3. [クラスター情報] で、[アドオン] タブを選択します。

  4. [アドオン] タブで、[GuardDuty Runtime Monitoring] を選択します。

  5. [編集] を選択してエージェントの詳細を更新します。

  6. [GuardDuty EKS Runtime Monitoring の設定] ページで、詳細を更新します。

  7. (オプション) オプションの設定の更新

    EKS アドオン [バージョン]1.5.0 以降の場合は、アドオン設定スキーマを更新することもできます。

    1. [オプションの構成設定] を展開して、設定スキーマを表示します。

    2. EKS アドオンパラメータを設定する」に記載された範囲に基づいてパラメータ値を更新します。

    3. [変更を保存] を選択して更新を開始します。

    4. [競合解決方法] で選択したオプションが、パラメータの値をデフォルト値以外の値に更新する際の競合を解決するために使用されます。記載されたオプションの詳細については、「Amazon EKS API リファレンス」の「resolveConflicts」を参照してください。

API/CLI

Amazon EKS クラスターの GuardDuty セキュリティエージェントを更新するには、「アドオンの更新」を参照してください。

注記

アドオン version[1.5.0] 以降を選択した場合、Runtime Monitoring は GuardDuty エージェントの特定のパラメータの設定をサポートします。パラメータ範囲の詳細については、「EKS アドオンパラメータを設定する」を参照してください。

次の AWS CLI 例は、アドオンバージョン 1.5.0 以降でサポートされている設定可能な値を使用する場合に使用できます。赤で強調表示されたプレースホルダー値と、設定済みの値に関連付けられた Example.json を必ず置き換えてください。

aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.11.0-eksbuild.2 --configuration-values 'file://example.json'
例 Example.json
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

Amazon EKS アドオンバージョンが 1.5.0 以降で、アドオンスキーマを設定している場合は、クラスターに値が正しく表示されるかどうかを確認できます。詳細については、「設定スキーマの更新の検証」を参照してください。