Amazon EKS クラスターサポートの前提条件 - Amazon GuardDuty
Amazon EKS 機能のサポートアーキテクチャ要件の検証組織サービスコントロールポリシーの検証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EKS クラスターサポートの前提条件

このセクションでは、Amazon EKS リソースのランタイム動作をモニタリングするための前提条件について説明します。これらの前提条件は、GuardDuty エージェントが期待どおりに機能するために不可欠です。これらの前提条件が満たされたら、GuardDuty Runtime Monitoring の有効化「」を参照してリソースのモニタリングを開始します。

Amazon EKS 機能のサポート

Runtime Monitoring は、Amazon EC2 インスタンスおよび Amazon EKS Auto Mode で実行されている Amazon EKS クラスターをサポートします

Runtime Monitoring は、Amazon EKS Hybrid Nodes を使用する Amazon EKS クラスター、および で実行されているクラスターをサポートしていません AWS Fargate。

これらの Amazon EKS 機能の詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS とは」を参照してください。

アーキテクチャ要件の検証

使用するプラットフォームは、EKS クラスターからランタイムイベントを受信する際に GuardDuty セキュリティエージェントが GuardDuty をサポートする方法に影響を与える可能性があります。検証済みのプラットフォームのいずれかを使用していることを検証する必要があります。GuardDuty エージェントを手動で管理している場合は、現在使用している GuardDuty エージェントのバージョンが、Kubernetes のバージョンでサポートされていることを確認します。

検証済みプラットフォーム

OS ディストリビューション、カーネルバージョン、CPU アーキテクチャは、GuardDuty セキュリティエージェントが提供するサポートに影響します。カーネルサポートには、eBPFTracepoints、および が含まれますKprobe。CPU アーキテクチャの場合、Runtime Monitoring は AMD64 (x64) と ARM64 (Graviton2 以降) をサポートしています1

次の表は、GuardDuty セキュリティエージェントをデプロイし、EKS Runtime Monitoring を設定するための検証済み設定を示しています。

OS ディストリビューション2 カーネルバージョン3 サポートされている Kubernetes バージョン

Bottlerocket

5.4、5.10、5.15、6.14

v1.23 - v1.32

Ubuntu

5.4、5.10、5.15、6.14

v1.21 - v1.32

Amazon Linux 2

5.4、5.10、5.15、6.14

v1.21 - v1.32

Amazon Linux 20235

5.4、5.10、5.15、6.14

v1.21 - v1.32

RedHat 9.4

5.144

v1.21 - v1.32

Fedora 34.0

5.11、5、。

v1.21 - v1.32

CentOS Stream 9

5.14

v1.21 - v1.32

  1. Amazon EKS クラスターの Runtime Monitoring は、A1 インスタンスタイプなどの第 1 世代 Graviton インスタンスをサポートしていません。

  2. さまざまなオペレーティングシステムのサポート - GuardDuty は、前の表に示す運用ディストリビューションの Runtime Monitoring サポートを検証しました。GuardDuty セキュリティエージェントは、前の表に記載されていないオペレーティングシステムで実行される可能性がありますが、GuardDuty チームは予想されるセキュリティ値を保証できません。

  3. カーネルバージョンについては、 CONFIG_DEBUG_INFO_BTFフラグを y (true を意味する) に設定する必要があります。これは、GuardDuty セキュリティエージェントが期待どおりに実行できるようにするために必要です。

  4. 現在、カーネルバージョン 6.1 では、GuardDuty はドメインネームシステム (DNS) イベントに関連するGuardDuty Runtime Monitoring の検出結果タイプを生成できません。

  5. Runtime Monitoring は、GuardDuty セキュリティエージェント v1.6.0 以降のリリースで AL2023 をサポートします。詳細については、「Amazon EKS リソースの GuardDuty セキュリティエージェントバージョン」を参照してください。

GuardDuty セキュリティエージェントでサポートされている Kubernetes のバージョン

次の表は、GuardDuty セキュリティエージェントでサポートされている EKS クラスターの Kubernetes のバージョンを示しています。

Amazon EKS アドオン GuardDuty セキュリティエージェントバージョン Kubernetes バージョン

v1.10.0 (最新 - v1.10.0-eksbuild.2)

v1.9.0 (最新 - v1.9.0-eksbuild.2)

v1.8.1 (最新 - v1.8.1-eksbuild.2)

1.21~1.32

v1.7.0

v1.6.1

1.21~1.31

v1.7.1

v1.7.0

v1.6.1

1.21~1.31

v1.6.0

v1.5.0

v1.4.1

v1.4.0

v1.3.1

1.21~1.29

v1.3.0

v1.2.0

1.21~1.28

v1.1.0

1.21~1.26

v1.0.0

1.21 - 1.25

一部の GuardDuty セキュリティエージェントバージョンでは、標準サポートが終了します。

エージェントリリースバージョンの詳細については、「Amazon EKS リソースの GuardDuty セキュリティエージェントバージョン」を参照してください。

CPU とメモリの制限

次の表は、GuardDuty 向け Amazon EKS アドオンの CPU とメモリの制限を示しています (aws-guardduty-agent)。

パラメータ 最小限度 最大限度

CPU

200m

1000m

メモリ

256 Mi

1024 Mi

Amazon EKS アドオンバージョン 1.5.0 以降を使用する場合、GuardDuty は CPU とメモリ値にアドオンスキーマを設定する機能を提供します。設定可能な範囲については、「設定可能なパラメータと値」を参照してください。

EKS Runtime Monitoring を有効にして、EKS クラスターのカバレッジステータスを評価すると、コンテナインサイトメトリクスを設定および表示できます。詳細については、「CPU とメモリモニタリングの設定」を参照してください。

組織サービスコントロールポリシーの検証

組織内のアクセス許可を管理するようにサービスコントロールポリシー (SCP) を設定している場合は、アクセス許可の境界が guardduty:SendSecurityTelemetry を制限していないことを確認します。GuardDuty がさまざまなリソースタイプで Runtime Monitoring をサポートする必要があります。

メンバーアカウントの場合は、関連する委任管理者に接続します。組織の SCP の管理については、「Service control policies (SCPs)」を参照してください。