Configuração do Monitoramento de runtime do EKS para ambientes com várias contas (API) - Amazon GuardDuty

Configuração do Monitoramento de runtime do EKS para ambientes com várias contas (API)

Em ambientes com várias contas, somente a conta de administrador delegado do GuardDuty pode habilitar ou desabilitar o Monitoramento de runtime do EKS para as contas de membros e administrar o gerenciamento de agentes do GuardDuty para os clusters do EKS pertencentes às contas de membros em sua organização. As contas-membro do GuardDuty não podem modificar essa configuração em suas contas. A conta de administrador delegado do GuardDuty gerencia suas contas-membro usando o AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciar de várias contas.

Esta seção fornece etapas para configurar o Monitoramento de runtime do EKS e gerenciar o agente de segurança do GuardDuty para os clusters do EKS que pertencem à conta do administrador GuardDuty delegado.

Com base nas Abordagens para gerenciar o agente de segurança do GuardDuty em clusters do Amazon EKS, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente de segurança do GuardDuty

Etapas

Gerencie o agente de segurança por meio do GuardDuty (monitore todos os clusters do EKS)

Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto features como EKS_RUNTIME_MONITORING e o status como ENABLED.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

O GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.

Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu cluster do EKS antes de definir o STATUS de EKS_RUNTIME_MONITORING como ENABLED. Caso contrário, o agente de segurança do GuardDuty será implantado em todos os clusters do EKS em sua conta.

    Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto features como EKS_RUNTIME_MONITORING e o status como ENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que não foram excluídos do monitoramento.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

Monitorar clusters do EKS seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto features como EKS_RUNTIME_MONITORING e o status como ENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que foram marcados com o par GuardDutyManaged-true.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

Gerenciar o agente de segurança manualmente

  1. Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto features como EKS_RUNTIME_MONITORING e o status como ENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

Esta seção inclui etapas para habilitar o Monitoramento de runtime do EKS e gerenciar o agente de segurança para todas as contas de membros. Isso inclui a conta de administrador delegado do GuardDuty, as contas-membro existentes e as novas contas que ingressam na organização.

Com base nas Abordagens para gerenciar o agente de segurança do GuardDuty em clusters do Amazon EKS, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente de segurança do GuardDuty

Etapas

Gerencie o agente de segurança por meio do GuardDuty (monitore todos os clusters do EKS)

Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

O GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.

Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de IDs de contas separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu cluster do EKS antes de definir o STATUS de EKS_RUNTIME_MONITORING como ENABLED. Caso contrário, o agente de segurança do GuardDuty será implantado em todos os clusters do EKS em sua conta.

    Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto features como EKS_RUNTIME_MONITORING e o status como ENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que não foram excluídos do monitoramento.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitorar clusters do EKS seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto features como EKS_RUNTIME_MONITORING e o status como ENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que foram marcados com o par GuardDutyManaged-true.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto features como EKS_RUNTIME_MONITORING e o status como ENABLED.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

Esta seção inclui as etapas para habilitar o Monitoramento de runtime do EKS e gerenciar o agente de segurança do GuardDuty para as contas de membros ativas existentes em sua organização.

Com base nas Abordagens para gerenciar o agente de segurança do GuardDuty em clusters do Amazon EKS, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente de segurança do GuardDuty

Etapas

Gerencie o agente de segurança por meio do GuardDuty (monitore todos os clusters do EKS)

Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

O GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.

Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de IDs de contas separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu cluster do EKS antes de definir o STATUS de EKS_RUNTIME_MONITORING como ENABLED. Caso contrário, o agente de segurança do GuardDuty será implantado em todos os clusters do EKS em sua conta.

    Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que não foram excluídos do monitoramento.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitorar clusters do EKS seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que foram marcados com o par GuardDutyManaged-true.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

A conta do administrador delegado do GuardDuty pode habilitar automaticamente o Monitoramento de runtime do EKS e escolher uma abordagem sobre como gerenciar o agente de segurança do GuardDuty para novas contas que ingressam na sua organização.

Com base nas Abordagens para gerenciar o agente de segurança do GuardDuty em clusters do Amazon EKS, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente de segurança do GuardDuty

Etapas

Gerencie o agente de segurança por meio do GuardDuty (monitore todos os clusters do EKS)

Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio ID de detector.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

O GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.

Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT para uma única conta. Também é possível passar uma lista de IDs de conta separados por um espaço.

Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu cluster do EKS antes de definir o STATUS de EKS_RUNTIME_MONITORING como ENABLED. Caso contrário, o agente de segurança do GuardDuty será implantado em todos os clusters do EKS em sua conta.

    Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que não foram excluídos do monitoramento.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT para uma única conta. Também é possível passar uma lista de IDs de conta separados por um espaço.

    Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitorar clusters do EKS seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que foram marcados com o par GuardDutyManaged-true.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT para uma única conta. Também é possível passar uma lista de IDs de conta separados por um espaço.

    Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT para uma única conta. Também é possível passar uma lista de IDs de conta separados por um espaço.

    Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

  2. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

Esta seção inclui as etapas para configurar o Monitoramento de runtime do EKS e gerenciar o agente de segurança para contas individuais de membros ativos.

Com base nas Abordagens para gerenciar o agente de segurança do GuardDuty em clusters do Amazon EKS, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente de segurança do GuardDuty

Etapas

Gerencie o agente de segurança por meio do GuardDuty (monitore todos os clusters do EKS)

Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

O GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.

Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
nota

Você também pode passar uma lista de IDs de contas separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-false. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. nota

    Sempre adicione a tag de exclusão ao seu cluster do EKS antes de definir o STATUS de EKS_RUNTIME_MONITORING como ENABLED. Caso contrário, o agente de segurança do GuardDuty será implantado em todos os clusters do EKS em sua conta.

    Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como ENABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que não foram excluídos do monitoramento.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Monitorar clusters do EKS seletivos (usando a tag de inclusão)

  1. Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é GuardDutyManaged-true. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations. Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substitua access-project por GuardDutyManaged

    • Substitua 123456789012 pelo ID da Conta da AWS da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    O GuardDuty gerenciará a implantação e as atualizações do agente de segurança de todos os clusters do Amazon EKS que foram marcados com o par GuardDutyManaged-true.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'
    nota

    Você também pode passar uma lista de IDs de contas separadas por um espaço.

    Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Gerenciar o agente de segurança manualmente

  1. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector.

    Defina o status de EKS_ADDON_MANAGEMENT como DISABLED.

    Também é possível também usar o comando AWS CLI usando seu próprio ID de detector regional. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    O exemplo a seguir habilita EKS_RUNTIME_MONITORING e desabilita EKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.