为独立账户配置 EKS 运行时监控(API) - Amazon GuardDuty

为独立账户配置 EKS 运行时监控(API)

独立账户负责决定其 AWS 账户在特定 AWS 区域中启用或禁用防护计划。

如果您的账户是通过 AWS Organizations 或通过邀请方式与 GuardDuty 管理员账户关联,则本节的内容不适用您的账户。有关更多信息,请参阅 为多账户环境配置 EKS 运行时监控(API)

启用运行时监控后,务必要通过自动配置或手动部署来安装 GuardDuty 安全代理。在完成以下过程中列出的所有步骤时,务必要安装安全代理。

根据 在 Amazon EKS 集群中管理 GuardDuty 安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过 GuardDuty 管理安全代理(监控所有 EKS 集群)

  1. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

  2. 或者,您可以通过自己的区域检测器 ID 来使用 AWS CLI 命令。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《AWS Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags 替换为 eks:TagResource

    • ec2:DeleteTags 替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 AWS 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将 EKS_RUNTIME_MONITORINGSTATUS 设置为 ENABLED 之前,请务必将排除标签添加到您的 EKS 集群;否则,GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。

    运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    对于未从监控中排除的所有 Amazon EKS 集群,GuardDuty 将管理 GuardDuty 安全代理的部署和更新。

    或者,您可以通过自己的区域检测器 ID 来使用 AWS CLI 命令。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

监控选择性 EKS 集群(使用包含标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《AWS Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags 替换为 eks:TagResource

    • ec2:DeleteTags 替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 AWS 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    对于所有已用 GuardDutyManaged-true 对标记的 Amazon EKS 集群,GuardDuty 将管理安全代理的部署和更新。

    或者,您可以通过自己的区域检测器 ID 来使用 AWS CLI 命令。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

手动管理安全代理

  1. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以通过自己的区域检测器 ID 来使用 AWS CLI 命令。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理