本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 Amazon EKS 資源上手動安裝 GuardDuty 安全代理程式 本節說明如何為特定 EKS 叢集首次部署 GuardDuty 安全代理程式。在繼續本節之前,請確定您已為您的帳戶設定先決條件並啟用執行期監控。如果您未啟用執行期監控,GuardDuty 安全代理程式 (EKS 附加元件) 將無法運作。 選擇首次部署 GuardDuty 安全代理程式的偏好存取方法。 ------ #### [ Console ] 1. 在以下網址開啟 Amazon EKS 主控台:[https://console.aws.amazon.com/eks/home\#/clusters](https://console.aws.amazon.com/eks/home#/clusters)。 1. 選擇您的**叢集名稱**。 1. 選擇**附加元件**索引標籤。 1. 選擇**取得更多附加元件**。 1. 在**選擇附加元件**頁面上,選擇 **Amazon GuardDuty EKS 執行期監控**。 1. GuardDuty 建議選擇最新和預設的代理程式**版本**。 1. 在**設定選取的附加元件設定**頁面上,使用預設設定。如果 EKS 附加元件的**狀態**為**需要啟用**,請選擇**啟用 GuardDuty**。此動作將開啟 GuardDuty 主控台,為您的帳戶設定執行期監控。 1. 為您的帳戶設定執行期監控之後,請切換回 Amazon EKS 主控台。EKS 附加元件的**狀態**應已變更為**可立即安裝**。 1. **(選用) 提供 EKS 附加元件組態結構描述** 對於附加元件**版本**,如果您選擇 **v1.5.0** 或更新版本,執行期監控支援設定 GuardDuty 代理程式的特定參數。如需參數範圍的資訊,請參閱 [設定 EKS 附加元件參數](guardduty-configure-security-agent-eks-addon.md)。 1. 展開**選用組態設定**,以檢視可設定的參數及其預期值和格式。 1. 設定參數。這些值必須在 中提供的範圍內[設定 EKS 附加元件參數](guardduty-configure-security-agent-eks-addon.md)。 1. 選擇**儲存變更**,根據進階組態建立附加元件。 1. 對於**衝突解決方法**,當您將參數的值更新為非預設值時,您選擇的選項將用於解決衝突。如需所列選項的詳細資訊,請參閱《*Amazon EKS API 參考*》中的 [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts)。 1. 選擇**下一步**。 1. 在**檢閱和建立**頁面上,確認所有詳細資訊,然後選擇**建立**。 1. 導覽回叢集詳細資訊,然後選擇**資源**索引標籤。 1. 您可以檢視字首為 **aws-guardduty-agent** 的新 Pod。 ------ #### [ API/CLI ] 您可以使用下列任一選項來設定 Amazon EKS 附加元件代理程式 (`aws-guardduty-agent`): + 為您的帳戶執行 [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)。 + **注意** 對於附加元件 `version`,如果您選擇 **v1.5.0 或更新版本**,執行期監控支援設定 GuardDuty 代理程式的特定參數。如需詳細資訊,請參閱[設定 EKS 附加元件參數](guardduty-configure-security-agent-eks-addon.md)。 使用下列值作為請求參數︰ + 針對 `addonName`,請輸入 `aws-guardduty-agent`。 使用附加元件版本 `v1.5.0` 或更新版本支援的可設定值時,您可以使用下列 AWS CLI 範例。請務必取代以紅色反白顯示的預留位置值,以及`Example.json`與設定值相關聯的 。 ``` aws eks create-addon --region {{us-east-1}} --cluster-name {{myClusterName}} --addon-name aws-guardduty-agent --addon-version {{v1.12.2-eksbuild.2}} --configuration-values {{'file://example.json'}} ``` **Example.json** ``` { "priorityClassName": "aws-guardduty-agent.priorityclass-high", "dnsPolicy": "Default", "resources": { "requests": { "cpu": "237m", "memory": "512Mi" }, "limits": { "cpu": "2000m", "memory": "2048Mi" } } } ``` + 如需有關支援的 `addonVersion` 的資訊,請參閱[GuardDuty 安全代理程式支援的 Kubernetes 版本](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version)。 + 或者,您可以使用 AWS CLI。如需詳細資訊,請參閱 [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html)。 ------ **VPC 端點的私有 DNS 名稱** 根據預設,安全代理程式會解析並連線至 VPC 端點的私有 DNS 名稱。對於非 FIPS 端點,您的私有 DNS 會以下列格式顯示: 非 FIPS 端點 – `guardduty-data.{{us-east-1}}.amazonaws.com` us AWS 區域{{-east-1}} 會根據您的區域而變更。