Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Automatisches Verwalten des Security Agents für EKS Amazon-Cluster
Konfiguration eines automatisierten Agenten für ein eigenständiges Konto
Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
-
Wählen Sie auf der Registerkarte Konfiguration die Option Aktivieren aus, um die automatische Agentenkonfiguration für Ihr Konto zu aktivieren.
Bevorzugter Ansatz für die Installation des GuardDuty Security Agents
Schritte
Verwalten Sie den Security Agent über GuardDuty
(Überwachen Sie alle EKS Cluster)
-
Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Aktivieren aus. GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle vorhandenen und potenziell neuen EKS Cluster in Ihrem Konto.
-
Wählen Sie Save (Speichern) aus.
Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)
Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft.
Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde
-
Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as
GuardDutyManaged
und dem Wert as hinzufalse
.Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.
Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:
-
Ersetzen
ec2:CreateTags
miteks:TagResource
. -
Ersetzen
ec2:DeleteTags
miteks:UntagResource
. -
Ersetzen
access-project
mitGuardDutyManaged
-
Ersetzen
123456789012
mit der AWS-Konto ID der vertrauenswürdigen Entität.Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere
PrincipalArn
hinzuzufügen:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
Anmerkung
Fügen Sie Ihren EKS Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.
-
Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Aktivieren aus.
Verwaltet für die EKS Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty die Verteilung und die Updates des GuardDuty Security Agents.
-
Wählen Sie Save (Speichern) aus.
Um einen EKS Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde
-
Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as
GuardDutyManaged
und dem Wert as hinzufalse
.Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.
Nach diesem Schritt GuardDuty wird der Security Agent für diesen Cluster nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin Runtime-Ereignisse von diesem EKS Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken.
Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:
-
Ersetzen
ec2:CreateTags
miteks:TagResource
. -
Ersetzen
ec2:DeleteTags
miteks:UntagResource
. -
Ersetzen
access-project
mitGuardDutyManaged
-
Ersetzen
123456789012
mit der AWS-Konto ID der vertrauenswürdigen Entität.Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere
PrincipalArn
hinzuzufügen:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Um die Runtime-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Security Agent aus diesem EKS Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen.
Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags
-
Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Deaktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert.
-
Wählen Sie Speichern.
-
Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as
GuardDutyManaged
und seinem Wert als hinzutrue
.Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.
GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für die ausgewählten EKS Cluster, die Sie überwachen möchten.
Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:
-
Ersetzen
ec2:CreateTags
miteks:TagResource
. -
Ersetzen
ec2:DeleteTags
miteks:UntagResource
. -
Ersetzen
access-project
mitGuardDutyManaged
-
Ersetzen
123456789012
mit der AWS-Konto ID der vertrauenswürdigen Entität.Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere
PrincipalArn
hinzuzufügen:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Den Agent manuell verwalten
-
Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Deaktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert.
-
Wählen Sie Save (Speichern) aus.
-
Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.
-
Konfiguration eines automatisierten Agenten für Umgebungen mit mehreren Konten
In Umgebungen mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto die automatische Agentenkonfiguration für die Mitgliedskonten aktivieren oder deaktivieren und den automatisierten Agenten für die EKS Cluster verwalten, die zu den Mitgliedskonten in ihrer Organisation gehören. Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter Verwaltung mehrerer Konten.
Konfiguration der automatisierten Agentenkonfiguration für das delegierte Administratorkonto GuardDuty
Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents |
Schritte |
---|---|
Verwalten Sie den Security Agent über GuardDuty (Überwachen Sie alle EKS Cluster) |
Wenn Sie im Abschnitt Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung:
Wenn Sie im Bereich Runtime Monitoring die Option Konten manuell konfigurieren ausgewählt haben, gehen Sie wie folgt vor:
Wählen Sie Save (Speichern) aus. |
Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe von Ausschluss-Tags) |
Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde
Um einen EKS Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde
|
Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags |
Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung EKS ausgewählter Cluster in Ihrem Konto:
|
Den GuardDuty Security Agent manuell verwalten |
Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS Cluster manuell verwalten.
|
Automatischer Agent für alle Mitgliedskonten automatisch aktivieren
Anmerkung
Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.
Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents |
Schritte |
---|---|
Verwalten Sie den Security Agent über GuardDuty (Überwachen Sie alle EKS Cluster) |
In diesem Thema geht es darum, Runtime Monitoring für alle Mitgliedskonten zu aktivieren. Daher wird bei den folgenden Schritten davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben.
|
Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe von Ausschluss-Tags) |
Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde
Um einen EKS Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde
|
Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags |
Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte dabei, selektive EKS Cluster für alle Mitgliedskonten in Ihrer Organisation zu überwachen:
|
Den GuardDuty Security Agent manuell verwalten |
Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS Cluster manuell verwalten.
|
Aktivierung des automatisierten Agenten für alle vorhandenen aktiven Mitgliedskonten
Anmerkung
Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.
Um den GuardDuty Security Agent für bestehende aktive Mitgliedskonten in Ihrem Unternehmen zu verwalten
-
GuardDuty Um Runtime-Ereignisse von den EKS Clustern zu empfangen, die zu den bestehenden aktiven Mitgliedskonten in der Organisation gehören, müssen Sie einen bevorzugten Ansatz für die Verwaltung des GuardDuty Security Agents für diese EKS Cluster wählen. Weitere Informationen zu diesen Ansätzen finden Sie unter Methoden zur Verwaltung des GuardDuty Security Agents.
Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents
Schritte
Verwalten Sie den Security Agent über GuardDuty
(Überwachen Sie alle EKS Cluster)
Um alle EKS Cluster für alle vorhandenen aktiven Mitgliedskonten zu überwachen
-
Auf der Seite Runtime Monitoring können Sie auf der Registerkarte Konfiguration den aktuellen Status der automatisierten Agentenkonfiguration einsehen.
-
Wählen Sie im Bereich Automatisierte Agentenkonfiguration im Abschnitt Aktive Mitgliedskonten die Option Aktionen aus.
-
Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten.
-
Wählen Sie Bestätigen aus.
Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)
Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft.
Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde
-
Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as
GuardDutyManaged
und dem Wert as hinzufalse
.Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.
Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:
-
Ersetzen
ec2:CreateTags
miteks:TagResource
. -
Ersetzen
ec2:DeleteTags
miteks:UntagResource
. -
Ersetzen
access-project
mitGuardDutyManaged
-
Ersetzen
123456789012
mit der AWS-Konto ID der vertrauenswürdigen Entität.Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere
PrincipalArn
hinzuzufügen:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
Anmerkung
Fügen Sie Ihren EKS Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.
-
Wählen Sie auf der Registerkarte Konfiguration im Bereich Automatisierte Agentenkonfiguration unter Aktive Mitgliedskonten die Option Aktionen aus.
-
Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten.
-
Wählen Sie Bestätigen aus.
Um einen EKS Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde
-
Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as
GuardDutyManaged
und dem Wert as hinzufalse
.Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.
Nach diesem Schritt GuardDuty wird der Security Agent für diesen Cluster nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin Runtime-Ereignisse von diesem EKS Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken.
Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:
-
Ersetzen
ec2:CreateTags
miteks:TagResource
. -
Ersetzen
ec2:DeleteTags
miteks:UntagResource
. -
Ersetzen
access-project
mitGuardDutyManaged
-
Ersetzen
123456789012
mit der AWS-Konto ID der vertrauenswürdigen Entität.Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere
PrincipalArn
hinzuzufügen:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Unabhängig davon, wie Sie den Security Agent verwalten (über GuardDuty oder manuell), müssen Sie den installierten Security Agent aus diesem Cluster entfernen, um den Empfang von Runtime-Ereignissen von diesem EKS Cluster zu beenden. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen.
Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags
-
Aktivieren Sie auf der Seite „Konten“ die Option Runtime Monitoring — Automatisierte Agentenkonfiguration nicht, nachdem Sie Runtime Monitoring aktiviert haben.
-
Fügen Sie dem EKS Cluster ein Tag hinzu, das zu dem ausgewählten Konto gehört, das Sie überwachen möchten. Das Schlüssel-Wert-Paar des Tags muss
GuardDutyManaged
-true
sein.Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.
GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für die ausgewählten EKS Cluster, die Sie überwachen möchten.
Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:
-
Ersetzen
ec2:CreateTags
miteks:TagResource
. -
Ersetzen
ec2:DeleteTags
miteks:UntagResource
. -
Ersetzen
access-project
mitGuardDutyManaged
-
Ersetzen
123456789012
mit der AWS-Konto ID der vertrauenswürdigen Entität.Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere
PrincipalArn
hinzuzufügen:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Den GuardDuty Security Agent manuell verwalten
-
Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration nicht die Option Aktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert.
-
Wählen Sie Save (Speichern) aus.
-
Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.
-
Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder
Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents |
Schritte |
---|---|
Verwalten Sie den Security Agent über GuardDuty (Überwachen Sie alle EKS Cluster) |
|
Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe von Ausschluss-Tags) |
Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde
Um einen EKS Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde
|
Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags |
Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte dabei, ausgewählte EKS Cluster auf die neuen Mitgliedskonten in Ihrer Organisation zu überwachen.
|
Den GuardDuty Security Agent manuell verwalten |
Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS Cluster manuell verwalten.
|
Selektives Konfigurieren des automatisierten Agenten für aktive Mitgliedskonten
Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents |
Schritte |
---|---|
Verwalten Sie den Security Agent über GuardDuty (Überwachen Sie alle EKS Cluster) |
|
Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe von Ausschluss-Tags) |
Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft. Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde
Um einen EKS Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde
|
Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags |
Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS Cluster, die zu den ausgewählten Konten gehören:
|
Den GuardDuty Security Agent manuell verwalten |
|