Automatisches Verwalten des Security Agents für EKS Amazon-Cluster - Amazon GuardDuty
Konfiguration eines automatisierten Agenten für ein eigenständiges KontoKonfiguration eines automatisierten Agenten für Umgebungen mit mehreren Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisches Verwalten des Security Agents für EKS Amazon-Cluster

Konfiguration eines automatisierten Agenten für ein eigenständiges Konto

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Runtime Monitoring aus.

  3. Wählen Sie auf der Registerkarte Konfiguration die Option Aktivieren aus, um die automatische Agentenkonfiguration für Ihr Konto zu aktivieren.

    Bevorzugter Ansatz für die Installation des GuardDuty Security Agents

    Schritte

    Verwalten Sie den Security Agent über GuardDuty

    (Überwachen Sie alle EKS Cluster)

    1. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Aktivieren aus. GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für alle vorhandenen und potenziell neuen EKS Cluster in Ihrem Konto.

    2. Wählen Sie Save (Speichern) aus.

    Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)

    Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft.

    Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

    1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

      Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

    2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

      • Ersetzen ec2:CreateTags miteks:TagResource.

      • Ersetzen ec2:DeleteTags miteks:UntagResource.

      • Ersetzen access-project mit GuardDutyManaged

      • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

        Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    4. Wählen Sie im Navigationsbereich Runtime Monitoring aus.

      Anmerkung

      Fügen Sie Ihren EKS Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

    5. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Aktivieren aus.

      Verwaltet für die EKS Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty die Verteilung und die Updates des GuardDuty Security Agents.

    6. Wählen Sie Save (Speichern) aus.

    Um einen EKS Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde

    1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

      Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

      Nach diesem Schritt GuardDuty wird der Security Agent für diesen Cluster nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin Runtime-Ereignisse von diesem EKS Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken.

    2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

      • Ersetzen ec2:CreateTags miteks:TagResource.

      • Ersetzen ec2:DeleteTags miteks:UntagResource.

      • Ersetzen access-project mit GuardDutyManaged

      • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

        Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Um die Runtime-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Security Agent aus diesem EKS Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen.

    Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags

    1. Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Deaktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert.

    2. Wählen Sie Speichern.

    3. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und seinem Wert als hinzutrue.

      Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

      GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für die ausgewählten EKS Cluster, die Sie überwachen möchten.

    4. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

      • Ersetzen ec2:CreateTags miteks:TagResource.

      • Ersetzen ec2:DeleteTags miteks:UntagResource.

      • Ersetzen access-project mit GuardDutyManaged

      • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

        Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Den Agent manuell verwalten

    1. Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Deaktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert.

    2. Wählen Sie Save (Speichern) aus.

    3. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Konfiguration eines automatisierten Agenten für Umgebungen mit mehreren Konten

In Umgebungen mit mehreren Konten kann nur das delegierte GuardDuty Administratorkonto die automatische Agentenkonfiguration für die Mitgliedskonten aktivieren oder deaktivieren und den automatisierten Agenten für die EKS Cluster verwalten, die zu den Mitgliedskonten in ihrer Organisation gehören. Die GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Das delegierte GuardDuty Administratorkonto verwaltet seine Mitgliedskonten mithilfe von AWS Organizations. Weitere Informationen zu Umgebungen mit mehreren Konten finden Sie unter Verwaltung mehrerer Konten.

Konfiguration der automatisierten Agentenkonfiguration für das delegierte Administratorkonto GuardDuty

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

Schritte

Verwalten Sie den Security Agent über GuardDuty

(Überwachen Sie alle EKS Cluster)

Wenn Sie im Abschnitt Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung:

  • Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. GuardDuty verteilt und verwaltet den Security Agent für alle EKS Cluster, die zum delegierten GuardDuty Administratorkonto gehören, sowie für alle EKS Cluster, die zu allen bestehenden und potenziell neuen Mitgliedskonten in der Organisation gehören.

  • Wählen Sie Konten manuell konfigurieren.

Wenn Sie im Bereich Runtime Monitoring die Option Konten manuell konfigurieren ausgewählt haben, gehen Sie wie folgt vor:

  1. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Konten manuell konfigurieren aus.

  2. Wählen Sie im Abschnitt Delegiertes GuardDuty Administratorkonto (dieses Konto) die Option Aktivieren aus.

Wählen Sie Save (Speichern) aus.

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe von Ausschluss-Tags)

Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft.

Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

  1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  4. Wählen Sie im Navigationsbereich Runtime Monitoring aus.

    Anmerkung

    Fügen Sie Ihren EKS Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische GuardDuty Agentenverwaltung für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

  5. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Aktivieren aus.

    Verwaltet für die EKS Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty die Verteilung und die Updates des GuardDuty Security Agents.

  6. Wählen Sie Save (Speichern) aus.

Um einen EKS Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

  1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Wenn Sie den Automated Agent für diesen EKS Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin Runtime-Ereignisse von diesem EKS Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken.

    Um die Runtime-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Security Agent aus diesem EKS Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen

  4. Wenn Sie den GuardDuty Security Agent für diesen EKS Cluster manuell verwaltet haben, finden Sie weitere Informationen unterAuswirkungen der Deaktivierung und Bereinigung von Ressourcen.

Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags

Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung EKS ausgewählter Cluster in Ihrem Konto:

  1. Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für delegiertes GuardDuty Administratorkonto (dieses Konto) deaktivieren auswählen. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben.

  2. Wählen Sie Save (Speichern) aus.

  3. Fügen Sie Ihrem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und seinem Wert als hinzutrue.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für die ausgewählten EKS Cluster, die Sie überwachen möchten.

  4. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Den GuardDuty Security Agent manuell verwalten

Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS Cluster manuell verwalten.

  1. Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für delegiertes GuardDuty Administratorkonto (dieses Konto) deaktivieren auswählen. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben.

  2. Wählen Sie Save (Speichern) aus.

  3. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Automatischer Agent für alle Mitgliedskonten automatisch aktivieren

Anmerkung

Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

Schritte

Verwalten Sie den Security Agent über GuardDuty

(Überwachen Sie alle EKS Cluster)

In diesem Thema geht es darum, Runtime Monitoring für alle Mitgliedskonten zu aktivieren. Daher wird bei den folgenden Schritten davon ausgegangen, dass Sie im Abschnitt Runtime Monitoring die Option Für alle Konten aktivieren ausgewählt haben.

  1. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. GuardDuty verteilt und verwaltet den Security Agent für alle EKS Cluster, die zum delegierten GuardDuty Administratorkonto gehören, sowie für alle EKS Cluster, die zu allen bestehenden und potenziell neuen Mitgliedskonten in der Organisation gehören.

  2. Wählen Sie Save (Speichern) aus.

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe von Ausschluss-Tags)

Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft.

Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

  1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  4. Wählen Sie im Navigationsbereich Runtime Monitoring aus.

    Anmerkung

    Fügen Sie Ihren EKS Clustern immer das Ausschluss-Tag hinzu, bevor Sie Automated Agent für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

  5. Wählen Sie auf der Registerkarte Konfiguration im Abschnitt Runtime Monitoring-Konfiguration die Option Bearbeiten aus.

  6. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Für alle Konten aktivieren aus. Verwaltet für die EKS Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty die Verteilung und die Updates des GuardDuty Security Agents.

  7. Wählen Sie Save (Speichern) aus.

Um einen EKS Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

  1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

  2. Wenn Sie die automatische Agentenkonfiguration für diesen EKS Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin Runtime-Ereignisse von diesem EKS Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken.

    Um die Runtime-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Security Agent aus diesem EKS Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen

  3. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. Wenn Sie den GuardDuty Security Agent für diesen EKS Cluster manuell verwaltet haben, finden Sie weitere Informationen unterAuswirkungen der Deaktivierung und Bereinigung von Ressourcen.

Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags

Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte dabei, selektive EKS Cluster für alle Mitgliedskonten in Ihrer Organisation zu überwachen:

  1. Aktivieren Sie im Abschnitt Automatisierte Agentenkonfiguration keine Konfiguration. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben.

  2. Wählen Sie Save (Speichern) aus.

  3. Fügen Sie Ihrem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und seinem Wert als hinzutrue.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für die ausgewählten EKS Cluster, die Sie überwachen möchten.

  4. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Den GuardDuty Security Agent manuell verwalten

Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS Cluster manuell verwalten.

  1. Aktivieren Sie im Abschnitt Automatisierte Agentenkonfiguration keine Konfiguration. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben.

  2. Wählen Sie Save (Speichern) aus.

  3. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Aktivierung des automatisierten Agenten für alle vorhandenen aktiven Mitgliedskonten

Anmerkung

Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.

Um den GuardDuty Security Agent für bestehende aktive Mitgliedskonten in Ihrem Unternehmen zu verwalten

  • GuardDuty Um Runtime-Ereignisse von den EKS Clustern zu empfangen, die zu den bestehenden aktiven Mitgliedskonten in der Organisation gehören, müssen Sie einen bevorzugten Ansatz für die Verwaltung des GuardDuty Security Agents für diese EKS Cluster wählen. Weitere Informationen zu diesen Ansätzen finden Sie unter Methoden zur Verwaltung des GuardDuty Security Agents.

    Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

    Schritte

    Verwalten Sie den Security Agent über GuardDuty

    (Überwachen Sie alle EKS Cluster)
    Um alle EKS Cluster für alle vorhandenen aktiven Mitgliedskonten zu überwachen

    1. Auf der Seite Runtime Monitoring können Sie auf der Registerkarte Konfiguration den aktuellen Status der automatisierten Agentenkonfiguration einsehen.

    2. Wählen Sie im Bereich Automatisierte Agentenkonfiguration im Abschnitt Aktive Mitgliedskonten die Option Aktionen aus.

    3. Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten.

    4. Wählen Sie Bestätigen aus.

    Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe des Ausschluss-Tags)

    Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft.

    Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

    1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

      Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

    2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

      • Ersetzen ec2:CreateTags miteks:TagResource.

      • Ersetzen ec2:DeleteTags miteks:UntagResource.

      • Ersetzen access-project mit GuardDutyManaged

      • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

        Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    4. Wählen Sie im Navigationsbereich Runtime Monitoring aus.

      Anmerkung

      Fügen Sie Ihren EKS Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

    5. Wählen Sie auf der Registerkarte Konfiguration im Bereich Automatisierte Agentenkonfiguration unter Aktive Mitgliedskonten die Option Aktionen aus.

    6. Wählen Sie bei Aktionen die Option Aktivieren für alle vorhandenen aktiven Mitgliedskonten.

    7. Wählen Sie Bestätigen aus.

    Um einen EKS Cluster von der Überwachung auszuschließen, nachdem der GuardDuty Security Agent bereits auf diesem Cluster installiert wurde

    1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

      Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

      Nach diesem Schritt GuardDuty wird der Security Agent für diesen Cluster nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin Runtime-Ereignisse von diesem EKS Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken.

    2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

      • Ersetzen ec2:CreateTags miteks:TagResource.

      • Ersetzen ec2:DeleteTags miteks:UntagResource.

      • Ersetzen access-project mit GuardDutyManaged

      • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

        Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Unabhängig davon, wie Sie den Security Agent verwalten (über GuardDuty oder manuell), müssen Sie den installierten Security Agent aus diesem Cluster entfernen, um den Empfang von Runtime-Ereignissen von diesem EKS Cluster zu beenden. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen.

    Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags

    1. Aktivieren Sie auf der Seite „Konten“ die Option Runtime Monitoring — Automatisierte Agentenkonfiguration nicht, nachdem Sie Runtime Monitoring aktiviert haben.

    2. Fügen Sie dem EKS Cluster ein Tag hinzu, das zu dem ausgewählten Konto gehört, das Sie überwachen möchten. Das Schlüssel-Wert-Paar des Tags muss GuardDutyManaged-true sein.

      Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

      GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für die ausgewählten EKS Cluster, die Sie überwachen möchten.

    3. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

      • Ersetzen ec2:CreateTags miteks:TagResource.

      • Ersetzen ec2:DeleteTags miteks:UntagResource.

      • Ersetzen access-project mit GuardDutyManaged

      • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

        Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Den GuardDuty Security Agent manuell verwalten

    1. Stellen Sie sicher, dass Sie im Abschnitt Automatisierte Agentenkonfiguration nicht die Option Aktivieren auswählen. Lassen Sie Runtime Monitoring aktiviert.

    2. Wählen Sie Save (Speichern) aus.

    3. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Automatische Aktivierung der automatischen Agentenkonfiguration für neue Mitglieder

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

Schritte

Verwalten Sie den Security Agent über GuardDuty

(Überwachen Sie alle EKS Cluster)

  1. Wählen Sie auf der Seite Runtime Monitoring die Option Bearbeiten aus, um die bestehende Konfiguration zu aktualisieren.

  2. Wählen Sie im Abschnitt Automatisierte Agentenkonfiguration die Option Automatisch für neue Mitgliedskonten aktivieren aus.

  3. Wählen Sie Save (Speichern) aus.

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe von Ausschluss-Tags)

Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft.

Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

  1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  4. Wählen Sie im Navigationsbereich Runtime Monitoring aus.

    Anmerkung

    Fügen Sie Ihren EKS Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

  5. Wählen Sie auf der Registerkarte Konfiguration im Bereich GuardDuty Agentenverwaltung die Option Automatisch für neue Mitgliedskonten aktivieren aus.

    Verwaltet für die EKS Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty die Verteilung und die Updates des GuardDuty Security Agents.

  6. Wählen Sie Save (Speichern) aus.

Um einen EKS Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

  1. Unabhängig davon, ob Sie den GuardDuty Security Agent über GuardDuty oder manuell verwalten, fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

    Wenn Sie Automated Agent für diesen EKS Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin Runtime-Ereignisse von diesem EKS Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken.

    Um die Runtime-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Security Agent aus diesem EKS Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Wenn Sie den GuardDuty Security Agent für diesen EKS Cluster manuell verwaltet haben, finden Sie weitere Informationen unterAuswirkungen der Deaktivierung und Bereinigung von Ressourcen.

Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags

Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte dabei, ausgewählte EKS Cluster auf die neuen Mitgliedskonten in Ihrer Organisation zu überwachen.

  1. Stellen Sie sicher, dass im Abschnitt Automatisierte Agentenkonfiguration die Option Automatisch für neue Mitgliedskonten aktivieren deaktiviert ist. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben.

  2. Wählen Sie Save (Speichern) aus.

  3. Fügen Sie Ihrem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und seinem Wert als hinzutrue.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

    GuardDuty verwaltet die Bereitstellung und Aktualisierung des Security Agents für die ausgewählten EKS Cluster, die Sie überwachen möchten.

  4. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Den GuardDuty Security Agent manuell verwalten

Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, können Sie den Security Agent für Ihre EKS Cluster manuell verwalten.

  1. Stellen Sie sicher, dass das Kontrollkästchen Automatisch für neue Mitgliedskonten aktivieren im Abschnitt Automatische Agentenkonfiguration deaktiviert ist. Behalten Sie die Runtime Monitoring-Konfiguration bei, die Sie im vorherigen Schritt konfiguriert haben.

  2. Wählen Sie Save (Speichern) aus.

  3. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.

Selektives Konfigurieren des automatisierten Agenten für aktive Mitgliedskonten

Bevorzugter Ansatz zur Verwaltung des GuardDuty Security Agents

Schritte

Verwalten Sie den Security Agent über GuardDuty

(Überwachen Sie alle EKS Cluster)

  1. Wählen Sie auf der Seite Konten die Konten aus, für die Sie die automatische Agentenkonfiguration aktivieren möchten. Sie können mehr als ein Konto zur gleichen Zeit auswählen. Stellen Sie sicher, dass EKS Runtime Monitoring für die Konten, die Sie in diesem Schritt auswählen, bereits aktiviert ist.

  2. Wählen Sie unter Schutzpläne bearbeiten die entsprechende Option aus, um Runtime Monitoring — Automatisierte Agentenkonfiguration zu aktivieren.

  3. Wählen Sie Bestätigen aus.

Überwachen Sie alle EKS Cluster, schließen Sie jedoch einige davon aus (mithilfe von Ausschluss-Tags)

Wählen Sie aus den folgenden Verfahren eines der Szenarien aus, das auf Sie zutrifft.

Um einen EKS Cluster von der Überwachung auszuschließen, obwohl der GuardDuty Security Agent nicht auf diesem Cluster installiert wurde

  1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    Anmerkung

    Fügen Sie Ihren EKS Clustern immer das Ausschluss-Tag hinzu, bevor Sie die automatische Agentenkonfiguration für Ihr Konto aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern in Ihrem Konto installiert.

  4. Wählen Sie auf der Kontenseite das Konto aus, für das Sie Agent automatisch verwalten aktivieren möchten. Sie können mehr als ein Konto zur gleichen Zeit auswählen.

  5. Wählen Sie unter Schutzpläne bearbeiten die entsprechende Option aus, um die automatische Agentenkonfiguration mit Runtime Monitoring für das ausgewählte Konto zu aktivieren.

    Verwaltet für die EKS Cluster, die nicht von der Überwachung ausgeschlossen wurden, GuardDuty die Verteilung des Security Agents und die GuardDuty Updates für ihn.

  6. Wählen Sie Save (Speichern) aus.

Um einen EKS Cluster von der Überwachung auszuschließen, wenn der GuardDuty Security Agent auf diesem Cluster installiert wurde

  1. Fügen Sie diesem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und dem Wert as hinzufalse.

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

    Wenn Sie zuvor die automatische Agentenkonfiguration für diesen EKS Cluster aktiviert hatten, GuardDuty wird der Security Agent für diesen Cluster nach diesem Schritt nicht aktualisiert. Der Security Agent bleibt jedoch installiert und empfängt GuardDuty weiterhin die Runtime-Ereignisse von diesem EKS Cluster. Dies kann sich auf Ihre Nutzungsstatistiken auswirken.

    Um die Runtime-Ereignisse von diesem Cluster nicht mehr zu empfangen, müssen Sie den bereitgestellten Security Agent aus diesem EKS Cluster entfernen. Weitere Informationen zum Entfernen des bereitgestellten Sicherheitsagenten finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen

  2. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Wenn Sie den GuardDuty Security Agent für diesen EKS Cluster manuell verwaltet haben, müssen Sie ihn entfernen. Weitere Informationen finden Sie unter Auswirkungen der Deaktivierung und Bereinigung von Ressourcen.

Überwachen Sie ausgewählte EKS Cluster mithilfe von Inclusion-Tags

Unabhängig davon, wie Sie Runtime Monitoring aktiviert haben, helfen Ihnen die folgenden Schritte bei der Überwachung ausgewählter EKS Cluster, die zu den ausgewählten Konten gehören:

  1. Stellen Sie sicher, dass Sie die automatische Agentenkonfiguration mit Runtime Monitoring nicht für die ausgewählten Konten aktivieren, die über die EKS Cluster verfügen, die Sie überwachen möchten.

  2. Fügen Sie Ihrem EKS Cluster ein Tag mit dem Schlüssel as GuardDutyManaged und seinem Wert als hinzu. true

    Weitere Informationen zum Taggen Ihres EKS Amazon-Clusters finden Sie unter Arbeiten mit Tags mithilfe der Konsole im EKSAmazon-Benutzerhandbuch.

    Nach dem Hinzufügen des Tags verwaltet er die Bereitstellung und Aktualisierung des Security Agents für die ausgewählten EKS Cluster, die Sie überwachen möchten. GuardDuty

  3. Um zu verhindern, dass Tags, außer durch vertrauenswürdige Entitäten, geändert werden, verwenden Sie die Richtlinie im Benutzerhandbuch für AWS Organizations im Abschnitt Änderungen von Tags verhindern, außer durch autorisierte Prinzipale. Ersetzen Sie in dieser Richtlinie die folgenden Angaben:

    • Ersetzen ec2:CreateTags miteks:TagResource.

    • Ersetzen ec2:DeleteTags miteks:UntagResource.

    • Ersetzen access-project mit GuardDutyManaged

    • Ersetzen 123456789012 mit der AWS-Konto ID der vertrauenswürdigen Entität.

      Wenn Sie mehr als eine vertrauenswürdige Entität haben, verwenden Sie das folgende Beispiel, um mehrere PrincipalArn hinzuzufügen:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Den GuardDuty Security Agent manuell verwalten

  1. Behalten Sie für die Runtime Monitoring-Konfiguration dieselbe wie im vorherigen Schritt bei. Stellen Sie sicher, dass Sie für keines der ausgewählten Konten die automatische Agentenkonfiguration von Runtime Monitoring aktivieren.

  2. Wählen Sie Bestätigen aus.

  3. Informationen zur Verwaltung des Sicherheitsagenten finden Sie unter Manuelles Verwalten des Security Agents für EKS Amazon-Cluster.