Configuration de la surveillance du temps d'EKSexécution pour un compte autonome Configuration de la surveillance du temps EKS d'exécution pour les environnements à comptes multiples

Configuration de la surveillance du temps EKS d'exécution (APIuniquement)

Avant de configurer la surveillance du temps EKS d'exécution dans votre compte, assurez-vous que vous utilisez l'une des plateformes vérifiées qui prend en charge la version de Kubernetes actuellement utilisée. Pour en savoir plus, consultez Validation des exigences architecturales.

GuardDuty a consolidé l'expérience de console pour la surveillance du EKS temps d'exécution dans la surveillance du temps d'exécution. GuardDuty recommande Vérifier l'état de configuration de EKS Runtime Monitoring etMigration de la surveillance du temps EKS d'exécution vers la surveillance du temps d'exécution.

Dans le cadre de la migration vers Runtime Monitoring, assurez-vous deDésactiver la surveillance de l'EKSexécution. Ceci est important car si vous choisissez ultérieurement de désactiver la surveillance du temps d'exécution et que vous ne le désactivez EKS pas, vous continuerez de devoir payer des frais d'utilisation pour EKS ce type de surveillance.

Configuration de la surveillance du temps d'EKSexécution pour un compte autonome

Pour les comptes associés à AWS Organizations, veuillez consulter Configuration de la surveillance du temps EKS d'exécution pour les environnements à comptes multiples.

Choisissez votre méthode d'accès préférée pour activer la surveillance du temps EKS d'exécution pour votre compte.

API/CLI

Sur la base de Approches de gestion des agents GuardDuty de sécurité, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité	Étapes
Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)	Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`false`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Note Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre `STATUS` of `EKS_RUNTIME_MONITORING` sur `ENABLED` ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte. Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`true`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la `true` paire `GuardDutyManaged` -. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'`
Gestion manuelle de l'agent de sécurité	Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Configuration de la surveillance du temps EKS d'exécution pour les environnements à comptes multiples

Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps EKS d'exécution pour les comptes membres et gérer la gestion des GuardDuty agents pour les EKS clusters appartenant aux comptes membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration à partir de leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter Managing multiple accounts.

Choisissez votre méthode d'accès préférée pour activer la surveillance du temps EKS d'exécution et gérer l'agent de GuardDuty sécurité pour les EKS clusters appartenant au compte d' GuardDuty administrateur délégué.

API/CLI

Sur la base de Approches de gestion des agents GuardDuty de sécurité, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité	Étapes
Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)	Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`false`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Note Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre `STATUS` of `EKS_RUNTIME_MONITORING` sur `ENABLED` ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte. Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`true`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la `true` paire `GuardDutyManaged` -. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'`
Gestion manuelle de l'agent de sécurité	Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Choisissez votre méthode d'accès préférée pour activer la surveillance du EKS temps d'exécution pour tous les comptes membres. Cela inclut le compte d' GuardDuty administrateur délégué, les comptes de membres existants et les nouveaux comptes qui rejoignent l'organisation. Choisissez l'approche que vous préférez pour gérer l'agent de GuardDuty sécurité pour les EKS clusters appartenant à ces comptes membres.

API/CLI

Sur la base de Approches de gestion des agents GuardDuty de sécurité, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité	Étapes
Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)	Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`false`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Note Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre `STATUS` of `EKS_RUNTIME_MONITORING` sur `ENABLED` ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte. Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`true`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la `true` paire `GuardDutyManaged` -. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Gestion manuelle de l'agent de sécurité	Exécutez-le updateDetectorAPIen utilisant votre propre identifiant de détecteur régional et en transmettant le nom `EKS_RUNTIME_MONITORING` et le statut de l'`features`objet en tant que`ENABLED`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Choisissez votre méthode d'accès préférée pour activer la surveillance du temps EKS d'exécution et gérer l'agent de GuardDuty sécurité pour les comptes de membres actifs existants de votre organisation.

API/CLI

Sur la base de Approches de gestion des agents GuardDuty de sécurité, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité	Étapes
Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)	Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`false`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Note Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre `STATUS` of `EKS_RUNTIME_MONITORING` sur `ENABLED` ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`true`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la `true` paire `GuardDutyManaged` -. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Gestion manuelle de l'agent de sécurité	Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Le compte d' GuardDuty administrateur délégué peut activer automatiquement la surveillance du temps EKS d'exécution et choisir une approche pour gérer l'agent GuardDuty de sécurité pour les nouveaux comptes qui rejoignent votre organisation.

API/CLI

Sur la base de Approches de gestion des agents GuardDuty de sécurité, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité	Étapes
Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)	Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos nouveaux comptes, lancez l'UpdateOrganizationConfigurationAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active à la fois `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` pour un seul compte. Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`false`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Note Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre `STATUS` of `EKS_RUNTIME_MONITORING` sur `ENABLED` ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos nouveaux comptes, lancez l'UpdateOrganizationConfigurationAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active à la fois `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` pour un seul compte. Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`true`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos nouveaux comptes, lancez l'UpdateOrganizationConfigurationAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la `true` paire `GuardDutyManaged` -. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` pour un seul compte. Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Gestion manuelle de l'agent de sécurité	Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos nouveaux comptes, lancez l'UpdateOrganizationConfigurationAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` pour un seul compte. Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

API/CLI

Sur la base de Approches de gestion des agents GuardDuty de sécurité, vous pouvez choisir une approche préférée et suivre les étapes indiquées dans le tableau suivant.

Approche préférée pour gérer les agents GuardDuty de sécurité	Étapes
Gérez l'agent de sécurité via GuardDuty (surveillez tous les EKS clusters)	Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon de votre compte. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Surveillez tous les EKS clusters mais excluez certains d'entre eux (à l'aide d'une balise d'exclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`false`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Note Ajoutez toujours la balise d'exclusion à votre EKS cluster avant de définir le paramètre `STATUS` of `EKS_RUNTIME_MONITORING` sur `ENABLED` ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les EKS clusters de votre compte. Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `ENABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon qui n'ont pas été exclus de la surveillance. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Surveiller des EKS clusters sélectifs (à l'aide d'une balise d'inclusion)	Ajoutez une balise au EKS cluster que vous souhaitez exclure de la surveillance. La paire clé-valeur est `GuardDutyManaged`-`true`. Pour plus d'informations sur l'ajout de la balise, consultez la section Utilisation des balises à l'aide de CLIAPI, ou eksctl dans le guide de EKSl'utilisateur Amazon. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes : Remplacez `ec2:CreateTags` avec `eks:TagResource`. Remplacez `ec2:DeleteTags` avec `eks:UntagResource`. Remplacez `access-project` avec `GuardDutyManaged` Remplacez `123456789012` avec l' Compte AWS identifiant de l'entité de confiance. Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs `PrincipalArn` : `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les EKS clusters Amazon marqués avec la `true` paire `GuardDutyManaged` -. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` Note Vous pouvez également transmettre une liste de comptes IDs séparés par un espace. Lorsque le code est correctement exécuté, il renvoie une liste vide de `UnprocessedAccounts`. En cas de problème lors de la modification des paramètres du détecteur pour un compte, cet ID de compte est répertorié avec un résumé du problème.
Gestion manuelle de l'agent de sécurité	Pour activer de manière sélective la surveillance du temps EKS d'exécution pour vos comptes membres, exécutez l'updateMemberDetectorsAPIopération en utilisant votre propre `detector ID`. Définissez l'état pour `EKS_ADDON_MANAGEMENT` en tant que `DISABLED`. Vous pouvez également utiliser la AWS CLI commande en utilisant votre propre identifiant de détecteur régional. Pour trouver le `detectorId` correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI. L'exemple suivant active `EKS_RUNTIME_MONITORING` et désactive `EKS_ADDON_MANAGEMENT` : `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le EKS cluster Amazon.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mise à jour manuelle de l'agent de sécurité

Migration de la surveillance du temps EKS d'exécution vers la surveillance du temps d'exécution

Configuration de la surveillance du temps EKS d'exécution (APIuniquement)

Configuration de la surveillance du temps d'EKSexécution pour un compte autonome

Note

Configuration de la surveillance du temps EKS d'exécution pour les environnements à comptes multiples

Note

Note

Note

Note

Note

Note

Note

Note

Note

Note

Note

Note

Note

Note