Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion automatique de l'agent de sécurité pour les clusters Amazon EKS
Configuration de l'agent automatisé pour un compte autonome
Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/
. -
Dans le volet de navigation, choisissez Runtime Monitoring.
-
Dans l'onglet Configuration, choisissez Activer pour activer la configuration automatique des agents pour votre compte.
Approche préférée pour déployer l'agent GuardDuty de sécurité
Étapes
Gérez l'agent de sécurité via GuardDuty
(Surveiller tous les clusters EKS)
-
Choisissez Activer dans la section Configuration automatique de l'agent. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les clusters EKS existants et potentiellement nouveaux de votre compte.
-
Choisissez Enregistrer.
Surveiller tous les clusters EKS, mais en exclure certains (à l'aide d'une balise d'exclusion)
Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.
Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster
-
Ajoutez une balise à ce cluster EKS avec la clé en tant que
GuardDutyManaged
et sa valeur en tant quefalse
.Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).
Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :
-
Remplacez
ec2 : CreateTags
pareks:TagResource
. -
Remplacez
ec2 : DeleteTags
pareks:UntagResource
. -
Remplacez
access-project par
GuardDutyManaged
. -
Remplacez
123456789012
par l' Compte AWS ID de l'entité de confiance.Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/
. -
Dans le volet de navigation, choisissez Runtime Monitoring.
Note
Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.
-
Dans l'onglet Configuration, choisissez Activer dans la section de gestion des GuardDuty agents.
Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.
-
Choisissez Enregistrer.
Pour exclure un cluster EKS de la surveillance une fois que l'agent de GuardDuty sécurité a déjà été déployé sur ce cluster
-
Ajoutez une balise à ce cluster EKS avec la clé en tant que
GuardDutyManaged
et sa valeur en tant quefalse
.Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).
Après cette étape, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.
Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :
-
Remplacez
ec2 : CreateTags
pareks:TagResource
. -
Remplacez
ec2 : DeleteTags
pareks:UntagResource
. -
Remplacez
access-project par
GuardDutyManaged
. -
Remplacez
123456789012
par l' Compte AWS ID de l'entité de confiance.Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Impact de la désactivation et du nettoyage des ressources.
Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion
-
Assurez-vous de choisir Désactiver dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.
-
Choisissez Enregistrer.
-
Ajoutez une balise à ce cluster EKS avec la clé en tant que
GuardDutyManaged
et sa valeur en tant quetrue
.Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).
GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.
Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :
-
Remplacez
ec2 : CreateTags
pareks:TagResource
. -
Remplacez
ec2 : DeleteTags
pareks:UntagResource
. -
Remplacez
access-project par
GuardDutyManaged
. -
Remplacez
123456789012
par l' Compte AWS ID de l'entité de confiance.Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Gestion manuelle de l'agent
-
Assurez-vous de choisir Désactiver dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.
-
Choisissez Enregistrer.
-
Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.
-
Configuration de l'agent automatisé pour les environnements multi-comptes
Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les comptes des membres et gérer l'agent automatique pour les clusters EKS appartenant aux comptes membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter Managing multiple accounts.
Configuration de la configuration automatique de l'agent pour le compte GuardDuty administrateur délégué
Approche préférée pour gérer les agents GuardDuty de sécurité |
Étapes |
---|---|
Gérez l'agent de sécurité via GuardDuty (Surveiller tous les clusters EKS) |
Si vous avez choisi Activer pour tous les comptes dans la section Surveillance du temps d'exécution, les options suivantes s'offrent à vous :
Si vous avez choisi Configurer les comptes manuellement dans la section Surveillance du temps d'exécution, procédez comme suit :
Choisissez Enregistrer. |
Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion) |
Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous. Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster
Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster
|
Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion |
Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS de votre compte :
|
Gestion manuelle de l'agent de GuardDuty sécurité |
Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.
|
Activation automatique Agent automatique pour tous les comptes de membres
Note
La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.
Approche préférée pour gérer les agents GuardDuty de sécurité |
Étapes |
---|---|
Gérez l'agent de sécurité via GuardDuty (Surveiller tous les clusters EKS) |
Cette rubrique vise à activer la surveillance du temps d'exécution pour tous les comptes membres. Par conséquent, les étapes suivantes supposent que vous devez avoir choisi Activer pour tous les comptes dans la section Surveillance du temps d'exécution.
|
Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion) |
Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous. Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster
Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster
|
Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion |
Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour tous les comptes membres de votre organisation :
|
Gestion manuelle de l'agent de GuardDuty sécurité |
Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.
|
Activation de l'agent automatique pour tous les comptes de membres actifs existants
Note
La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.
Pour gérer l'agent GuardDuty de sécurité pour les comptes de membres actifs existants de votre organisation
-
GuardDuty Pour recevoir les événements d'exécution des clusters EKS appartenant aux comptes de membres actifs existants de l'organisation, vous devez choisir une approche préférée pour gérer l'agent de GuardDuty sécurité pour ces clusters EKS. Pour plus d'informations sur ces approches, veuillez consulter Approches de gestion des agents GuardDuty de sécurité.
Approche préférée pour gérer les agents GuardDuty de sécurité
Étapes
Gérez l'agent de sécurité via GuardDuty
(Surveiller tous les clusters EKS)
Pour surveiller tous les clusters EKS pour tous les comptes membres actifs existants
-
Sur la page Runtime Monitoring, sous l'onglet Configuration, vous pouvez consulter l'état actuel de la configuration automatique des agents.
-
Dans le volet Configuration automatique de l'agent, dans la section Comptes membres actifs, sélectionnez Actions.
-
Dans Actions, choisissez Activer pour tous les comptes membres actifs existants.
-
Choisissez Confirmer.
Surveiller tous les clusters EKS, mais en exclure certains (à l'aide d'une balise d'exclusion)
Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.
Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster
-
Ajoutez une balise à ce cluster EKS avec la clé en tant que
GuardDutyManaged
et sa valeur en tant quefalse
.Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).
Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :
-
Remplacez
ec2 : CreateTags
pareks:TagResource
. -
Remplacez
ec2 : DeleteTags
pareks:UntagResource
. -
Remplacez
access-project par
GuardDutyManaged
. -
Remplacez
123456789012
par l' Compte AWS ID de l'entité de confiance.Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/
. -
Dans le volet de navigation, choisissez Runtime Monitoring.
Note
Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.
-
Sous l'onglet Configuration, dans le volet Configuration automatique de l'agent, sous Comptes membres actifs, sélectionnez Actions.
-
Dans Actions, choisissez Activer pour tous les comptes membres actifs.
-
Choisissez Confirmer.
Pour exclure un cluster EKS de la surveillance une fois que l'agent de GuardDuty sécurité a déjà été déployé sur ce cluster
-
Ajoutez une balise à ce cluster EKS avec la clé en tant que
GuardDutyManaged
et sa valeur en tant quefalse
.Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).
Après cette étape, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.
Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :
-
Remplacez
ec2 : CreateTags
pareks:TagResource
. -
Remplacez
ec2 : DeleteTags
pareks:UntagResource
. -
Remplacez
access-project par
GuardDutyManaged
. -
Remplacez
123456789012
par l' Compte AWS ID de l'entité de confiance.Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Quelle que soit la façon dont vous gérez l'agent de sécurité (par le biais GuardDuty ou manuellement), pour ne plus recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Impact de la désactivation et du nettoyage des ressources.
Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion
-
Sur la page Comptes, une fois que vous avez activé la surveillance du temps d'exécution, n'activez pas la surveillance du temps d'exécution - Configuration automatique de l'agent.
-
Ajoutez une balise au cluster EKS qui appartient au compte sélectionné que vous souhaitez surveiller. La paire clé-valeur de la balise doit être
GuardDutyManaged
-true
.Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).
GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.
Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :
-
Remplacez
ec2 : CreateTags
pareks:TagResource
. -
Remplacez
ec2 : DeleteTags
pareks:UntagResource
. -
Remplacez
access-project par
GuardDutyManaged
. -
Remplacez
123456789012
par l' Compte AWS ID de l'entité de confiance.Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Gestion manuelle de l'agent de GuardDuty sécurité
-
Assurez-vous de ne pas sélectionner Activer dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.
-
Choisissez Enregistrer.
-
Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.
-
Activer automatiquement la configuration automatique des agents pour les nouveaux membres
Approche préférée pour gérer les agents GuardDuty de sécurité |
Étapes |
---|---|
Gérez l'agent de sécurité via GuardDuty (Surveiller tous les clusters EKS) |
|
Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion) |
Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous. Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster
Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster
|
Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion |
Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour les nouveaux comptes membres de votre organisation.
|
Gestion manuelle de l'agent de GuardDuty sécurité |
Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.
|
Configuration sélective de l'agent automatisé pour les comptes de membres actifs
Approche préférée pour gérer les agents GuardDuty de sécurité |
Étapes |
---|---|
Gérez l'agent de sécurité via GuardDuty (Surveiller tous les clusters EKS) |
|
Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion) |
Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous. Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster
Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster
|
Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion |
Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS appartenant aux comptes sélectionnés :
|
Gestion manuelle de l'agent de GuardDuty sécurité |
|