Gestion automatique de l'agent de sécurité pour les clusters Amazon EKS - Amazon GuardDuty
Configuration de l'agent automatisé pour un compte autonomeConfiguration de l'agent automatisé pour les environnements multi-comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion automatique de l'agent de sécurité pour les clusters Amazon EKS

Configuration de l'agent automatisé pour un compte autonome

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, choisissez Runtime Monitoring.

  3. Dans l'onglet Configuration, choisissez Activer pour activer la configuration automatique des agents pour votre compte.

    Approche préférée pour déployer l'agent GuardDuty de sécurité

    Étapes

    Gérez l'agent de sécurité via GuardDuty

    (Surveiller tous les clusters EKS)

    1. Choisissez Activer dans la section Configuration automatique de l'agent. GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour tous les clusters EKS existants et potentiellement nouveaux de votre compte.

    2. Choisissez Enregistrer.

    Surveiller tous les clusters EKS, mais en exclure certains (à l'aide d'une balise d'exclusion)

    Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

    Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2 : CreateTags pareks:TagResource.

      • Remplacez ec2 : DeleteTags pareks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    4. Dans le volet de navigation, choisissez Runtime Monitoring.

      Note

      Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

    5. Dans l'onglet Configuration, choisissez Activer dans la section de gestion des GuardDuty agents.

      Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

    6. Choisissez Enregistrer.

    Pour exclure un cluster EKS de la surveillance une fois que l'agent de GuardDuty sécurité a déjà été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      Après cette étape, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2 : CreateTags pareks:TagResource.

      • Remplacez ec2 : DeleteTags pareks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Impact de la désactivation et du nettoyage des ressources.

    Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

    1. Assurez-vous de choisir Désactiver dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Enregistrer.

    3. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

    4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2 : CreateTags pareks:TagResource.

      • Remplacez ec2 : DeleteTags pareks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gestion manuelle de l'agent

    1. Assurez-vous de choisir Désactiver dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Enregistrer.

    3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Configuration de l'agent automatisé pour les environnements multi-comptes

Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les comptes des membres et gérer l'agent automatique pour les clusters EKS appartenant aux comptes membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter Managing multiple accounts.

Configuration de la configuration automatique de l'agent pour le compte GuardDuty administrateur délégué

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

Si vous avez choisi Activer pour tous les comptes dans la section Surveillance du temps d'exécution, les options suivantes s'offrent à vous :

  • Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. GuardDuty déploiera et gérera l'agent de sécurité pour tous les clusters EKS appartenant au compte de compte d' GuardDuty administrateur délégué ainsi que pour tous les clusters EKS appartenant à tous les comptes membres existants et potentiellement nouveaux de l'organisation.

  • Choisissez Configurer les comptes manuellement.

Si vous avez choisi Configurer les comptes manuellement dans la section Surveillance du temps d'exécution, procédez comme suit :

  1. Choisissez Configurer les comptes manuellement dans la section Configuration automatique de l'agent.

  2. Choisissez Activer dans la section compte GuardDuty administrateur délégué (ce compte).

Choisissez Enregistrer.

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Dans l'onglet Configuration, choisissez Activer dans la section de gestion des GuardDuty agents.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Enregistrer.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous avez activé l'agent automatique pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Impact de la désactivation et du nettoyage des ressources.

  4. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezImpact de la désactivation et du nettoyage des ressources.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS de votre compte :

  1. Assurez-vous de choisir Désactiver pour le compte GuardDuty administrateur délégué (ce compte) dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Enregistrer.

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. Assurez-vous de choisir Désactiver pour le compte GuardDuty administrateur délégué (ce compte) dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Enregistrer.

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activation automatique Agent automatique pour tous les comptes de membres

Note

La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

Cette rubrique vise à activer la surveillance du temps d'exécution pour tous les comptes membres. Par conséquent, les étapes suivantes supposent que vous devez avoir choisi Activer pour tous les comptes dans la section Surveillance du temps d'exécution.

  1. Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. GuardDuty déploiera et gérera l'agent de sécurité pour tous les clusters EKS appartenant au compte de compte d' GuardDuty administrateur délégué ainsi que pour tous les clusters EKS appartenant à tous les comptes membres existants et potentiellement nouveaux de l'organisation.

  2. Choisissez Enregistrer.

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer l'agent automatisé pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Sous l'onglet Configuration, choisissez Modifier dans la section Configuration de la surveillance du temps d'exécution.

  6. Choisissez Activer pour tous les comptes dans la section Configuration automatique de l'agent. Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  7. Choisissez Enregistrer.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Si la configuration automatique de l'agent est activée pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Impact de la désactivation et du nettoyage des ressources.

  3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezImpact de la désactivation et du nettoyage des ressources.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour tous les comptes membres de votre organisation :

  1. N'activez aucune configuration dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Enregistrer.

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. N'activez aucune configuration dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Enregistrer.

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activation de l'agent automatique pour tous les comptes de membres actifs existants

Note

La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

Pour gérer l'agent GuardDuty de sécurité pour les comptes de membres actifs existants de votre organisation

  • GuardDuty Pour recevoir les événements d'exécution des clusters EKS appartenant aux comptes de membres actifs existants de l'organisation, vous devez choisir une approche préférée pour gérer l'agent de GuardDuty sécurité pour ces clusters EKS. Pour plus d'informations sur ces approches, veuillez consulter Approches de gestion des agents GuardDuty de sécurité.

    Approche préférée pour gérer les agents GuardDuty de sécurité

    Étapes

    Gérez l'agent de sécurité via GuardDuty

    (Surveiller tous les clusters EKS)
    Pour surveiller tous les clusters EKS pour tous les comptes membres actifs existants

    1. Sur la page Runtime Monitoring, sous l'onglet Configuration, vous pouvez consulter l'état actuel de la configuration automatique des agents.

    2. Dans le volet Configuration automatique de l'agent, dans la section Comptes membres actifs, sélectionnez Actions.

    3. Dans Actions, choisissez Activer pour tous les comptes membres actifs existants.

    4. Choisissez Confirmer.

    Surveiller tous les clusters EKS, mais en exclure certains (à l'aide d'une balise d'exclusion)

    Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

    Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2 : CreateTags pareks:TagResource.

      • Remplacez ec2 : DeleteTags pareks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    4. Dans le volet de navigation, choisissez Runtime Monitoring.

      Note

      Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

    5. Sous l'onglet Configuration, dans le volet Configuration automatique de l'agent, sous Comptes membres actifs, sélectionnez Actions.

    6. Dans Actions, choisissez Activer pour tous les comptes membres actifs.

    7. Choisissez Confirmer.

    Pour exclure un cluster EKS de la surveillance une fois que l'agent de GuardDuty sécurité a déjà été déployé sur ce cluster

    1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      Après cette étape, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2 : CreateTags pareks:TagResource.

      • Remplacez ec2 : DeleteTags pareks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Quelle que soit la façon dont vous gérez l'agent de sécurité (par le biais GuardDuty ou manuellement), pour ne plus recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Impact de la désactivation et du nettoyage des ressources.

    Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

    1. Sur la page Comptes, une fois que vous avez activé la surveillance du temps d'exécution, n'activez pas la surveillance du temps d'exécution - Configuration automatique de l'agent.

    2. Ajoutez une balise au cluster EKS qui appartient au compte sélectionné que vous souhaitez surveiller. La paire clé-valeur de la balise doit être GuardDutyManaged-true.

      Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

      GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

    3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

      • Remplacez ec2 : CreateTags pareks:TagResource.

      • Remplacez ec2 : DeleteTags pareks:UntagResource.

      • Remplacez access-project par GuardDutyManaged.

      • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

        Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gestion manuelle de l'agent de GuardDuty sécurité

    1. Assurez-vous de ne pas sélectionner Activer dans la section Configuration automatique de l'agent. Maintenez la surveillance du temps d'exécution activée.

    2. Choisissez Enregistrer.

    3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Activer automatiquement la configuration automatique des agents pour les nouveaux membres

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

  1. Sur la page Runtime Monitoring, choisissez Modifier pour mettre à jour la configuration existante.

  2. Dans la section Configuration automatique de l'agent, sélectionnez Activer automatiquement pour les nouveaux comptes membres.

  3. Choisissez Enregistrer.

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  4. Dans le volet de navigation, choisissez Runtime Monitoring.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  5. Dans l'onglet Configuration, sélectionnez Activer automatiquement les nouveaux comptes membres dans la section Gestion des GuardDuty agents.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Enregistrer.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Que vous gériez l'agent GuardDuty de sécurité par le biais GuardDuty ou manuellement, ajoutez une balise à ce cluster EKS avec la clé as GuardDutyManaged et sa valeur asfalse.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Si l'agent automatisé est activé pour ce cluster EKS, l'agent de sécurité pour ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Impact de la désactivation et du nettoyage des ressources.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, consultezImpact de la désactivation et du nettoyage des ressources.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour les nouveaux comptes membres de votre organisation.

  1. Assurez-vous de désactiver l'option Activer automatiquement pour les nouveaux comptes membres dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Enregistrer.

  3. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    GuardDuty gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectionnés que vous souhaitez surveiller.

  4. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS.

  1. Assurez-vous de décocher la case Activer automatiquement pour les nouveaux comptes membres dans la section Configuration automatique des agents. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente.

  2. Choisissez Enregistrer.

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.

Configuration sélective de l'agent automatisé pour les comptes de membres actifs

Approche préférée pour gérer les agents GuardDuty de sécurité

Étapes

Gérez l'agent de sécurité via GuardDuty

(Surveiller tous les clusters EKS)

  1. Sur la page Comptes, sélectionnez les comptes pour lesquels vous souhaitez activer la configuration automatique des agents. Vous pouvez sélectionner plusieurs comptes à la fois. Assurez-vous que la surveillance d'exécution EKS est déjà activée sur les comptes que vous sélectionnez au cours de cette étape.

  2. Dans Modifier les plans de protection, choisissez l'option appropriée pour activer Runtime Monitoring - Configuration automatisée des agents.

  3. Choisissez Confirmer.

Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion)

Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité n'a pas été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Note

    Ajoutez toujours la balise d'exclusion à vos clusters EKS avant d'activer la configuration automatique de l'agent pour votre compte ; sinon, l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS de votre compte.

  4. Sur la page Comptes, sélectionnez le compte pour lequel vous souhaitez activer Gérer automatiquement l'agent. Vous pouvez sélectionner plusieurs comptes à la fois.

  5. Dans Modifier les plans de protection, choisissez l'option appropriée pour activer la configuration automatique de l'agent Runtime Monitoring pour le compte sélectionné.

    Pour les clusters EKS qui n'ont pas été exclus de la surveillance, il GuardDuty gérera le déploiement et les mises à jour de l'agent GuardDuty de sécurité.

  6. Choisissez Enregistrer.

Pour exclure un cluster EKS de la surveillance lorsque l'agent GuardDuty de sécurité a été déployé sur ce cluster

  1. Ajoutez une balise à ce cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que false.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Si la configuration automatique de l'agent était précédemment activée pour ce cluster EKS, l'agent de sécurité de ce cluster ne GuardDuty sera pas mis à jour après cette étape. Cependant, l'agent de sécurité restera déployé et GuardDuty continuera à recevoir les événements d'exécution de ce cluster EKS. Cela peut avoir un impact sur vos statistiques d'utilisation.

    Pour arrêter de recevoir les événements d'exécution de ce cluster, vous devez supprimer l'agent de sécurité déployé de ce cluster EKS. Pour plus d'informations sur la suppression de l'agent de sécurité déployé, veuillez consulter Impact de la désactivation et du nettoyage des ressources.

  2. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si vous gériez manuellement l'agent de GuardDuty sécurité pour ce cluster EKS, vous devez le supprimer. Pour plus d’informations, consultez Impact de la désactivation et du nettoyage des ressources.

Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion

Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS appartenant aux comptes sélectionnés :

  1. Assurez-vous de ne pas activer la configuration automatique de l'agent Runtime Monitoring pour les comptes sélectionnés dotés des clusters EKS que vous souhaitez surveiller.

  2. Ajoutez une balise à votre cluster EKS avec la clé en tant que GuardDutyManaged et sa valeur en tant que true.

    Pour plus d'informations sur l'étiquetage de votre cluster Amazon EKS, veuillez consulter Gestion des balises à l'aide de la console dans le Guide de l'utilisateur Amazon EKS (langue française non garantie).

    Après avoir ajouté la balise, GuardDuty il gérera le déploiement et les mises à jour de l'agent de sécurité pour les clusters EKS sélectifs que vous souhaitez surveiller.

  3. Pour empêcher la modification des balises, sauf par les entités approuvées, appliquez la stratégie décrite dans Empêcher la modification de balises sauf par des mandataires autorisés dans le Guide de l'utilisateur AWS Organizations . Dans cette stratégie, remplacez les informations suivantes :

    • Remplacez ec2 : CreateTags pareks:TagResource.

    • Remplacez ec2 : DeleteTags pareks:UntagResource.

    • Remplacez access-project par GuardDutyManaged.

    • Remplacez 123456789012 par l' Compte AWS ID de l'entité de confiance.

      Lorsque vous avez plusieurs entités approuvées, utilisez l'exemple suivant pour ajouter plusieurs PrincipalArn :

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestion manuelle de l'agent de GuardDuty sécurité

  1. Conservez la configuration de surveillance du temps d'exécution identique à celle configurée à l'étape précédente. Assurez-vous de ne pas activer Runtime Monitoring - Configuration automatique de l'agent pour aucun des comptes sélectionnés.

  2. Choisissez Confirmer.

  3. Pour gérer l'agent de sécurité, veuillez consulter Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS.