Mengkonfigurasi EKS Runtime Monitoring (hanya API) - Amazon GuardDuty
Mengkonfigurasi EKS Runtime Monitoring untuk akun mandiriMengkonfigurasi EKS Runtime Monitoring untuk lingkungan multi-akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi EKS Runtime Monitoring (hanya API)

Sebelum mengonfigurasi EKS Runtime Monitoring di akun Anda, pastikan Anda menggunakan salah satu platform terverifikasi yang mendukung versi Kubernetes yang saat ini digunakan. Untuk lebih lanjut, lihatMemvalidasi persyaratan arsitektur.

GuardDuty telah mengkonsolidasikan pengalaman konsol untuk EKS Runtime Monitoring ke Runtime Monitoring. GuardDuty merekomendasikan Memeriksa status konfigurasi EKS Runtime Monitoring danMigrasi dari EKS Runtime Monitoring ke Runtime Monitoring.

Sebagai bagian dari migrasi ke Runtime Monitoring, pastikan untuk. Nonaktifkan Pemantauan Runtime EKS Ini penting karena jika nanti Anda memilih untuk menonaktifkan Runtime Monitoring dan Anda tidak menonaktifkan EKS Runtime Monitoring, Anda akan terus mengeluarkan biaya penggunaan untuk EKS Runtime Monitoring.

Mengkonfigurasi EKS Runtime Monitoring untuk akun mandiri

Untuk akun yang terkait dengan AWS Organizations, lihatMengkonfigurasi EKS Runtime Monitoring untuk lingkungan multi-akun.

Pilih metode akses pilihan Anda untuk mengaktifkan EKS Runtime Monitoring untuk akun Anda.

API/CLI

BerdasarkanPendekatan untuk mengelola agen GuardDuty keamanan, Anda dapat memilih pendekatan yang disukai dan mengikuti langkah-langkah seperti yang disebutkan dalam tabel berikut.

Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan

Langkah-Langkah

Kelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS)

  1. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS di akun Anda.

  2. Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. false Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. catatan

    Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum menyetel EKS_RUNTIME_MONITORING keENABLED; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda. STATUS

    Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang belum dikecualikan dari pemantauan.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

Pantau kluster EKS selektif (menggunakan tag inklusi)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. true Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang telah ditandai dengan - pair. GuardDutyManaged true

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

Mengelola agen keamanan secara manual

  1. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

  2. Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.

Mengkonfigurasi EKS Runtime Monitoring untuk lingkungan multi-akun

Dalam lingkungan beberapa akun, hanya akun GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan EKS Runtime Monitoring untuk akun anggota, dan mengelola manajemen GuardDuty agen untuk kluster EKS milik akun anggota di organisasi mereka. Akun GuardDuty anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Akun akun GuardDuty administrator yang didelegasikan mengelola akun anggota mereka menggunakan AWS Organizations. Untuk informasi selengkapnya tentang lingkungan multi-akun, lihat Mengelola beberapa akun.

Pilih metode akses pilihan Anda untuk mengaktifkan EKS Runtime Monitoring dan mengelola agen GuardDuty keamanan untuk kluster EKS milik akun administrator yang didelegasikan GuardDuty .

API/CLI

BerdasarkanPendekatan untuk mengelola agen GuardDuty keamanan, Anda dapat memilih pendekatan yang disukai dan mengikuti langkah-langkah seperti yang disebutkan dalam tabel berikut.

Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan

Langkah-Langkah

Kelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS)

Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS di akun Anda.

Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. false Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. catatan

    Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum menyetel EKS_RUNTIME_MONITORING keENABLED; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda. STATUS

    Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang belum dikecualikan dari pemantauan.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

Pantau kluster EKS selektif (menggunakan tag inklusi)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. true Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang telah ditandai dengan - pair. GuardDutyManaged true

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

Mengelola agen keamanan secara manual

  1. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.

Pilih metode akses pilihan Anda untuk mengaktifkan EKS Runtime Monitoring untuk semua akun anggota. Ini termasuk akun GuardDuty administrator yang didelegasikan, akun anggota yang ada, dan akun baru yang bergabung dengan organisasi. Pilih pendekatan pilihan Anda untuk mengelola agen GuardDuty keamanan untuk kluster EKS yang termasuk dalam akun anggota ini.

API/CLI

BerdasarkanPendekatan untuk mengelola agen GuardDuty keamanan, Anda dapat memilih pendekatan yang disukai dan mengikuti langkah-langkah seperti yang disebutkan dalam tabel berikut.

Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan

Langkah-Langkah

Kelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS)

Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS di akun Anda.

Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
catatan

Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. false Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. catatan

    Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum menyetel EKS_RUNTIME_MONITORING keENABLED; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda. STATUS

    Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang belum dikecualikan dari pemantauan.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    catatan

    Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pantau kluster EKS selektif (menggunakan tag inklusi)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. true Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang telah ditandai dengan - pair. GuardDutyManaged true

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    catatan

    Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Mengelola agen keamanan secara manual

  1. Jalankan updateDetectorAPI dengan menggunakan ID detektor regional Anda sendiri dan meneruskan nama features objek sebagai EKS_RUNTIME_MONITORING dan status sebagaiENABLED.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.

Pilih metode akses pilihan Anda untuk mengaktifkan EKS Runtime Monitoring dan mengelola agen GuardDuty keamanan untuk akun anggota aktif yang ada di organisasi Anda.

API/CLI

BerdasarkanPendekatan untuk mengelola agen GuardDuty keamanan, Anda dapat memilih pendekatan yang disukai dan mengikuti langkah-langkah seperti yang disebutkan dalam tabel berikut.

Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan

Langkah-Langkah

Kelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS)

Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS di akun Anda.

Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
catatan

Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. false Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. catatan

    Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum menyetel EKS_RUNTIME_MONITORING keENABLED; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda. STATUS

    Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang belum dikecualikan dari pemantauan.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    catatan

    Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pantau kluster EKS selektif (menggunakan tag inklusi)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. true Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang telah ditandai dengan - pair. GuardDutyManaged true

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    catatan

    Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Mengelola agen keamanan secara manual

  1. Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.

Akun GuardDuty administrator yang didelegasikan dapat mengaktifkan EKS Runtime Monitoring secara otomatis dan memilih pendekatan untuk cara mengelola agen GuardDuty keamanan untuk akun baru yang bergabung dengan organisasi Anda.

API/CLI

BerdasarkanPendekatan untuk mengelola agen GuardDuty keamanan, Anda dapat memilih pendekatan yang disukai dan mengikuti langkah-langkah seperti yang disebutkan dalam tabel berikut.

Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan

Langkah-Langkah

Kelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS)

Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun baru Anda, jalankan operasi UpdateOrganizationConfigurationAPI menggunakan ID detektor Anda sendiri.

Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS di akun Anda.

Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING dan EKS_ADDON_MANAGEMENT untuk satu akun. Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. false Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. catatan

    Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum menyetel EKS_RUNTIME_MONITORING keENABLED; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda. STATUS

    Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun baru Anda, jalankan operasi UpdateOrganizationConfigurationAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang belum dikecualikan dari pemantauan.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING dan EKS_ADDON_MANAGEMENT untuk satu akun. Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pantau kluster EKS selektif (menggunakan tag inklusi)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. true Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun baru Anda, jalankan operasi UpdateOrganizationConfigurationAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang telah ditandai dengan - pair. GuardDutyManaged true

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkan EKS_ADDON_MANAGEMENT untuk satu akun. Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Mengelola agen keamanan secara manual

  1. Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun baru Anda, jalankan operasi UpdateOrganizationConfigurationAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkan EKS_ADDON_MANAGEMENT untuk satu akun. Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

  2. Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.
API/CLI

BerdasarkanPendekatan untuk mengelola agen GuardDuty keamanan, Anda dapat memilih pendekatan yang disukai dan mengikuti langkah-langkah seperti yang disebutkan dalam tabel berikut.

Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan

Langkah-Langkah

Kelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS)

Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS di akun Anda.

Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
catatan

Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. false Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. catatan

    Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum menyetel EKS_RUNTIME_MONITORING keENABLED; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda. STATUS

    Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asENABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang belum dikecualikan dari pemantauan.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan keduanya EKS_RUNTIME_MONITORING danEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    catatan

    Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Pantau kluster EKS selektif (menggunakan tag inklusi)

  1. Tambahkan tag ke cluster EKS yang ingin Anda kecualikan agar tidak dipantau. Pasangan kunci-nilai adalah GuardDutyManaged -. true Untuk informasi selengkapnya tentang menambahkan tag, lihat Bekerja dengan tag menggunakan CLI, API, atau eksctl di Panduan Pengguna Amazon EKS.

  2. Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:

    • Ganti ec2: CreateTags denganeks:TagResource.

    • Ganti ec2: DeleteTags denganeks:UntagResource.

    • Ganti proyek akses dengan GuardDutyManaged

    • Ganti 123456789012 dengan Akun AWS ID entitas tepercaya.

      Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapaPrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster Amazon EKS yang telah ditandai dengan - pair. GuardDutyManaged true

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    catatan

    Anda juga dapat melewati daftar ID akun yang dipisahkan oleh spasi.

    Ketika kode telah berhasil dijalankan, daftar UnprocessedAccounts akan kembali kosong. Jika ada masalah dalam mengubah pengaturan detektor untuk suatu akun, ID akun tersebut akan dicantumkan bersama dengan ringkasan masalahnya.

Mengelola agen keamanan secara manual

  1. Untuk mengaktifkan EKS Runtime Monitoring secara selektif untuk akun anggota Anda, jalankan operasi updateMemberDetectorsAPI menggunakan ID detektor Anda sendiri.

    Tetapkan status untuk EKS_ADDON_MANAGEMENT asDISABLED.

    Atau, Anda dapat menggunakan AWS CLI perintah dengan menggunakan ID detektor regional Anda sendiri. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

    Contoh berikut memungkinkan EKS_RUNTIME_MONITORING dan menonaktifkanEKS_ADDON_MANAGEMENT:

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.