Meninjau statistik cakupan Mengkonfigurasi pemberitahuan perubahan status cakupan Memecahkan masalah cakupan EKS

Cakupan untuk EKS cluster Amazon

Setelah Anda mengaktifkan Runtime Monitoring dan menginstal agen GuardDuty keamanan (add-on) EKS baik secara manual atau melalui konfigurasi agen otomatis, Anda dapat mulai menilai cakupan untuk cluster Anda. EKS

Daftar Isi

Meninjau statistik cakupan
Mengkonfigurasi pemberitahuan perubahan status cakupan
Memecahkan masalah cakupan EKS

Meninjau statistik cakupan

Statistik cakupan untuk EKS cluster yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase EKS cluster sehat di semua EKS cluster yang dipilih. Wilayah AWS Persamaan berikut mewakili ini sebagai:

(Cluster sehat/Semua cluster) * 100

Pilih salah satu metode akses untuk meninjau statistik cakupan akun Anda.

Console

Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Di panel navigasi, pilih Runtime Monitoring.
Pilih tab cakupan runtime EKS cluster.
Di bawah tab cakupan runtime EKS cluster, Anda dapat melihat statistik cakupan yang dikumpulkan berdasarkan status cakupan yang tersedia di tabel daftar Clusters.
- Anda dapat memfilter tabel daftar Clusters dengan kolom berikut:
  - Nama cluster
  - ID Akun
  - Jenis manajemen agen
  - Status cakupan
  - Versi pengaya
Jika salah satu EKS klaster Anda memiliki status Cakupan sebagai Tidak Sehat, kolom Masalah dapat mencakup informasi tambahan tentang alasan status Tidak Sehat.

API/CLI

Jalankan ListCoverageAPIdengan ID detektor, Wilayah, dan titik akhir layanan Anda yang valid. Anda dapat memfilter dan mengurutkan daftar cluster menggunakan iniAPI.
- Anda dapat mengubah contoh filter-criteria dengan salah satu opsi berikut untukCriterionKey:
  - ACCOUNT_ID
  - CLUSTER_NAME
  - RESOURCE_TYPE
  - COVERAGE_STATUS
  - ADDON_VERSION
  - MANAGEMENT_TYPE
- Anda dapat mengubah contoh AttributeName sort-criteria dengan opsi berikut:
  - ACCOUNT_ID
  - CLUSTER_NAME
  - COVERAGE_STATUS
  - ISSUE
  - ADDON_VERSION
  - UPDATED_AT
- Anda dapat mengubah max-results (hingga 50).
- Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
```
aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
```
Jalankan GetCoverageStatisticsAPIuntuk mengambil statistik agregat cakupan berdasarkan. statisticsType
- Anda dapat mengubah contoh statisticsType ke salah satu opsi berikut:
  - COUNT_BY_COVERAGE_STATUS— Merupakan statistik cakupan untuk EKS cluster yang dikumpulkan berdasarkan status cakupan.
  - COUNT_BY_RESOURCE_TYPE— Statistik cakupan dikumpulkan berdasarkan jenis AWS sumber daya dalam daftar.
  - Anda dapat mengubah contoh filter-criteria dalam perintah. Anda dapat menggunakan opsi berikut untukCriterionKey:
    
    ACCOUNT_ID
    
    CLUSTER_NAME
    
    RESOURCE_TYPE
    
    COVERAGE_STATUS
    
    ADDON_VERSION
    
    MANAGEMENT_TYPE
- Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
```
aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```

Jika status cakupan EKS klaster Anda tidak sehat, lihatMemecahkan masalah cakupan EKS.

Mengkonfigurasi pemberitahuan perubahan status cakupan

Status cakupan EKS klaster di akun Anda mungkin muncul sebagai Tidak Sehat. Untuk mendeteksi kapan status pertanggungan menjadi tidak sehat, kami sarankan Anda memantau status pertanggungan secara berkala dan memecahkan masalah, jika statusnya tidak sehat. Atau, Anda dapat membuat EventBridge aturan Amazon untuk memberi tahu Anda ketika status cakupan berubah dari salah satu Unhealthy ke Healthy atau sebaliknya. Secara default, GuardDuty publikasikan ini di EventBridgebus untuk akun Anda.

Skema pemberitahuan sampel

Dalam EventBridge aturan, Anda dapat menggunakan contoh peristiwa dan pola peristiwa yang telah ditentukan sebelumnya untuk menerima pemberitahuan status cakupan. Untuk informasi selengkapnya tentang membuat EventBridge aturan, lihat Membuat aturan di Panduan EventBridge Pengguna Amazon.

Selain itu, Anda dapat membuat pola acara khusus dengan menggunakan skema pemberitahuan contoh berikut. Pastikan untuk mengganti nilai untuk akun Anda. Untuk mendapatkan pemberitahuan saat status cakupan EKS klaster Amazon Anda berubah dari Healthy keUnhealthy, detail-type seharusnya GuardDuty Runtime Protection Unhealthy. Untuk mendapatkan pemberitahuan ketika status cakupan berubah dari Unhealthy keHealthy, ganti nilai dengan detail-type GuardDuty Runtime Protection Healthy.


{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Akun AWS ID",
  "time": "event timestamp (string)",
  "region": "Wilayah AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EKS",
        "eksClusterDetails": { 
            "clusterName": "string",
            "availableNodes": "string",
             "desiredNodes": "string",
             "addonVersion": "string"
         }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Memecahkan masalah cakupan EKS

Jika status cakupan untuk EKS klaster AndaUnhealthy, Anda dapat melihat kesalahan terkait baik di bawah kolom Masalah di GuardDuty konsol, atau dengan menggunakan tipe CoverageResourcedata.

Saat bekerja dengan tag inklusi atau pengecualian untuk memantau EKS kluster Anda secara selektif, mungkin perlu beberapa waktu bagi tag untuk disinkronkan. Ini dapat memengaruhi status cakupan EKS klaster terkait. Anda dapat mencoba menghapus dan menambahkan tag yang sesuai (penyertaan atau pengecualian) lagi. Untuk informasi selengkapnya, lihat Menandai EKS sumber daya Amazon Anda di Panduan EKS Pengguna Amazon.

Struktur masalah cakupan adalahIssue type:Extra information. Biasanya, masalah akan memiliki informasi Tambahan opsional yang mungkin mencakup pengecualian atau deskripsi sisi klien tertentu tentang masalah tersebut. Berdasarkan informasi tambahan, tabel berikut memberikan langkah-langkah yang disarankan untuk memecahkan masalah cakupan untuk cluster AndaEKS.

Jenis masalah (awalan)	Informasi tambahan	Langkah pemecahan masalah yang disarankan
Pembuatan Addon Gagal	Addon `aws-guardduty-agent` tidak kompatibel dengan versi cluster cluster saat ini `ClusterName`. Addon ditentukan tidak didukung.	Pastikan Anda menggunakan salah satu versi Kubernetes yang mendukung penerapan add-on. `aws-guardduty-agent` EKS Untuk informasi selengkapnya, lihat Versi Kubernetes didukung oleh agen keamanan GuardDuty . Untuk informasi tentang memperbarui versi Kubernetes Anda, lihat Memperbarui versi Kubernetes EKS klaster Amazon.
Pembuatan Addon Gagal Pembaruan Addon Gagal Addon Status Tidak Sehat	EKSMasalah addon -`AddonIssueCode`: `AddonIssueMessage`	Untuk informasi tentang langkah-langkah yang disarankan untuk kode masalah add-on tertentu, lihatTroubleshooting steps for Addon creation/updatation error with Addon issue code. Untuk daftar kode masalah addon yang mungkin Anda alami dalam masalah ini, lihat AddonIssue.
VPCPembuatan Endpoint Gagal	VPCpembuatan titik akhir tidak didukung untuk dibagikan VPC `vpcId`	Runtime Monitoring sekarang mendukung penggunaan shared VPC dalam suatu organisasi. Pastikan akun Anda memenuhi semua prasyarat. Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan bersama VPC.
	Hanya saat menggunakan dibagikan VPC dengan konfigurasi agen otomatis ID akun pemilik `111122223333` untuk dibagikan VPC `vpcId` tidak mengaktifkan Runtime Monitoring, konfigurasi agen otomatis, atau keduanya.	Akun VPC pemilik bersama harus mengaktifkan Runtime Monitoring dan konfigurasi agen otomatis untuk setidaknya satu jenis sumber daya (Amazon EKS atau Amazon ECS (AWS Fargate)). Untuk informasi selengkapnya, lihat Prasyarat khusus untuk Runtime Monitoring GuardDuty.
	Mengaktifkan privat DNS membutuhkan keduanya `enableDnsSupport` dan `enableDnsHostnames` VPC atribut yang disetel ke for `true` `vpcId` (Layanan: Ec2, Kode Status: 400, ID Permintaan: `a1b2c3d4-5678-90ab-cdef-EXAMPLE11111`).	Pastikan bahwa VPC atribut berikut diatur ke `true` — `enableDnsSupport` dan`enableDnsHostnames`. Untuk informasi selengkapnya, lihat DNSatribut di VPC. Jika Anda menggunakan VPC Konsol Amazon di https://console.aws.amazon.com/vpc/untuk membuat AmazonVPC, pastikan untuk memilih Aktifkan DNS nama host dan Aktifkan DNS resolusi. Untuk informasi selengkapnya, lihat opsi VPC konfigurasi.
Penghapusan VPC Endpoint Bersama Gagal	Penghapusan VPC endpoint bersama tidak diizinkan untuk ID akun `111122223333`, berbagi VPC `vpcId`, ID akun pemilik `555555555555`.	Langkah-langkah potensial: Menonaktifkan status Runtime Monitoring akun VPC peserta bersama tidak memengaruhi kebijakan VPC titik akhir bersama dan grup keamanan yang ada di akun pemilik. Untuk menghapus grup VPC endpoint dan keamanan bersama, Anda harus menonaktifkan Runtime Monitoring atau status konfigurasi agen otomatis di akun VPC pemilik bersama. Akun VPC peserta bersama tidak dapat menghapus VPC titik akhir bersama dan grup keamanan yang dihosting di akun VPC pemilik bersama.
EKSCluster lokal	EKSaddons tidak didukung pada cluster pos lokal.	Tidak bisa ditindaklanjuti. Untuk informasi selengkapnya, lihat Amazon EKS di AWS pos terdepan.
EKSIzin pengaktifan Runtime Monitoring tidak diberikan	(mungkin atau mungkin tidak menampilkan informasi tambahan)	Jika informasi tambahan tersedia untuk masalah ini, perbaiki akar penyebabnya dan ikuti langkah berikutnya. Alihkan EKS Runtime Monitoring untuk mematikannya lalu nyalakan kembali. Pastikan GuardDuty agen juga dikerahkan, baik secara otomatis melalui GuardDuty atau manual.
EKSRuntime Monitoring pemberdayaan penyediaan sumber daya sedang berlangsung	(mungkin atau mungkin tidak menampilkan informasi tambahan)	Tidak bisa ditindaklanjuti. Setelah Anda mengaktifkan EKS Runtime Monitoring, status cakupan mungkin tetap ada `Unhealthy` hingga langkah penyediaan sumber daya selesai. Status cakupan dipantau dan diperbarui secara berkala.
Lainnya (masalah lainnya)	Kesalahan karena kegagalan otorisasi	Alihkan EKS Runtime Monitoring untuk mematikannya lalu nyalakan kembali. Pastikan GuardDuty agen juga dikerahkan, baik secara otomatis melalui GuardDuty atau manual.

Kesalahan pembuatan atau pembaruan addon	Langkah pemecahan masalah
EKSMasalah Addon -`InsufficientNumberOfReplicas`: Add-on tidak sehat karena tidak memiliki jumlah replika yang diinginkan.	Dengan menggunakan pesan masalah, Anda dapat mengidentifikasi dan memperbaiki akar masalahnya. Anda bisa mulai dengan mendeskripsikan cluster Anda. Misalnya, gunakan `kubectl describe pods`untuk mengidentifikasi akar penyebab kegagalan pod. Setelah Anda memperbaiki akar penyebabnya, coba lagi langkahnya (pembuatan atau pembaruan add-on).
EKSMasalah Addon -`AdmissionRequestDenied`: webhook penerimaan `"validate.kyverno.svc-fail"` menolak permintaan: kebijakan `DaemonSet/amazon-guardduty/aws-guardduty-agent` untuk pelanggaran sumber daya:: restrict-image-registries:`autogen-validate-registries`...	EKSCluster Amazon atau administrator keamanan harus meninjau kebijakan keamanan yang memblokir pembaruan Addon. Anda harus menonaktifkan controller (`webhook`) atau meminta controller menerima permintaan dari AmazonEKS.
EKSMasalah Addon -`ConfigurationConflict`: Konflik ditemukan saat mencoba menerapkan. Tidak akan berlanjut karena menyelesaikan mode konflik. `Conflicts: DaemonSet.apps aws-guardduty-agent - .spec.template.spec.containers[name="aws-guardduty-agent"].image`	Saat membuat atau memperbarui Addon, berikan bendera `OVERWRITE` konflik penyelesaian. Ini berpotensi menimpa setiap perubahan yang telah dibuat langsung ke sumber daya terkait di Kubernetes dengan menggunakan Kubernetes. API Anda dapat menghapus Addon terlebih dahulu dan kemudian menginstal ulang.
EKSMasalah Addon - `AccessDenied: priorityclasses.scheduling.k8s.io "aws-guardduty-agent.priorityclass" is forbidden: User "eks:addon-manager" cannot patch resource "priorityclasses" in API group "scheduling.k8s.io" at the cluster scope`	Anda harus menambahkan izin yang hilang ke `eks:addon-cluster-admin ClusterRoleBinding` manual. Tambahkan yang berikut ini `yaml` ke`eks:addon-cluster-admin`: `--- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: eks:addon-cluster-admin subjects: - kind: User name: eks:addon-manager apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io ---` Anda sekarang dapat menerapkan ini `yaml` ke EKS cluster Amazon Anda dengan menggunakan perintah berikut: `kubectl apply -f eks-addon-cluster-admin.yaml`
EKSMasalah Addon - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label	Anda harus menonaktifkan pengontrol atau meminta pengontrol menerima permintaan dari EKS cluster Amazon. Sebelum membuat atau memperbarui add-on, Anda juga dapat membuat GuardDuty namespace dan memberi label sebagai. `owner`

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Cakupan untuk ECS cluster Amazon

Pertanyaan yang sering diajukan (FAQs)