Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola agen keamanan secara otomatis untuk kluster Amazon EKS
Mengkonfigurasi agen otomatis untuk akun mandiri
Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/
. -
Di panel navigasi, pilih Runtime Monitoring.
-
Di bawah tab Konfigurasi, pilih Aktifkan untuk mengaktifkan konfigurasi agen otomatis untuk akun Anda.
Pendekatan yang disukai untuk menyebarkan agen GuardDuty keamanan
Langkah-Langkah
Mengelola agen keamanan melalui GuardDuty
(Pantau semua kluster EKS)
-
Pilih Aktifkan di bagian Konfigurasi agen otomatis. GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk semua kluster EKS yang ada dan berpotensi baru di akun Anda.
-
Pilih Simpan.
Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)
Dari prosedur berikut, pilih salah satu skenario yang berlaku untuk Anda.
Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan belum digunakan di cluster ini
-
Tambahkan tag ke cluster EKS ini dengan kunci as
GuardDutyManaged
dan nilainya sebagaifalse
.Untuk informasi selengkapnya tentang menandai klaster Amazon EKS Anda, lihat Bekerja dengan tag menggunakan konsol di Panduan Pengguna Amazon EKS.
Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:
-
Ganti
ec2: CreateTags
denganeks:TagResource
. -
Ganti
ec2: DeleteTags
denganeks:UntagResource
. -
Ganti
proyek akses
denganGuardDutyManaged
-
Ganti
123456789012
dengan Akun AWS ID entitas tepercaya.Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapa
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/
. -
Di panel navigasi, pilih Runtime Monitoring.
catatan
Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum mengaktifkan manajemen otomatis GuardDuty agen untuk akun Anda; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda.
-
Di bawah tab Konfigurasi, pilih Aktifkan di bagian manajemen GuardDuty agen.
Untuk kluster EKS yang belum dikecualikan dari pemantauan, GuardDuty akan mengelola penyebaran dan pembaruan ke agen GuardDuty keamanan.
-
Pilih Simpan.
Untuk mengecualikan cluster EKS dari pemantauan setelah agen GuardDuty keamanan telah digunakan di cluster ini
-
Tambahkan tag ke cluster EKS ini dengan kunci as
GuardDutyManaged
dan nilainya sebagaifalse
.Untuk informasi selengkapnya tentang menandai klaster Amazon EKS Anda, lihat Bekerja dengan tag menggunakan konsol di Panduan Pengguna Amazon EKS.
Setelah langkah ini, tidak GuardDuty akan memperbarui agen keamanan untuk cluster ini. Namun, agen keamanan akan tetap digunakan dan GuardDuty akan terus menerima peristiwa runtime dari cluster EKS ini. Ini dapat memengaruhi statistik penggunaan Anda.
Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:
-
Ganti
ec2: CreateTags
denganeks:TagResource
. -
Ganti
ec2: DeleteTags
denganeks:UntagResource
. -
Ganti
proyek akses
denganGuardDutyManaged
-
Ganti
123456789012
dengan Akun AWS ID entitas tepercaya.Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapa
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Untuk berhenti menerima peristiwa runtime dari cluster ini, Anda harus menghapus agen keamanan yang digunakan dari klaster EKS ini. Untuk informasi selengkapnya tentang menghapus agen keamanan yang digunakan, lihatDampak menonaktifkan dan membersihkan sumber daya.
Pantau kluster EKS selektif menggunakan tag inklusi
-
Pastikan untuk memilih Nonaktifkan di bagian Konfigurasi agen otomatis. Tetap aktifkan Runtime Monitoring.
-
Pilih Simpan.
-
Tambahkan tag ke cluster EKS ini dengan kunci as
GuardDutyManaged
dan nilainya sebagaitrue
.Untuk informasi selengkapnya tentang menandai klaster Amazon EKS Anda, lihat Bekerja dengan tag menggunakan konsol di Panduan Pengguna Amazon EKS.
GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk kluster EKS selektif yang ingin Anda pantau.
Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:
-
Ganti
ec2: CreateTags
denganeks:TagResource
. -
Ganti
ec2: DeleteTags
denganeks:UntagResource
. -
Ganti
proyek akses
denganGuardDutyManaged
-
Ganti
123456789012
dengan Akun AWS ID entitas tepercaya.Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapa
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Kelola agen secara manual
-
Pastikan untuk memilih Nonaktifkan di bagian Konfigurasi agen otomatis. Tetap aktifkan Runtime Monitoring.
-
Pilih Simpan.
-
Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.
-
Mengkonfigurasi agen otomatis untuk lingkungan multi-akun
Dalam lingkungan beberapa akun, hanya akun GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan konfigurasi agen otomatis untuk akun anggota, dan mengelola Agen otomatis untuk kluster EKS milik akun anggota di organisasi mereka. Akun GuardDuty anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Akun akun GuardDuty administrator yang didelegasikan mengelola akun anggota mereka menggunakan AWS Organizations. Untuk informasi selengkapnya tentang lingkungan multi-akun, lihat Mengelola beberapa akun.
Mengkonfigurasi konfigurasi agen otomatis untuk akun administrator yang didelegasikan GuardDuty
Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan |
Langkah-Langkah |
---|---|
Mengelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS) |
Jika Anda memilih Aktifkan untuk semua akun di bagian Runtime Monitoring, maka Anda memiliki opsi berikut:
Jika Anda memilih Konfigurasi akun secara manual di bagian Runtime Monitoring, lakukan hal berikut:
Pilih Simpan. |
Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian) |
Dari prosedur berikut, pilih salah satu skenario yang berlaku untuk Anda. Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan belum digunakan di cluster ini
Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan telah digunakan di cluster ini
|
Pantau kluster EKS selektif menggunakan tag inklusi |
Terlepas dari bagaimana Anda memilih untuk mengaktifkan Runtime Monitoring, langkah-langkah berikut akan membantu Anda memantau klaster EKS selektif di akun Anda:
|
Mengelola agen GuardDuty keamanan secara manual |
Terlepas dari bagaimana Anda memilih untuk mengaktifkan Runtime Monitoring, Anda dapat mengelola agen keamanan secara manual untuk kluster EKS Anda.
|
Aktifkan otomatis Agen otomatis untuk semua akun anggota
catatan
Mungkin diperlukan waktu hingga 24 jam untuk memperbarui konfigurasi akun anggota.
Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan |
Langkah-Langkah |
---|---|
Mengelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS) |
Topik ini adalah untuk mengaktifkan Runtime Monitoring untuk semua akun anggota dan oleh karena itu, langkah-langkah berikut mengasumsikan bahwa Anda harus memilih Aktifkan untuk semua akun di bagian Runtime Monitoring.
|
Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian) |
Dari prosedur berikut, pilih salah satu skenario yang berlaku untuk Anda. Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan belum digunakan di cluster ini
Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan telah digunakan di cluster ini
|
Pantau kluster EKS selektif menggunakan tag inklusi |
Terlepas dari bagaimana Anda memilih untuk mengaktifkan Runtime Monitoring, langkah-langkah berikut akan membantu Anda memantau klaster EKS selektif untuk semua akun anggota di organisasi Anda:
|
Mengelola agen GuardDuty keamanan secara manual |
Terlepas dari bagaimana Anda memilih untuk mengaktifkan Runtime Monitoring, Anda dapat mengelola agen keamanan secara manual untuk kluster EKS Anda.
|
Mengaktifkan agen otomatis untuk semua akun anggota aktif yang ada
catatan
Mungkin diperlukan waktu hingga 24 jam untuk memperbarui konfigurasi akun anggota.
Untuk mengelola agen GuardDuty keamanan untuk akun anggota aktif yang ada di organisasi Anda
-
GuardDuty Untuk menerima acara runtime dari kluster EKS yang termasuk dalam akun anggota aktif yang ada di organisasi, Anda harus memilih pendekatan yang disukai untuk mengelola agen GuardDuty keamanan untuk kluster EKS ini. Untuk informasi lebih lanjut tentang masing-masing pendekatan ini, lihatPendekatan untuk mengelola agen GuardDuty keamanan.
Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan
Langkah-Langkah
Mengelola agen keamanan melalui GuardDuty
(Pantau semua kluster EKS)
Untuk memantau semua klaster EKS untuk semua akun anggota aktif yang ada
-
Pada halaman Runtime Monitoring, di bawah tab Konfigurasi, Anda dapat melihat status konfigurasi agen Otomatis saat ini.
-
Dalam panel konfigurasi agen otomatis, di bawah bagian Akun anggota aktif, pilih Tindakan.
-
Dari Tindakan, pilih Aktifkan untuk semua akun anggota aktif yang ada.
-
Pilih Konfirmasi.
Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian)
Dari prosedur berikut, pilih salah satu skenario yang berlaku untuk Anda.
Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan belum digunakan di cluster ini
-
Tambahkan tag ke cluster EKS ini dengan kunci as
GuardDutyManaged
dan nilainya sebagaifalse
.Untuk informasi selengkapnya tentang menandai klaster Amazon EKS Anda, lihat Bekerja dengan tag menggunakan konsol di Panduan Pengguna Amazon EKS.
Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:
-
Ganti
ec2: CreateTags
denganeks:TagResource
. -
Ganti
ec2: DeleteTags
denganeks:UntagResource
. -
Ganti
proyek akses
denganGuardDutyManaged
-
Ganti
123456789012
dengan Akun AWS ID entitas tepercaya.Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapa
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/
. -
Di panel navigasi, pilih Runtime Monitoring.
catatan
Selalu tambahkan tag pengecualian ke kluster EKS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS di akun Anda.
-
Di bawah tab Konfigurasi, di panel Konfigurasi agen otomatis, di bawah Akun anggota aktif, pilih Tindakan.
-
Dari Tindakan, pilih Aktifkan untuk semua akun anggota yang aktif.
-
Pilih Konfirmasi.
Untuk mengecualikan cluster EKS dari pemantauan setelah agen GuardDuty keamanan telah digunakan di cluster ini
-
Tambahkan tag ke cluster EKS ini dengan kunci as
GuardDutyManaged
dan nilainya sebagaifalse
.Untuk informasi selengkapnya tentang menandai klaster Amazon EKS Anda, lihat Bekerja dengan tag menggunakan konsol di Panduan Pengguna Amazon EKS.
Setelah langkah ini, tidak GuardDuty akan memperbarui agen keamanan untuk cluster ini. Namun, agen keamanan akan tetap digunakan dan GuardDuty akan terus menerima peristiwa runtime dari cluster EKS ini. Ini dapat memengaruhi statistik penggunaan Anda.
Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:
-
Ganti
ec2: CreateTags
denganeks:TagResource
. -
Ganti
ec2: DeleteTags
denganeks:UntagResource
. -
Ganti
proyek akses
denganGuardDutyManaged
-
Ganti
123456789012
dengan Akun AWS ID entitas tepercaya.Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapa
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Terlepas dari bagaimana Anda mengelola agen keamanan (melalui GuardDuty atau secara manual), untuk berhenti menerima peristiwa runtime dari cluster ini, Anda harus menghapus agen keamanan yang digunakan dari cluster EKS ini. Untuk informasi selengkapnya tentang menghapus agen keamanan yang digunakan, lihatDampak menonaktifkan dan membersihkan sumber daya.
Pantau kluster EKS selektif menggunakan tag inklusi
-
Pada halaman Akun, setelah Anda mengaktifkan Runtime Monitoring, jangan aktifkan Runtime Monitoring - Konfigurasi agen otomatis.
-
Tambahkan tag ke kluster EKS milik akun yang dipilih yang ingin Anda pantau. Pasangan kunci-nilai tag harus
GuardDutyManaged
-.true
Untuk informasi selengkapnya tentang menandai klaster Amazon EKS Anda, lihat Bekerja dengan tag menggunakan konsol di Panduan Pengguna Amazon EKS.
GuardDuty akan mengelola penyebaran dan pembaruan ke agen keamanan untuk kluster EKS selektif yang ingin Anda pantau.
Untuk mencegah modifikasi tag, kecuali oleh entitas tepercaya, gunakan kebijakan yang disediakan dalam Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal resmi dalam Panduan Pengguna.AWS Organizations Dalam kebijakan ini, ganti detail berikut:
-
Ganti
ec2: CreateTags
denganeks:TagResource
. -
Ganti
ec2: DeleteTags
denganeks:UntagResource
. -
Ganti
proyek akses
denganGuardDutyManaged
-
Ganti
123456789012
dengan Akun AWS ID entitas tepercaya.Jika Anda memiliki lebih dari satu entitas tepercaya, gunakan contoh berikut untuk menambahkan beberapa
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Mengelola agen GuardDuty keamanan secara manual
-
Pastikan Anda tidak memilih Aktifkan di bagian Konfigurasi agen otomatis. Tetap aktifkan Runtime Monitoring.
-
Pilih Simpan.
-
Untuk mengelola agen keamanan, lihatMengelola agen keamanan secara manual untuk klaster Amazon EKS.
-
Aktifkan otomatis konfigurasi agen otomatis untuk anggota baru
Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan |
Langkah-Langkah |
---|---|
Mengelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS) |
|
Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian) |
Dari prosedur berikut, pilih salah satu skenario yang berlaku untuk Anda. Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan belum digunakan di cluster ini
Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan telah digunakan di cluster ini
|
Pantau kluster EKS selektif menggunakan tag inklusi |
Terlepas dari bagaimana Anda memilih untuk mengaktifkan Runtime Monitoring, langkah-langkah berikut akan membantu Anda memantau klaster EKS selektif untuk akun anggota baru di organisasi Anda.
|
Mengelola agen GuardDuty keamanan secara manual |
Terlepas dari bagaimana Anda memilih untuk mengaktifkan Runtime Monitoring, Anda dapat mengelola agen keamanan secara manual untuk kluster EKS Anda.
|
Mengkonfigurasi agen otomatis untuk akun anggota aktif secara selektif
Pendekatan yang disukai untuk mengelola agen GuardDuty keamanan |
Langkah-Langkah |
---|---|
Mengelola agen keamanan melalui GuardDuty (Pantau semua kluster EKS) |
|
Pantau semua cluster EKS tetapi kecualikan beberapa di antaranya (menggunakan tag pengecualian) |
Dari prosedur berikut, pilih salah satu skenario yang berlaku untuk Anda. Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan belum digunakan di cluster ini
Untuk mengecualikan klaster EKS dari pemantauan saat agen GuardDuty keamanan telah digunakan di cluster ini
|
Pantau kluster EKS selektif menggunakan tag inklusi |
Terlepas dari cara Anda memilih untuk mengaktifkan Runtime Monitoring, langkah-langkah berikut akan membantu Anda memantau klaster EKS selektif yang termasuk dalam akun yang dipilih:
|
Mengelola agen GuardDuty keamanan secara manual |
|