Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione automatica dell'agente di sicurezza per i cluster Amazon EKS
Configurazione dell'agente automatizzato per un account indipendente
-
Nel pannello di navigazione, scegli Runtime Monitoring.
-
Nella scheda Configurazione, scegli Abilita per abilitare la configurazione automatica degli agenti per il tuo account.
Approccio preferito per implementare un agente GuardDuty di sicurezza
Fasi
Gestisci l'agente di sicurezza tramite GuardDuty
(Monitorare tutti i cluster EKS)
-
Scegli Abilita nella sezione Configurazione automatica dell'agente. GuardDuty gestirà l'implementazione e gli aggiornamenti del security agent per tutti i cluster EKS esistenti e potenzialmente nuovi nel tuo account.
-
Selezionare Salva.
Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)
Scegli lo scenario più adatto a te tra le procedure seguenti.
Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster
-
Aggiungi un tag a questo cluster EKS con la chiave
GuardDutyManaged
e il valore corrispondentefalse
.Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.
Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:
-
Sostituisci
ec2: CreateTags
con.eks:TagResource
-
Sostituisci
ec2: DeleteTags
con.eks:UntagResource
-
Sostituisci
access-project
conGuardDutyManaged
-
Sostituisci
123456789012
con l' Account AWS ID dell'entità affidabile.Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .
-
Nel pannello di navigazione, scegli Runtime Monitoring.
Nota
Aggiungi sempre il tag di esclusione ai tuoi cluster EKS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, l'agente GuardDuty di sicurezza verrà distribuito su tutti i cluster EKS del tuo account.
-
Nella scheda Configurazione, scegli Abilita nella sezione Gestione degli agenti. GuardDuty
Per i cluster EKS che non sono stati esclusi dal monitoraggio, GuardDuty gestirà la distribuzione e gli aggiornamenti del GuardDuty security agent.
-
Selezionare Salva.
Per escludere un cluster EKS dal monitoraggio dopo che il GuardDuty security agent è già stato distribuito su questo cluster
-
Aggiungi un tag a questo cluster EKS con la chiave
GuardDutyManaged
e il valore corrispondentefalse
.Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.
Dopo questo passaggio, non GuardDuty aggiornerà il security agent per questo cluster. Tuttavia, il security agent rimarrà distribuito e GuardDuty continuerà a ricevere gli eventi di runtime da questo cluster EKS. Ciò potrebbe influire sulle statistiche di utilizzo.
Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:
-
Sostituisci
ec2: CreateTags
con.eks:TagResource
-
Sostituisci
ec2: DeleteTags
con.eks:UntagResource
-
Sostituisci
access-project
conGuardDutyManaged
-
Sostituisci
123456789012
con l' Account AWS ID dell'entità affidabile.Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
È necessario rimuovere l'agente di sicurezza implementato dal cluster EKS per interrompere la ricezione degli eventi di runtime dal cluster in questione. Per ulteriori informazioni sulla rimozione dell'agente di sicurezza implementato, consulta Impatto della disabilitazione e della pulizia delle risorse.
Monitorare cluster EKS selettivi utilizzando i tag di inclusione
-
Assicurati di scegliere Disabilita nella sezione Configurazione automatica dell'agente. Mantieni abilitato il monitoraggio del runtime.
-
Seleziona Salva
-
Aggiungi un tag a questo cluster EKS con la chiave
GuardDutyManaged
e il valore corrispondentetrue
.Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.
GuardDuty gestirà l'implementazione e gli aggiornamenti del security agent per i cluster EKS selettivi che desideri monitorare.
Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:
-
Sostituisci
ec2:
con. CreateTagseks:TagResource
-
Sostituisci
ec2: DeleteTags
con.eks:UntagResource
-
Sostituisci
access-project
conGuardDutyManaged
-
Sostituisci
123456789012
con l' Account AWS ID dell'entità affidabile.Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Gestire l'agente manualmente
-
Assicurati di scegliere Disabilita nella sezione Configurazione automatica dell'agente. Mantieni abilitato il monitoraggio del runtime.
-
Selezionare Salva.
-
Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.
-
Configurazione dell'agente automatizzato per ambienti con più account
In ambienti con più account, solo l'account GuardDuty amministratore delegato può abilitare o disabilitare la configurazione automatizzata degli agenti per gli account dei membri e gestire l'agente automatizzato per i cluster EKS appartenenti agli account membro dell'organizzazione. GuardDuty Gli account dei membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce gli account dei membri utilizzando AWS Organizations. Per ulteriori informazioni sugli ambienti multi-account, consulta Gestione di più account.
Configurazione della configurazione automatizzata dell'agente per l'account amministratore delegato GuardDuty
Approccio preferito per gestire il Security Agent GuardDuty |
Fasi |
---|---|
Gestisci l'agente di sicurezza tramite GuardDuty (Monitorare tutti i cluster EKS) |
Se hai scelto Abilita per tutti gli account nella sezione Runtime Monitoring, hai le seguenti opzioni:
Se hai scelto Configura gli account manualmente nella sezione Runtime Monitoring, procedi come segue:
Selezionare Salva. |
Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione) |
Scegli lo scenario più adatto a te tra le procedure seguenti. Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster
Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent è stato distribuito su questo cluster
|
Monitorare cluster EKS selettivi utilizzando i tag di inclusione |
Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi nel vostro account:
|
Gestisci manualmente l'agente di sicurezza GuardDuty |
Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS.
|
Abilita automaticamente l'agente automatizzato per tutti gli account dei membri
Nota
L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.
Approccio preferito per gestire l'agente GuardDuty di sicurezza |
Fasi |
---|---|
Gestisci l'agente di sicurezza tramite GuardDuty (Monitorare tutti i cluster EKS) |
Questo argomento riguarda l'abilitazione del monitoraggio del runtime per tutti gli account membri e, pertanto, i passaggi seguenti presuppongono che sia necessario aver scelto Abilita per tutti gli account nella sezione Runtime Monitoring.
|
Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione) |
Scegli lo scenario più adatto a te tra le procedure seguenti. Per escludere un cluster EKS dal monitoraggio quando l'agente GuardDuty di sicurezza non è stato distribuito su questo cluster
Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent è stato distribuito su questo cluster
|
Monitorare cluster EKS selettivi utilizzando i tag di inclusione |
Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi per tutti gli account membri della vostra organizzazione:
|
Gestisci manualmente l'agente di sicurezza GuardDuty |
Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS.
|
Attivazione dell'agente automatizzato per tutti gli account dei membri attivi esistenti
Nota
L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.
Per gestire il GuardDuty Security Agent per gli account dei membri attivi esistenti nell'organizzazione
-
GuardDuty Per ricevere gli eventi di runtime dai cluster EKS che appartengono agli account dei membri attivi esistenti nell'organizzazione, è necessario scegliere un approccio preferito per gestire l'agente di GuardDuty sicurezza per questi cluster EKS. Per ulteriori informazioni su ognuno di questi approcci, consulta Approcci per la gestione GuardDuty degli agenti di sicurezza.
Approccio preferito per la gestione GuardDuty degli agenti di sicurezza
Fasi
Gestisci l'agente di sicurezza tramite GuardDuty
(Monitorare tutti i cluster EKS)
Per monitorare tutti i cluster EKS per tutti gli account membri attivi esistenti
-
Nella pagina Runtime Monitoring, nella scheda Configurazione, è possibile visualizzare lo stato corrente della configurazione automatizzata dell'agente.
-
Nel riquadro di configurazione dell'agente automatizzato, nella sezione Account membri attivi, scegli Azioni.
-
Da Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.
-
Scegli Conferma.
Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)
Scegli lo scenario più adatto a te tra le procedure seguenti.
Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster
-
Aggiungi un tag a questo cluster EKS con la chiave
GuardDutyManaged
e il valore corrispondentefalse
.Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.
Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:
-
Sostituisci
ec2: CreateTags
con.eks:TagResource
-
Sostituisci
ec2: DeleteTags
con.eks:UntagResource
-
Sostituisci
access-project
conGuardDutyManaged
-
Sostituisci
123456789012
con l' Account AWS ID dell'entità affidabile.Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .
-
Nel pannello di navigazione, scegli Runtime Monitoring.
Nota
Aggiungi sempre il tag di esclusione ai tuoi cluster EKS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.
-
Nella scheda Configurazione, nel riquadro Configurazione automatizzata dell'agente, in Account membri attivi, scegli Azioni.
-
Da Operazioni, scegli Abilita per tutti gli account membri attivi.
-
Scegli Conferma.
Per escludere un cluster EKS dal monitoraggio dopo che il GuardDuty security agent è già stato distribuito su questo cluster
-
Aggiungi un tag a questo cluster EKS con la chiave
GuardDutyManaged
e il valore corrispondentefalse
.Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.
Dopo questo passaggio, non GuardDuty aggiornerà il security agent per questo cluster. Tuttavia, il security agent rimarrà distribuito e GuardDuty continuerà a ricevere gli eventi di runtime da questo cluster EKS. Ciò potrebbe influire sulle statistiche di utilizzo.
Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:
-
Sostituisci
ec2: CreateTags
con.eks:TagResource
-
Sostituisci
ec2: DeleteTags
con.eks:UntagResource
-
Sostituisci
access-project
conGuardDutyManaged
-
Sostituisci
123456789012
con l' Account AWS ID dell'entità affidabile.Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Indipendentemente dal modo in cui gestisci il security agent (tramite GuardDuty o manualmente), per interrompere la ricezione degli eventi di runtime da questo cluster, devi rimuovere l'agente di sicurezza distribuito da questo cluster EKS. Per ulteriori informazioni sulla rimozione dell'agente di sicurezza implementato, consulta Impatto della disabilitazione e della pulizia delle risorse.
Monitorare cluster EKS selettivi utilizzando i tag di inclusione
-
Nella pagina Account, dopo aver abilitato Runtime Monitoring, non attivate Runtime Monitoring - Configurazione automatica dell'agente.
-
Aggiungi un tag al cluster EKS che appartiene all'account selezionato che desideri monitorare. La coppia chiave-valore del tag deve essere
GuardDutyManaged
-true
.Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.
GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per i cluster EKS selettivi che si desidera monitorare.
Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:
-
Sostituisci
ec2:
con. CreateTagseks:TagResource
-
Sostituisci
ec2: DeleteTags
con.eks:UntagResource
-
Sostituisci
access-project
conGuardDutyManaged
-
Sostituisci
123456789012
con l' Account AWS ID dell'entità affidabile.Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
Gestisci manualmente l'agente di sicurezza GuardDuty
-
Assicurati di non scegliere Abilita nella sezione Configurazione automatica dell'agente. Mantieni abilitato il monitoraggio del runtime.
-
Selezionare Salva.
-
Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.
-
Abilita automaticamente la configurazione automatica degli agenti per i nuovi membri
Approccio preferito per gestire l'agente GuardDuty di sicurezza |
Fasi |
---|---|
Gestisci l'agente di sicurezza tramite GuardDuty (Monitorare tutti i cluster EKS) |
|
Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione) |
Scegli lo scenario più adatto a te tra le procedure seguenti. Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster
Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent è stato distribuito su questo cluster
|
Monitorare cluster EKS selettivi utilizzando i tag di inclusione |
Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi per i nuovi account membro della vostra organizzazione.
|
Gestisci manualmente l'agente di sicurezza GuardDuty |
Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS.
|
Configurazione selettiva dell'agente automatizzato per gli account dei membri attivi
Approccio preferito per gestire l'agente di sicurezza GuardDuty |
Fasi |
---|---|
Gestisci l'agente di sicurezza tramite GuardDuty (Monitorare tutti i cluster EKS) |
|
Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione) |
Scegli lo scenario più adatto a te tra le procedure seguenti. Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster
Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent è stato distribuito su questo cluster
|
Monitorare cluster EKS selettivi utilizzando i tag di inclusione |
Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi che appartengono agli account selezionati:
|
Gestisci manualmente l'agente di sicurezza GuardDuty |
|