Gestione automatica dell'agente di sicurezza per i cluster Amazon EKS - Amazon GuardDuty
Configurazione dell'agente automatizzato per un account indipendenteConfigurazione dell'agente automatizzato per ambienti con più account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione automatica dell'agente di sicurezza per i cluster Amazon EKS

Configurazione dell'agente automatizzato per un account indipendente

  1. Accedi AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Nel pannello di navigazione, scegli Runtime Monitoring.

  3. Nella scheda Configurazione, scegli Abilita per abilitare la configurazione automatica degli agenti per il tuo account.

    Approccio preferito per implementare un agente GuardDuty di sicurezza

    Fasi

    Gestisci l'agente di sicurezza tramite GuardDuty

    (Monitorare tutti i cluster EKS)

    1. Scegli Abilita nella sezione Configurazione automatica dell'agente. GuardDuty gestirà l'implementazione e gli aggiornamenti del security agent per tutti i cluster EKS esistenti e potenzialmente nuovi nel tuo account.

    2. Selezionare Salva.

    Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)

    Scegli lo scenario più adatto a te tra le procedure seguenti.

    Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster

    1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

      Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

    2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

      • Sostituisci ec2: CreateTags con. eks:TagResource

      • Sostituisci ec2: DeleteTags con. eks:UntagResource

      • Sostituisci access-project con GuardDutyManaged

      • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

        Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .

    4. Nel pannello di navigazione, scegli Runtime Monitoring.

      Nota

      Aggiungi sempre il tag di esclusione ai tuoi cluster EKS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, l'agente GuardDuty di sicurezza verrà distribuito su tutti i cluster EKS del tuo account.

    5. Nella scheda Configurazione, scegli Abilita nella sezione Gestione degli agenti. GuardDuty

      Per i cluster EKS che non sono stati esclusi dal monitoraggio, GuardDuty gestirà la distribuzione e gli aggiornamenti del GuardDuty security agent.

    6. Selezionare Salva.

    Per escludere un cluster EKS dal monitoraggio dopo che il GuardDuty security agent è già stato distribuito su questo cluster

    1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

      Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

      Dopo questo passaggio, non GuardDuty aggiornerà il security agent per questo cluster. Tuttavia, il security agent rimarrà distribuito e GuardDuty continuerà a ricevere gli eventi di runtime da questo cluster EKS. Ciò potrebbe influire sulle statistiche di utilizzo.

    2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

      • Sostituisci ec2: CreateTags con. eks:TagResource

      • Sostituisci ec2: DeleteTags con. eks:UntagResource

      • Sostituisci access-project con GuardDutyManaged

      • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

        Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. È necessario rimuovere l'agente di sicurezza implementato dal cluster EKS per interrompere la ricezione degli eventi di runtime dal cluster in questione. Per ulteriori informazioni sulla rimozione dell'agente di sicurezza implementato, consulta Impatto della disabilitazione e della pulizia delle risorse.

    Monitorare cluster EKS selettivi utilizzando i tag di inclusione

    1. Assicurati di scegliere Disabilita nella sezione Configurazione automatica dell'agente. Mantieni abilitato il monitoraggio del runtime.

    2. Seleziona Salva

    3. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente true.

      Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

      GuardDuty gestirà l'implementazione e gli aggiornamenti del security agent per i cluster EKS selettivi che desideri monitorare.

    4. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

      • Sostituisci ec2: con. CreateTags eks:TagResource

      • Sostituisci ec2: DeleteTags con. eks:UntagResource

      • Sostituisci access-project con GuardDutyManaged

      • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

        Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gestire l'agente manualmente

    1. Assicurati di scegliere Disabilita nella sezione Configurazione automatica dell'agente. Mantieni abilitato il monitoraggio del runtime.

    2. Selezionare Salva.

    3. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

Configurazione dell'agente automatizzato per ambienti con più account

In ambienti con più account, solo l'account GuardDuty amministratore delegato può abilitare o disabilitare la configurazione automatizzata degli agenti per gli account dei membri e gestire l'agente automatizzato per i cluster EKS appartenenti agli account membro dell'organizzazione. GuardDuty Gli account dei membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce gli account dei membri utilizzando AWS Organizations. Per ulteriori informazioni sugli ambienti multi-account, consulta Gestione di più account.

Configurazione della configurazione automatizzata dell'agente per l'account amministratore delegato GuardDuty

Approccio preferito per gestire il Security Agent GuardDuty

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty

(Monitorare tutti i cluster EKS)

Se hai scelto Abilita per tutti gli account nella sezione Runtime Monitoring, hai le seguenti opzioni:

  • Scegli Abilita per tutti gli account nella sezione Configurazione automatica dell'agente. GuardDuty implementerà e gestirà l'agente di sicurezza per tutti i cluster EKS che appartengono all'account GuardDuty amministratore delegato e anche per tutti i cluster EKS che appartengono a tutti gli account membro esistenti e potenzialmente nuovi dell'organizzazione.

  • Scegli Configura gli account manualmente.

Se hai scelto Configura gli account manualmente nella sezione Runtime Monitoring, procedi come segue:

  1. Scegli Configura gli account manualmente nella sezione Configurazione automatica degli agenti.

  2. Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).

Selezionare Salva.

Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione)

Scegli lo scenario più adatto a te tra le procedure seguenti.

Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster

  1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: CreateTags con. eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .

  4. Nel pannello di navigazione, scegli Runtime Monitoring.

    Nota

    Aggiungi sempre il tag di esclusione ai tuoi cluster EKS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, l'agente GuardDuty di sicurezza verrà distribuito su tutti i cluster EKS del tuo account.

  5. Nella scheda Configurazione, scegli Abilita nella sezione Gestione degli agenti. GuardDuty

    Per i cluster EKS che non sono stati esclusi dal monitoraggio, GuardDuty gestirà la distribuzione e gli aggiornamenti del GuardDuty security agent.

  6. Selezionare Salva.

Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent è stato distribuito su questo cluster

  1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: CreateTags con. eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se l'agente automatizzato era abilitato per questo cluster EKS, dopo questo passaggio non GuardDuty aggiornerà il security agent per questo cluster. Tuttavia, il security agent rimarrà distribuito e GuardDuty continuerà a ricevere gli eventi di runtime da questo cluster EKS. Ciò potrebbe influire sulle statistiche di utilizzo.

    È necessario rimuovere l'agente di sicurezza implementato dal cluster EKS per interrompere la ricezione degli eventi di runtime dal cluster in questione. Per ulteriori informazioni sulla rimozione dell'agente di sicurezza implementato, consulta Impatto della disabilitazione e della pulizia delle risorse

  4. Se stavi gestendo manualmente il GuardDuty security agent per questo cluster EKS, Impatto della disabilitazione e della pulizia delle risorse consulta.

Monitorare cluster EKS selettivi utilizzando i tag di inclusione

Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi nel vostro account:

  1. Assicurati di scegliere Disattiva per l'account GuardDuty amministratore delegato (questo account) nella sezione Configurazione automatica dell'agente. Mantieni la configurazione di Runtime Monitoring uguale a quella configurata nel passaggio precedente.

  2. Selezionare Salva.

  3. Aggiungi un tag al cluster EKS con la chiave GuardDutyManaged e il valore corrispondente true.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

    GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per i cluster EKS selettivi che si desidera monitorare.

  4. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: con. CreateTags eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestisci manualmente l'agente di sicurezza GuardDuty

Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS.

  1. Assicurati di scegliere Disabilita per l'account GuardDuty amministratore delegato (questo account) nella sezione Configurazione automatica dell'agente. Mantieni la configurazione di Runtime Monitoring uguale a quella configurata nel passaggio precedente.

  2. Selezionare Salva.

  3. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

Abilita automaticamente l'agente automatizzato per tutti gli account dei membri

Nota

L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

Approccio preferito per gestire l'agente GuardDuty di sicurezza

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty

(Monitorare tutti i cluster EKS)

Questo argomento riguarda l'abilitazione del monitoraggio del runtime per tutti gli account membri e, pertanto, i passaggi seguenti presuppongono che sia necessario aver scelto Abilita per tutti gli account nella sezione Runtime Monitoring.

  1. Scegli Abilita per tutti gli account nella sezione Configurazione automatica dell'agente. GuardDuty implementerà e gestirà l'agente di sicurezza per tutti i cluster EKS che appartengono all'account GuardDuty amministratore delegato e anche per tutti i cluster EKS che appartengono a tutti gli account membro esistenti e potenzialmente nuovi dell'organizzazione.

  2. Selezionare Salva.

Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione)

Scegli lo scenario più adatto a te tra le procedure seguenti.

Per escludere un cluster EKS dal monitoraggio quando l'agente GuardDuty di sicurezza non è stato distribuito su questo cluster

  1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: CreateTags con. eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .

  4. Nel pannello di navigazione, scegli Runtime Monitoring.

    Nota

    Aggiungi sempre il tag di esclusione ai tuoi cluster EKS prima di abilitare Automated Agent per il tuo account; in caso contrario, l'agente di GuardDuty sicurezza verrà distribuito su tutti i cluster EKS del tuo account.

  5. Nella scheda Configurazione, scegli Modifica nella sezione Configurazione di Runtime Monitoring.

  6. Scegli Abilita per tutti gli account nella sezione Configurazione automatica dell'agente. Per i cluster EKS che non sono stati esclusi dal monitoraggio, GuardDuty gestirà la distribuzione e gli aggiornamenti del GuardDuty security agent.

  7. Selezionare Salva.

Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent è stato distribuito su questo cluster

  1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

  2. Se la configurazione automatizzata dell'agente era abilitata per questo cluster EKS, dopo questo passaggio non GuardDuty aggiornerà l'agente di sicurezza per questo cluster. Tuttavia, l'agente di sicurezza rimarrà distribuito e GuardDuty continuerà a ricevere gli eventi di runtime da questo cluster EKS. Ciò potrebbe influire sulle statistiche di utilizzo.

    È necessario rimuovere l'agente di sicurezza implementato dal cluster EKS per interrompere la ricezione degli eventi di runtime dal cluster in questione. Per ulteriori informazioni sulla rimozione dell'agente di sicurezza implementato, consulta Impatto della disabilitazione e della pulizia delle risorse

  3. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: CreateTags con. eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. Se stavi gestendo manualmente il GuardDuty security agent per questo cluster EKS, vedi. Impatto della disabilitazione e della pulizia delle risorse

Monitorare cluster EKS selettivi utilizzando i tag di inclusione

Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi per tutti gli account membri della vostra organizzazione:

  1. Non abilitate alcuna configurazione nella sezione Configurazione automatica dell'agente. Mantieni la configurazione di Runtime Monitoring uguale a quella configurata nel passaggio precedente.

  2. Selezionare Salva.

  3. Aggiungi un tag al cluster EKS con la chiave GuardDutyManaged e il valore corrispondente true.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

    GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per i cluster EKS selettivi che si desidera monitorare.

  4. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: con. CreateTags eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestisci manualmente l'agente di sicurezza GuardDuty

Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS.

  1. Non abilitate alcuna configurazione nella sezione Configurazione automatizzata dell'agente. Mantieni la configurazione di Runtime Monitoring uguale a quella configurata nel passaggio precedente.

  2. Selezionare Salva.

  3. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

Attivazione dell'agente automatizzato per tutti gli account dei membri attivi esistenti

Nota

L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

Per gestire il GuardDuty Security Agent per gli account dei membri attivi esistenti nell'organizzazione

  • GuardDuty Per ricevere gli eventi di runtime dai cluster EKS che appartengono agli account dei membri attivi esistenti nell'organizzazione, è necessario scegliere un approccio preferito per gestire l'agente di GuardDuty sicurezza per questi cluster EKS. Per ulteriori informazioni su ognuno di questi approcci, consulta Approcci per la gestione GuardDuty degli agenti di sicurezza.

    Approccio preferito per la gestione GuardDuty degli agenti di sicurezza

    Fasi

    Gestisci l'agente di sicurezza tramite GuardDuty

    (Monitorare tutti i cluster EKS)
    Per monitorare tutti i cluster EKS per tutti gli account membri attivi esistenti

    1. Nella pagina Runtime Monitoring, nella scheda Configurazione, è possibile visualizzare lo stato corrente della configurazione automatizzata dell'agente.

    2. Nel riquadro di configurazione dell'agente automatizzato, nella sezione Account membri attivi, scegli Azioni.

    3. Da Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.

    4. Scegli Conferma.

    Monitorare tutti i cluster EKS escludendone alcuni (tramite il tag di esclusione)

    Scegli lo scenario più adatto a te tra le procedure seguenti.

    Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster

    1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

      Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

    2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

      • Sostituisci ec2: CreateTags con. eks:TagResource

      • Sostituisci ec2: DeleteTags con. eks:UntagResource

      • Sostituisci access-project con GuardDutyManaged

      • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

        Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .

    4. Nel pannello di navigazione, scegli Runtime Monitoring.

      Nota

      Aggiungi sempre il tag di esclusione ai tuoi cluster EKS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.

    5. Nella scheda Configurazione, nel riquadro Configurazione automatizzata dell'agente, in Account membri attivi, scegli Azioni.

    6. Da Operazioni, scegli Abilita per tutti gli account membri attivi.

    7. Scegli Conferma.

    Per escludere un cluster EKS dal monitoraggio dopo che il GuardDuty security agent è già stato distribuito su questo cluster

    1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

      Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

      Dopo questo passaggio, non GuardDuty aggiornerà il security agent per questo cluster. Tuttavia, il security agent rimarrà distribuito e GuardDuty continuerà a ricevere gli eventi di runtime da questo cluster EKS. Ciò potrebbe influire sulle statistiche di utilizzo.

    2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

      • Sostituisci ec2: CreateTags con. eks:TagResource

      • Sostituisci ec2: DeleteTags con. eks:UntagResource

      • Sostituisci access-project con GuardDutyManaged

      • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

        Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Indipendentemente dal modo in cui gestisci il security agent (tramite GuardDuty o manualmente), per interrompere la ricezione degli eventi di runtime da questo cluster, devi rimuovere l'agente di sicurezza distribuito da questo cluster EKS. Per ulteriori informazioni sulla rimozione dell'agente di sicurezza implementato, consulta Impatto della disabilitazione e della pulizia delle risorse.

    Monitorare cluster EKS selettivi utilizzando i tag di inclusione

    1. Nella pagina Account, dopo aver abilitato Runtime Monitoring, non attivate Runtime Monitoring - Configurazione automatica dell'agente.

    2. Aggiungi un tag al cluster EKS che appartiene all'account selezionato che desideri monitorare. La coppia chiave-valore del tag deve essere GuardDutyManaged-true.

      Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

      GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per i cluster EKS selettivi che si desidera monitorare.

    3. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

      • Sostituisci ec2: con. CreateTags eks:TagResource

      • Sostituisci ec2: DeleteTags con. eks:UntagResource

      • Sostituisci access-project con GuardDutyManaged

      • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

        Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gestisci manualmente l'agente di sicurezza GuardDuty

    1. Assicurati di non scegliere Abilita nella sezione Configurazione automatica dell'agente. Mantieni abilitato il monitoraggio del runtime.

    2. Selezionare Salva.

    3. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

Abilita automaticamente la configurazione automatica degli agenti per i nuovi membri

Approccio preferito per gestire l'agente GuardDuty di sicurezza

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty

(Monitorare tutti i cluster EKS)

  1. Nella pagina Runtime Monitoring, scegli Modifica per aggiornare la configurazione esistente.

  2. Nella sezione Configurazione automatizzata dell'agente, seleziona Abilita automaticamente per nuovi account membro.

  3. Selezionare Salva.

Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione)

Scegli lo scenario più adatto a te tra le procedure seguenti.

Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster

  1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: CreateTags con. eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .

  4. Nel pannello di navigazione, scegli Runtime Monitoring.

    Nota

    Aggiungi sempre il tag di esclusione ai tuoi cluster EKS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.

  5. Nella scheda Configurazione, seleziona Abilita automaticamente gli account dei nuovi membri nella sezione Gestione degli GuardDuty agenti.

    Per i cluster EKS che non sono stati esclusi dal monitoraggio, GuardDuty gestirà la distribuzione e gli aggiornamenti del GuardDuty security agent.

  6. Selezionare Salva.

Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent è stato distribuito su questo cluster

  1. Indipendentemente dal fatto che gestiate il GuardDuty security agent tramite GuardDuty o manualmente, aggiungete un tag a questo cluster EKS con la chiave as GuardDutyManaged e il relativo valore. false

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

    Se l'agente automatizzato era abilitato per questo cluster EKS, dopo questo passaggio non GuardDuty aggiornerà l'agente di sicurezza per questo cluster. Tuttavia, l'agente di sicurezza rimarrà distribuito e GuardDuty continuerà a ricevere gli eventi di runtime da questo cluster EKS. Ciò potrebbe influire sulle statistiche di utilizzo.

    È necessario rimuovere l'agente di sicurezza implementato dal cluster EKS per interrompere la ricezione degli eventi di runtime dal cluster in questione. Per ulteriori informazioni sulla rimozione dell'agente di sicurezza implementato, consulta Impatto della disabilitazione e della pulizia delle risorse

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: CreateTags con. eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se stavi gestendo manualmente il GuardDuty security agent per questo cluster EKS, vedi. Impatto della disabilitazione e della pulizia delle risorse

Monitorare cluster EKS selettivi utilizzando i tag di inclusione

Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi per i nuovi account membro della vostra organizzazione.

  1. Assicurati di deselezionare Abilita automaticamente per nuovi account membro nella sezione Configurazione automatica degli agenti. Mantieni la configurazione di Runtime Monitoring uguale a quella configurata nel passaggio precedente.

  2. Selezionare Salva.

  3. Aggiungi un tag al cluster EKS con la chiave GuardDutyManaged e il valore corrispondente true.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

    GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per i cluster EKS selettivi che si desidera monitorare.

  4. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: con. CreateTags eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestisci manualmente l'agente di sicurezza GuardDuty

Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, potete gestire manualmente il security agent per i vostri cluster EKS.

  1. Assicurati di deselezionare la casella di controllo Abilita automaticamente gli account dei nuovi membri nella sezione Configurazione automatica degli agenti. Mantieni la configurazione di Runtime Monitoring uguale a quella configurata nel passaggio precedente.

  2. Selezionare Salva.

  3. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.

Configurazione selettiva dell'agente automatizzato per gli account dei membri attivi

Approccio preferito per gestire l'agente di sicurezza GuardDuty

Fasi

Gestisci l'agente di sicurezza tramite GuardDuty

(Monitorare tutti i cluster EKS)

  1. Nella pagina Account, seleziona gli account per i quali desideri abilitare la configurazione automatica degli agenti. Puoi selezionare più di un account alla volta. Assicurati che il monitoraggio del runtime EKS sia già abilitato per gli account selezionati in questa fase.

  2. Da Modifica piani di protezione, scegli l'opzione appropriata per abilitare Runtime Monitoring - Configurazione automatica degli agenti.

  3. Scegli Conferma.

Monitorare tutti i cluster EKS escludendone alcuni (tramite i tag di esclusione)

Scegli lo scenario più adatto a te tra le procedure seguenti.

Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent non è stato distribuito su questo cluster

  1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: CreateTags con. eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .

    Nota

    Aggiungi sempre il tag di esclusione ai tuoi cluster EKS prima di abilitare la configurazione automatizzata dell'agente per il tuo account; in caso contrario, il GuardDuty security agent verrà distribuito su tutti i cluster EKS del tuo account.

  4. Nella pagina Account, seleziona l'account per il quale desideri abilitare Gestisci automaticamente l'agente. Puoi selezionare più di un account alla volta.

  5. Da Modifica piani di protezione, scegliete l'opzione appropriata per abilitare la configurazione automatica dell'agente di monitoraggio del runtime per l'account selezionato.

    Per i cluster EKS che non sono stati esclusi dal monitoraggio, GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent. GuardDuty

  6. Selezionare Salva.

Per escludere un cluster EKS dal monitoraggio quando il GuardDuty security agent è stato distribuito su questo cluster

  1. Aggiungi un tag a questo cluster EKS con la chiave GuardDutyManaged e il valore corrispondente false.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

    Se in precedenza era stata abilitata la configurazione dell'agente automatizzato per questo cluster EKS, dopo questo passaggio non GuardDuty aggiornerà il security agent per questo cluster. Tuttavia, l'agente di sicurezza rimarrà distribuito e GuardDuty continuerà a ricevere gli eventi di runtime da questo cluster EKS. Ciò potrebbe influire sulle statistiche di utilizzo.

    È necessario rimuovere l'agente di sicurezza implementato dal cluster EKS per interrompere la ricezione degli eventi di runtime dal cluster in questione. Per ulteriori informazioni sulla rimozione dell'agente di sicurezza implementato, consulta Impatto della disabilitazione e della pulizia delle risorse

  2. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: CreateTags con. eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se stavi gestendo manualmente il GuardDuty security agent per questo cluster EKS, devi rimuoverlo. Per ulteriori informazioni, consulta Impatto della disabilitazione e della pulizia delle risorse.

Monitorare cluster EKS selettivi utilizzando i tag di inclusione

Indipendentemente dal modo in cui avete scelto di abilitare il Runtime Monitoring, i seguenti passaggi vi aiuteranno a monitorare i cluster EKS selettivi che appartengono agli account selezionati:

  1. Assicuratevi di non abilitare la configurazione automatica degli agenti di Runtime Monitoring-Automated per gli account selezionati che dispongono dei cluster EKS che desiderate monitorare.

  2. Aggiungi un tag al cluster EKS con la chiave GuardDutyManaged e il valore corrispondente true.

    Per ulteriori informazioni sull'assegnazione di tag al cluster Amazon EKS, consulta Utilizzo di tag tramite la console nella Guida per l'utente di Amazon EKS.

    Dopo aver aggiunto il tag, GuardDuty gestirà la distribuzione e gli aggiornamenti del security agent per i cluster EKS selettivi che desideri monitorare.

  3. Per consentire la modifica dei tag solo alle entità attendibili, utilizza la policy fornita in Impedire la modifica dei tag se non da parte dei principali autorizzati nella Guida per l'utente di AWS Organizations . Sostituisci i seguenti dettagli nella policy:

    • Sostituisci ec2: con. CreateTags eks:TagResource

    • Sostituisci ec2: DeleteTags con. eks:UntagResource

    • Sostituisci access-project con GuardDutyManaged

    • Sostituisci 123456789012 con l' Account AWS ID dell'entità affidabile.

      Se hai diverse entità attendibili, utilizza l'esempio seguente per aggiungere più PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gestisci manualmente l'agente di sicurezza GuardDuty

  1. Mantieni la configurazione di Runtime Monitoring uguale a quella configurata nel passaggio precedente. Assicurati di non abilitare Runtime Monitoring - Configurazione automatica degli agenti per nessuno degli account selezionati.

  2. Scegli Conferma.

  3. Per gestire l'agente di sicurezza, consulta Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS.