EKS Runtime Monitoring の設定 (API のみ) - Amazon GuardDuty
スタンドアロンアカウントの EKS Runtime Monitoring の設定マルチアカウント環境の EKS Runtime Monitoring の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EKS Runtime Monitoring の設定 (API のみ)

アカウントで EKS Runtime Monitoring を設定する前に、現在使用中の Kubernetes バージョンをサポートする検証済みプラットフォームのいずれかを使用していることを確認してください。詳細については、「アーキテクチャ要件の検証」を参照してください。

GuardDuty は、Runtime Monitoring EKS のコンソールエクスペリエンスを Runtime Monitoring に統合しました。 GuardDuty は EKS Runtime Monitoring 設定ステータスの確認と を推奨しますRuntime Monitoring EKS から Runtime Monitoring への移行

Runtime Monitoring への移行の一環として、 を必ず に移行してくださいEKS ランタイムモニタリングを無効にする。後で Runtime Monitoring を無効にし、Runtime Monitoring EKS を無効にしない場合、Runtime Monitoring EKS の使用コストが引き続き発生するため、これは重要です。

スタンドアロンアカウントの EKS Runtime Monitoring の設定

AWS Organizations に関連するアカウントについては、「マルチアカウント環境の EKS Runtime Monitoring の設定」を参照してください。

任意のアクセス方法を選択して、アカウントの Runtime Monitoring EKS を有効にします。

API/CLI

セキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

GuardDuty セキュリティエージェントを管理するための推奨アプローチ

ステップ

によるセキュリティエージェントの管理 GuardDuty (すべてのEKSクラスターのモニタリング)

  1. 独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

  2. または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を に設定する前に、必ずEKSクラスターに除外タグを追加してくださいEKS_RUNTIME_MONITORINGENABLED。追加しないと、 GuardDuty セキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

選択EKSクラスターのモニタリング (包含タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

セキュリティエージェントの手動管理

  1. 独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。

マルチアカウント環境の EKS Runtime Monitoring の設定

マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみがメンバーアカウントの Runtime Monitoring EKS を有効または無効にし、組織内のメンバーアカウントに属するEKSクラスターの GuardDuty エージェント管理を管理できます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。マルチアカウント環境の詳細については、「複数のアカウントの管理」を参照してください。

任意のアクセス方法を選択して Runtime Monitoring EKS を有効にし、委任 GuardDuty 管理者アカウントに属するEKSクラスターのセキュリティエージェントを管理します GuardDuty。

API/CLI

セキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

GuardDuty セキュリティエージェントを管理するための推奨アプローチ

ステップ

によるセキュリティエージェントの管理 GuardDuty (すべてのEKSクラスターのモニタリング)

独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を に設定する前に、必ずEKSクラスターに除外タグを追加してくださいEKS_RUNTIME_MONITORINGENABLED。追加しないと、 GuardDuty セキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

選択EKSクラスターのモニタリング (包含タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

セキュリティエージェントの手動管理

  1. 独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。

任意のアクセス方法を選択して、すべてのメンバーアカウントの Runtime Monitoring EKS を有効にします。これには、委任された GuardDuty 管理者アカウント、既存のメンバーアカウント、および組織に参加する新しいアカウントが含まれます。これらのメンバーアカウントに属するEKSクラスター GuardDuty のセキュリティエージェントを管理するための任意のアプローチを選択します。

API/CLI

セキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

GuardDuty セキュリティエージェントを管理するための推奨アプローチ

ステップ

によるセキュリティエージェントの管理 GuardDuty (すべてのEKSクラスターのモニタリング)

メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を に設定する前に、必ずEKSクラスターに除外タグを追加してくださいEKS_RUNTIME_MONITORINGENABLED。追加しないと、 GuardDuty セキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を EKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

選択EKSクラスターのモニタリング (包含タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

セキュリティエージェントの手動管理

  1. 独自のリージョンレベルのディテクター ID updateDetectorAPIを使用して を実行し、featuresオブジェクト名を としてEKS_RUNTIME_MONITORING、ステータスを として渡しますENABLED

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。

任意のアクセス方法を選択して Runtime Monitoring EKS を有効にし、組織内の既存のアクティブなメンバーアカウントの GuardDuty セキュリティエージェントを管理します。

API/CLI

セキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

GuardDuty セキュリティエージェントを管理するための推奨アプローチ

ステップ

によるセキュリティエージェントの管理 GuardDuty (すべてのEKSクラスターのモニタリング)

メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を に設定する前に、必ずEKSクラスターに除外タグを追加してくださいEKS_RUNTIME_MONITORINGENABLED。追加しないと、 GuardDuty セキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

選択EKSクラスターのモニタリング (包含タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

セキュリティエージェントの手動管理

  1. メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。

委任 GuardDuty 管理者アカウントは Runtime Monitoring EKS を自動的に有効にし、組織に参加する新しいアカウントの GuardDuty セキュリティエージェントを管理する方法を選択できます。

API/CLI

セキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

GuardDuty セキュリティエージェントを管理するための推奨アプローチ

ステップ

によるセキュリティエージェントの管理 GuardDuty (すべてのEKSクラスターのモニタリング)

新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して UpdateOrganizationConfigurationAPIオペレーションを呼び出します。detector ID.

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

次の例では、1 つのアカウントで EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。スペースでIDs区切られたアカウントのリストを渡すこともできます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を に設定する前に、必ずEKSクラスターに除外タグを追加してくださいEKS_RUNTIME_MONITORINGENABLED。追加しないと、 GuardDuty セキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して UpdateOrganizationConfigurationAPIオペレーションを呼び出します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、1 つのアカウントで EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。スペースでIDs区切られたアカウントのリストを渡すこともできます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

選択EKSクラスターのモニタリング (包含タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して UpdateOrganizationConfigurationAPIオペレーションを呼び出します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、1 つのアカウントで EKS_RUNTIME_MONITORING を有効にし、EKS_ADDON_MANAGEMENT を無効にします。スペースでIDs区切られたアカウントのリストを渡すこともできます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

セキュリティエージェントの手動管理

  1. 新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して UpdateOrganizationConfigurationAPIオペレーションを呼び出します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、1 つのアカウントで EKS_RUNTIME_MONITORING を有効にし、EKS_ADDON_MANAGEMENT を無効にします。スペースでIDs区切られたアカウントのリストを渡すこともできます。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。
API/CLI

セキュリティエージェントを管理する GuardDutyためのアプローチ」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。

GuardDuty セキュリティエージェントを管理するための推奨アプローチ

ステップ

によるセキュリティエージェントの管理 GuardDuty (すべてのEKSクラスターのモニタリング)

メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

GuardDuty は、アカウント内のすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

すべてのEKSクラスターをモニタリングするが、一部を除外する (除外タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-false です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注記

    STATUS の を に設定する前に、必ずEKSクラスターに除外タグを追加してくださいEKS_RUNTIME_MONITORINGENABLED。追加しないと、 GuardDuty セキュリティエージェントがアカウント内のすべてのEKSクラスターにデプロイされます。

    メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを ENABLED に設定します。

    GuardDuty は、モニタリングから除外されていないすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT の両方を有効にします。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

選択EKSクラスターのモニタリング (包含タグを使用)

  1. モニタリングから除外するタグをEKSクラスターに追加します。キーと値のペアは GuardDutyManaged-true です。タグの追加の詳細については、「Amazon EKS ユーザーガイド」のCLI「、API、または eksctl を使用したタグの操作」を参照してください。

  2. 信頼できるエンティティ以外によるタグの変更を防ぐには、「AWS Organizations ユーザーガイド」の「許可されたプリンシパル以外のタグが変更されないようにする」に記載されているポリシーを使用してください。このポリシーで、以下の詳細を置き換えます。

    • 置換 ec2:CreateTags eks:TagResource で。

    • 置換 ec2:DeleteTags eks:UntagResource で。

    • 置換 access-projectGuardDutyManaged

    • 置換 123456789012 信頼されたエンティティの AWS アカウント ID を持つ 。

      信頼できるエンティティが複数ある場合は、次の例を使用して複数の PrincipalArn を追加します。

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    GuardDuty は、 GuardDutyManaged-true ペアでタグ付けされたすべての Amazon EKSクラスターのセキュリティエージェントのデプロイと更新を管理します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

    コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

セキュリティエージェントの手動管理

  1. メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを実行します。detector ID.

    EKS_ADDON_MANAGEMENT のステータスを DISABLED に設定します。

    または、独自のリージョンレベルのディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。

    次の例では、EKS_RUNTIME_MONITORING を有効にして、EKS_ADDON_MANAGEMENT を無効にしています。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. セキュリティエージェントを管理するには、「Amazon EKSクラスターのセキュリティエージェントの手動管理」を参照してください。