翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EKSクラスター - GuardDuty セキュリティエージェントを管理するためのアプローチ
がアカウントレベルまたはEKSクラスターレベルでクラスターからのランタイムイベント GuardDuty を使用するには、対応するクラスター GuardDuty のセキュリティエージェントを管理する必要があります。
セキュリティエージェントを管理する GuardDutyためのアプローチ
2023 年 9 月 13 日より前は、セキュリティエージェントをアカウントレベルで管理 GuardDuty するように を設定できます。この動作は、デフォルトでは、 GuardDuty に属するすべてのEKSクラスターでセキュリティエージェントを管理することを示しています。 AWS アカウント。 では、セキュリティエージェント GuardDuty を管理するEKSクラスターの選択に役立つきめ細かい機能 GuardDuty が提供されます。
を選択した場合でも GuardDuty セキュリティエージェントの手動管理、モニタリングするEKSクラスターを選択できます。ただし、エージェントを手動で管理するには、 の Amazon VPCエンドポイントを作成します。 AWS アカウント は前提条件です。
注記
GuardDuty セキュリティエージェントの管理に使用するアプローチに関係なく、Runtime Monitoring EKS は常にアカウントレベルで有効になります。
によるセキュリティエージェントの管理 GuardDuty
GuardDuty は、ユーザーに代わってセキュリティエージェントをデプロイおよび管理します。次のいずれかの方法で、アカウントのEKSクラスターをいつでもモニタリングできます。
すべてのEKSクラスターをモニタリングする
-
このアプローチを使用するタイミング — アカウント内のすべてのEKSクラスターのセキュリティエージェントをデプロイおよび管理 GuardDuty する場合は、このアプローチを使用します。デフォルトでは、 GuardDuty はアカウントで作成された新しいEKSクラスターにセキュリティエージェントをデプロイします。
-
このアプローチを使用した場合の影響:
-
GuardDuty は、 GuardDuty セキュリティエージェントがランタイムイベントを に配信する Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成します GuardDuty。を通じてセキュリティエージェントを管理する場合、Amazon VPCエンドポイントの作成に追加コストはかかりません GuardDuty。
-
ワーカーノードには、アクティブな
guardduty-data
VPCエンドポイントへの有効なネットワークパスが必要です。 は、セキュリティエージェントをEKSクラスターに GuardDuty デプロイします。Amazon Elastic Kubernetes Service (Amazon EKS) は、EKSクラスター内のノードへのセキュリティエージェントのデプロイを調整します。 -
IP 可用性に基づいて、 はVPCエンドポイントを作成するサブネット GuardDuty を選択します。高度なネットワークトポロジを使用する場合は、接続が可能であることを検証する必要があります。
-
-
考慮事項 — 現在、このオプションを使用する場合、EKSRuntime Monitoring は共有 を作成しませんVPC。
すべてのEKSクラスターをモニタリングし、選択的EKSクラスターを除外する
-
このアプローチを使用するタイミング — アカウント内のすべてのEKSクラスターのセキュリティエージェント GuardDuty を管理するが、選択的なEKSクラスターを除外する場合は、このアプローチを使用します。この方法では、ランタイムイベントを受信したくないEKSクラスターにタグを付けることができるタグベース 1 アプローチを使用します。事前定義されたタグには、キーと値のペアとして
GuardDutyManaged
-false
が必要です。 -
このアプローチを使用した場合の影響:
-
このアプローチでは、モニタリングから除外するEKSクラスターにタグを追加した後にのみ、 GuardDuty エージェントの自動管理を有効にする必要があります。
そのため、「によるセキュリティエージェントの管理 GuardDuty」の場合の影響がこのアプローチにも適用されます。エージェント GuardDuty の自動管理を有効にする前にタグを追加すると、 はモニタリングから除外されたEKSクラスターのセキュリティエージェントをデプロイも管理も GuardDuty しません。
-
-
考慮事項:
-
自動エージェント設定を有効にするEKS前に、タグのキーと値のペア
GuardDutyManaged
を: としてfalse
追加する必要があります。追加しないと、タグを使用するまで GuardDuty セキュリティエージェントがすべてのEKSクラスターにデプロイされます。 -
信頼できる ID 以外により、タグが変更されないようにする必要があります。
重要
サービスコントロールポリシーまたは IAMポリシーを使用して、EKSクラスターの
GuardDutyManaged
タグの値を変更するためのアクセス許可を管理します。詳細については、「」の「サービスコントロールポリシー (SCPs)」を参照してください。 AWS Organizations ユーザーガイドまたは へのアクセスコントロール AWSIAM ユーザーガイドの リソース。 モニタリングしたくない新しい可能性のあるEKSクラスターの場合は、このEKSクラスターの作成時に
GuardDutyManaged
-false
キーと値のペアを追加してください。-
このアプローチには、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ考慮事項があります。
-
選択EKSクラスターのモニタリング
-
このアプローチを使用するタイミング — このアプローチは GuardDuty 、アカウント内の選択的EKSクラスターに対してのみ、セキュリティエージェントに更新をデプロイおよび管理する場合に使用します。この方法では、ランタイムイベントを受信するEKSクラスターにタグを付けることができるタグベース 1 アプローチを使用します。
-
このアプローチを使用した場合の影響:
-
包含タグを使用すると、 は、キーと値のペアとして
GuardDutyManaged
-true
でタグ付けされた選択的なEKSクラスターに対してのみ、セキュリティエージェント GuardDuty を自動的にデプロイおよび管理します。 -
このアプローチを使用した場合も、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ影響があります。
-
-
考慮事項:
-
GuardDutyManaged
タグの値が に設定されていない場合true
、包含タグは期待どおりに機能せず、EKSクラスターのモニタリングに影響する可能性があります。 -
選択的EKSクラスターがモニタリングされていることを確認するには、信頼できる ID を除き、タグが変更されないようにする必要があります。
重要
サービスコントロールポリシーまたは IAMポリシーを使用して、EKSクラスターの
GuardDutyManaged
タグの値を変更するためのアクセス許可を管理します。詳細については、「」の「サービスコントロールポリシー (SCPs)」を参照してください。 AWS Organizations ユーザーガイドまたは へのアクセスコントロール AWSIAM ユーザーガイドの リソース。 モニタリングしたくない新しい可能性のあるEKSクラスターの場合は、このEKSクラスターの作成時に
GuardDutyManaged
-false
キーと値のペアを追加してください。-
このアプローチには、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ考慮事項があります。
-
1選択的EKSクラスターのタグ付けの詳細については、「Amazon ユーザーガイド」の「Amazon EKSリソースのタグ付け」を参照してください。 EKS
GuardDuty セキュリティエージェントの手動管理
-
このアプローチを使用するタイミング — このアプローチは、すべてのEKSクラスターで GuardDuty セキュリティエージェントを手動でデプロイおよび管理する場合に使用します。アカウントで EKS Runtime Monitoring が有効になっていることを確認します。EKS Runtime Monitoring GuardDutyを有効にしないと、セキュリティエージェントが期待どおりに動作しない可能性があります。
-
このアプローチを使用した場合の影響 – すべてのアカウントおよび のEKSクラスター内の GuardDuty セキュリティエージェントソフトウェアのデプロイを調整する必要があります。 AWS リージョン この機能が利用可能な 。
-
考慮事項 – 新しいクラスターやワークロードが継続的にデプロイされるにつれて、カバレッジのギャップをモニタリングして対処しながら、安全なデータフローをサポートする必要があります。