翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EKS 監査ログのモニタリング
EKS 監査ログのモニタリングは、Amazon Elastic Kubernetes Service 内の EKS クラスターで疑わしいと思われるアクティビティを検出するのに役立ちます。EKS 監査ログのモニタリングを有効にすると、 GuardDuty はすぐに Amazon EKS クラスターEKS 監査ログのモニタリングからのモニタリングを開始し、悪意のあるアクティビティや疑わしいアクティビティがないか分析します。Kubernetes 監査ログイベントは、監査ログの独立した重複ストリームを介して、Amazon EKS コントロールプレーンのログ記録機能から直接消費されます。このプロセスでは、追加の設定は不要で、既存の Amazon EKS コントロールプレーンのログ設定 (存在する場合) に影響はありません。
EKS 監査ログのモニタリングを無効にすると、 は Amazon EKS リソースの EKS 監査ログのモニタリングと分析を GuardDuty 直ちに停止します。
EKS 監査ログのモニタリング GuardDuty は、 AWS リージョン が利用可能なすべての で利用できるとは限りません。詳細については、「リージョン固有機能の可用性」を参照してください。
30 日間の無料トライアル期間が GuardDuty アカウントに与える影響
任意のアクセス方法を選択して、スタンドアロンアカウントのために EKS 監査ログモニタリングを有効または無効にします。
- Console
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
-
ナビゲーションペインで、[EKS Protection] を選択します。
-
[設定] タブでは、EKS 監査ログのモニタリングの現在の設定ステータスを確認できます。[EKS 監査ログモニタリング] セクションで、[有効にする] を選択して EKS 監査ログモニタリング機能を有効にするか、または [無効にする] を選択して無効にします。
[保存] を選択します。
- API/CLI
-
-
委任された GuardDuty 管理者アカウントのリージョンレベルのディテクター ID を使用して updateDetector API オペレーションを実行し、features
オブジェクト名を としてEKS_AUDIT_LOGS
、ステータスを ENABLED
または として渡しますDISABLED
。
または、 AWS CLI コマンドを実行する EKS 監査ログのモニタリングを有効または無効にすることもできます。次のサンプルコードは、 GuardDuty EKS 監査ログのモニタリングを有効にします。無効にするには、ENABLED
を DISABLED
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features [{"Name" : "EKS_AUDIT_LOGS", "Status" : "ENABLED
"}]'
マルチアカウント環境での EKS 監査ログのモニタリングの設定
マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントの EKS 監査ログのモニタリング機能を有効または無効にすることができます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。この委任された GuardDuty 管理者アカウントは、組織に参加するすべての新しいアカウントの EKS 監査ログのモニタリングを自動有効化することを選択できます。マルチアカウント環境の詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。
任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの EKS 監査ログのモニタリングを設定します。
- Console
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
必ず管理アカウントの認証情報を使用してください。
-
ナビゲーションペインで、[EKS Protection] を選択します。
-
[設定] タブでは、各セクションにおける EKS 監査ログのモニタリングの現在の設定ステータスを確認できます。委任された GuardDuty 管理者アカウントの設定を更新するには、EKS 監査ログのモニタリングペインで編集を選択します。
次のいずれかを行います。
- API/CLI
-
ユーザー独自のリージョンレベルのディテクター ID を使用し、features
オブジェクト name
を EKS_AUDIT_LOGS
として、status
を ENABLED
または DISABLED
として渡して、updateDetector API オペレーションを実行します。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
次の AWS CLI コマンドを実行すると、EKS 監査ログのモニタリングを有効または無効にできます。委任 GuardDuty 管理者アカウントの有効なディテクター ID
を使用してください。
次のサンプルコードは EKS 監査ログのモニタリングを有効にします。12abc34d567e8fa901bc2d34e56789f0
detector-id
を委任 GuardDuty 管理者アカウントの に、555555555555
を AWS アカウント 委任 GuardDuty 管理者アカウントの に置き換えてください。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--accountids 555555555555
--features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED
"}]'
EKS 監査ログモニタリングを無効にするには、ENABLED
を DISABLED
に置き換えます。
任意のアクセス方法を選択して、組織内の既存のメンバーアカウントの EKS 監査ログのモニタリングを有効にします。
- Console
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
委任された GuardDuty 管理者アカウントの認証情報を使用してください。
次のいずれかを行います。
[EKS Protection] ページの使用
ナビゲーションペインで、[EKS Protection] を選択します。
-
[設定] タブでは、組織内のアクティブなメンバーアカウントの EKS 監査ログのモニタリングの現在のステータスを確認できます。
EKS 監査ログモニタリング設定を更新するには、[編集] を選択します。
[すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について EKS 監査ログモニタリングが自動的に有効になります。
[保存] を選択します。
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
[アカウント] ページの使用
ナビゲーションペインで、[Accounts] (アカウント) を選択します。
[アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。
[自動有効化の詳細設定を管理] ウィンドウで、[EKS 監査ログモニタリング] の下の [すべてのアカウントについて有効にする] を選択します。
[保存] を選択します。
[すべてのアカウントについて有効にする] オプションを使用できず、組織内の特定のアカウントのために EKS 監査ログモニタリング設定をカスタマイズする場合は、「メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にする」を参照してください。
- API/CLI
-
メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分のディテクター ID
を使用し、updateMemberDetectors API オペレーションを呼び出します。
-
次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、ENABLED
を DISABLED
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED
"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントの EKS 監査ログのモニタリングを有効にします。
- Console
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインで、[EKS Protection] を選択します。
EKS Protection ページで、 GuardDuty実行型マルウェアスキャン設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。
[アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。
[保存] を選択します。
- API/CLI
-
メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分のディテクター ID
を使用し、updateMemberDetectors API オペレーションを呼び出します。
-
次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、ENABLED
を DISABLED
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED
"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
新しく追加されたメンバーアカウントは、 GuardDuty実行型マルウェアスキャンの設定を選択する前に を有効にする GuardDuty 必要があります。招待によって管理されるメンバーアカウントは、アカウントに対して GuardDuty実行型マルウェアスキャンを手動で設定できます。詳細については、「Step 3 - Accept an invitation」を参照してください。
任意のアクセス方法を選択して、組織に参加する新規アカウントの EKS 監査ログのモニタリングを有効にします。
- Console
-
委任された GuardDuty 管理者アカウントは、EKS 監査ログのモニタリングページまたはアカウントページを使用して、組織内の新しいメンバーアカウントの EKS 監査ログのモニタリングを有効にできます。
- API/CLI
-
-
新しいアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分のディテクター ID
を使用し、UpdateOrganizationConfiguration API オペレーションを実行します。
-
次の例では、組織に参加する新規メンバーの EKS 監査ログのモニタリングを有効にする方法を示しています。スペースで区切られたアカウント ID のリストを渡すこともできます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
--auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'
任意のアクセス方法を選択して、組織内の選択的メンバーアカウントの EKS 監査ログのモニタリングを有効または無効にします。
- Console
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
委任された GuardDuty 管理者アカウントの認証情報を使用してください。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。
[アカウント] ページで、[EKS 監査ログのモニタリング] 列でメンバーアカウントのステータスを確認します。
-
EKS 監査ログのモニタリングを有効または無効にするには
EKS 監査ログのモニタリング用に設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンで [EKS 監査ログのモニタリング] を選択し、適切なオプションを選択します。
- API/CLI
-
メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自身のディテクター ID
を使用し、updateMemberDetectors API オペレーションを呼び出します。
次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、ENABLED
を DISABLED
に置き換えます。スペースで区切られたアカウント ID のリストを渡すこともできます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--accountids 111122223333
--features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED
"}]'