翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EKS クラスターのセキュリティエージェントの手動管理
このセクションでは、Runtime Monitoring を有効にした後に Amazon EKS アドオンエージェント (GuardDuty エージェント) を管理する方法について説明します。Runtime Monitoring を使用するには、Runtime Monitoring を有効にして Amazon EKS アドオン aws-guardduty-agent
を設定する必要があります。これら 2 つのステップのうち 1 つだけを実行しても、潜在的な脅威 GuardDuty の検出や結果の生成には役立ちません。
GuardDuty セキュリティエージェントをデプロイするための前提条件
このセクションでは、EKS クラスターのセキュリティ GuardDuty エージェントを手動でデプロイするための前提条件について説明します。先に進む前に、アカウントに Runtime Monitoring が既に設定されていることを確認してください。Runtime Monitoring を設定しないと、 GuardDuty セキュリティエージェント (EKS アドオン) は機能しません。詳細については、「Runtime Monitoring GuardDuty の有効化」を参照してください。次のステップが完了したら、「 GuardDuty セキュリティエージェントのデプロイ」を参照してください。
任意のアクセス方法を選択して、Amazon VPC エンドポイントを作成します。
Amazon EKS GuardDuty のセキュリティエージェント (アドオン) パラメータを設定する
Amazon EKS GuardDuty のセキュリティエージェントの特定のパラメータを設定できます。このサポートは、 GuardDuty セキュリティエージェントバージョン 1.5.0 以降で利用できます。最新のアドオンバージョンについては、「」を参照してくださいGuardDuty Amazon EKS クラスター用の セキュリティエージェント。
- セキュリティエージェント設定スキーマを更新する理由
GuardDuty セキュリティエージェントの設定スキーマは、Amazon EKS クラスター内のすべてのコンテナで同じです。デフォルト値が関連するワークロードとインスタンスサイズと一致しない場合は、CPU 設定、メモリ設定、、
PriorityClass
およびdnsPolicy
設定を構成することを検討してください。Amazon EKS クラスターの GuardDuty エージェントを管理する方法に関係なく、これらのパラメータの既存の設定を設定または更新できます。
設定済みパラメータによるエージェント設定動作の自動
がユーザーに代わってセキュリティエージェント (EKS アドオン) GuardDuty を管理する場合、必要に応じてアドオンを更新します。 GuardDuty は設定可能なパラメータの値をデフォルト値に設定します。ただし、パラメータを希望の値に更新することはできます。これが競合につながる場合、resolveConflicts のデフォルトオプションは ですNone
。
設定可能なパラメータと値
アドオンパラメータを設定する手順については、以下を参照してください。
次の表は、Amazon EKS アドオンを手動でデプロイしたり、既存のアドオン設定を更新したりするために使用できる範囲と値を示しています。
- CPU 設定
-
パラメータ
デフォルト値
設定可能な範囲
リクエスト
200m
200 m から 10000 m の間、両方を含む
制限
1000m
- メモリ設定
-
パラメータ
デフォルト値
設定可能な範囲
リクエスト
256Mi
256Mi から 20000Mi の間、両方を含む
制限
1024Mi
PriorityClass
設定-
が Amazon EKS アドオン GuardDuty を作成すると、割り当てられた
PriorityClass
は になりますaws-guardduty-agent.priorityclass
。つまり、エージェントポッドの優先度に基づいてアクションは実行されません。このアドオンパラメータは、次のいずれかPriorityClass
のオプションを選択して設定できます。設定可能
PriorityClass
preemptionPolicy
値preemptionPolicy
説明ポッド値
aws-guardduty-agent.priorityclass
Never
アクションなし
1000000
aws-guardduty-agent.priorityclass-high
PreemptLowerPriority
この値を割り当てると、エージェントポッド値よりも低い優先度の値で実行されているポッドが優先されます。
100000000
system-cluster-critical
1PreemptLowerPriority
2000000000
system-node-critical
1PreemptLowerPriority
2000001000
1 Kubernetes には、
system-cluster-critical
と の 2 つのPriorityClass
オプションがありますsystem-node-critical
。詳細については、Kubernetes ドキュメントPriorityClassの「」を参照してください。
dnsPolicy
設定Kubernetes がサポートする次の DNS ポリシーオプションのいずれかを選択します。設定が指定されていない場合、
ClusterFirst
がデフォルト値として使用されます。-
ClusterFirst
-
ClusterFirstWithHostNet
-
Default
これらのポリシーの詳細については、Kubernetes ドキュメントの「ポッドの DNS ポリシー
」を参照してください。 -
GuardDuty セキュリティエージェントのデプロイ
このセクションでは、特定の EKS クラスターに GuardDuty セキュリティエージェントを初めてデプロイする方法について説明します。このセクションに進む前に、アカウントの前提条件をセットアップし、Runtime Monitoring を有効にしていることを確認してください。Runtime Monitoring GuardDutyを有効にしない場合、セキュリティエージェント (EKS アドオン) は機能しません。
任意のアクセス方法を選択して、 GuardDuty セキュリティエージェントを初めてデプロイします。
設定スキーマの更新の検証
パラメータを設定したら、次のステップを実行して、設定スキーマが更新されていることを確認します。
https://console.aws.amazon.com/eks/home#/clusters
で Amazon EKS コンソールを開きます。 -
ナビゲーションペインで [クラスター] を選択します。
-
クラスターページで、更新を検証するクラスター名を選択します。
-
[リソース] タブを選択します。
-
リソースタイプペインのワークロード で、 を選択しますDaemonSets。
-
を選択しますaws-guardduty-agent。
-
aws-guardduty-agent ページで、未加工ビューを選択して、フォーマットされていない JSON レスポンスを表示します。設定可能なパラメータに、指定した値が表示されていることを確認します。
確認したら、 GuardDuty コンソールに切り替えます。対応する AWS リージョン を選択し、Amazon EKS クラスターのカバレッジステータスを表示します。詳細については、「Amazon EKS クラスターのカバレッジ」を参照してください。