독립형 계정에 대한 EKS 런타임 모니터링 구성 다중 계정 환경에서 EKS 런타임 모니터링 구성

EKS 런타임 모니터링 구성 (API만 해당)

계정에서 EKS 런타임 모니터링을 구성하기 전에 현재 사용 중인 Kubernetes 버전을 지원하는 검증된 플랫폼 중 하나를 사용하고 있는지 확인하세요. 자세한 내용은 아키텍처 요구 사항 검증 섹션을 참조하세요.

GuardDuty EKS 런타임 모니터링을 위한 콘솔 환경을 런타임 모니터링으로 통합했습니다. GuardDuty 권장 사항 EKS 런타임 모니터링 구성 상태 확인 및. EKS 런타임 모니터링에서 런타임 모니터링으로 마이그레이션

런타임 모니터링으로 마이그레이션하는 과정에서 반드시 확인하십시오. EKS 런타임 모니터링 비활성화 나중에 런타임 모니터링을 비활성화하고 EKS 런타임 모니터링을 비활성화하지 않으면 EKS 런타임 모니터링에 대한 사용 비용이 계속 발생하기 때문에 이는 중요합니다.

독립형 계정에 대한 EKS 런타임 모니터링 구성

AWS Organizations에 연결된 계정의 경우 다중 계정 환경에서 EKS 런타임 모니터링 구성 섹션을 참조하세요.

원하는 액세스 방법을 선택하여 계정에 대해 EKS 런타임 모니터링을 활성화합니다.

API/CLI

GuardDuty보안 에이전트를 관리하는 접근 방식에 따라 원하는 접근 방식을 선택하고 다음 표에 언급된 단계를 따를 수 있습니다.

보안 에이전트를 관리하기 위한 기본 접근 방식 GuardDuty	단계
GuardDuty (모든 EKS 클러스터 모니터링) 를 통해 보안 에이전트를 관리합니다.	리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 계정 내 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`false`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 참고 O를 로 설정하기 전에 항상 EKS 클러스터에 제외 태그를 추가하십시오`ENABLED`. 그렇지 않으면 GuardDuty 보안 에이전트가 계정의 모든 EKS 클러스터에 배포됩니다. `STATUS` `EKS_RUNTIME_MONITORING` 리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 모니터링에서 제외되지 않은 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
선택적 EKS 클러스터 모니터링(포함 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. GuardDuty `GuardDutyManagedtrue`-쌍 태그가 지정된 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'`
수동으로 보안 에이전트 관리	리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` 보안 에이전트를 관리하려면 Amazon EKS 클러스터의 보안 에이전트를 수동으로 관리 섹션을 참조하세요.

다중 계정 환경에서 EKS 런타임 모니터링 구성

다중 계정 환경에서는 위임된 GuardDuty 관리자 계정만이 구성원 계정에 대한 EKS Runtime Monitoring을 활성화 또는 비활성화하고 조직의 멤버 계정에 속하는 EKS 클러스터의 GuardDuty 에이전트 관리를 관리할 수 있습니다. GuardDuty 구성원 계정은 자신의 계정에서 이 구성을 수정할 수 없습니다. 위임된 GuardDuty 관리자 계정 계정은 를 사용하여 AWS Organizations구성원 계정을 관리합니다. 다중 계정 환경에 대한 자세한 내용은 Managing multiple accounts를 참조하세요.

선호하는 액세스 방법을 선택하여 EKS 런타임 모니터링을 활성화하고 위임된 관리자 계정에 속하는 EKS 클러스터의 GuardDuty 보안 에이전트를 관리하십시오. GuardDuty

API/CLI

GuardDuty보안 에이전트를 관리하는 접근 방식에 따라 원하는 접근 방식을 선택하고 다음 표에 언급된 단계를 따를 수 있습니다.

보안 에이전트를 관리하기 위한 기본 접근 방식 GuardDuty	단계
GuardDuty (모든 EKS 클러스터 모니터링) 를 통해 보안 에이전트를 관리합니다.	리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 계정 내 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`false`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 참고 O를 로 설정하기 전에 항상 EKS 클러스터에 제외 태그를 추가하십시오`ENABLED`. 그렇지 않으면 GuardDuty 보안 에이전트가 계정의 모든 EKS 클러스터에 배포됩니다. `STATUS` `EKS_RUNTIME_MONITORING` 리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 모니터링에서 제외되지 않은 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
선택적 EKS 클러스터 모니터링(포함 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. GuardDuty `GuardDutyManagedtrue`-쌍 태그가 지정된 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'`
수동으로 보안 에이전트 관리	리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` 보안 에이전트를 관리하려면 Amazon EKS 클러스터의 보안 에이전트를 수동으로 관리 섹션을 참조하세요.

원하는 액세스 방법을 선택하여 모든 멤버 계정에 대해 EKS 런타임 모니터링을 활성화합니다. 여기에는 위임된 GuardDuty 관리자 계정, 기존 구성원 계정, 조직에 가입하는 새 계정이 포함됩니다. 원하는 접근 방식을 선택하여 이러한 구성원 계정에 속하는 EKS 클러스터의 GuardDuty 보안 에이전트를 관리하십시오.

API/CLI

GuardDuty보안 에이전트를 관리하는 접근 방식에 따라 원하는 접근 방식을 선택하고 다음 표에 언급된 단계를 따를 수 있습니다.

GuardDuty 보안 에이전트를 관리할 때 선호되는 접근 방식	단계
GuardDuty (모든 EKS 클러스터 모니터링) 를 통해 보안 에이전트를 관리합니다.	멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 계정 내 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`false`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 참고 O를 로 설정하기 전에 항상 EKS 클러스터에 제외 태그를 추가하십시오`ENABLED`. 그렇지 않으면 GuardDuty 보안 에이전트가 계정의 모든 EKS 클러스터에 배포됩니다. `STATUS` `EKS_RUNTIME_MONITORING` 리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 모니터링에서 제외되지 않은 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
선택적 EKS 클러스터 모니터링(포함 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. GuardDuty `GuardDutyManagedtrue`-쌍 태그가 지정된 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
수동으로 보안 에이전트 관리	리전 탐지기 ID를 사용하고 `features` 객체 이름을 `EKS_RUNTIME_MONITORING`으로, 상태를 `ENABLED`로 설정하여 전달해 updateDetector API를 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` 보안 에이전트를 관리하려면 Amazon EKS 클러스터의 보안 에이전트를 수동으로 관리 섹션을 참조하세요.

원하는 액세스 방법을 선택하여 EKS Runtime Monitoring을 활성화하고 조직의 기존 활성 회원 계정에 대한 GuardDuty 보안 에이전트를 관리하십시오.

API/CLI

GuardDuty보안 에이전트를 관리하는 접근 방식에 따라 원하는 접근 방식을 선택하고 다음 표에 언급된 단계를 따를 수 있습니다.

GuardDuty 보안 에이전트를 관리하기 위한 기본 접근 방식	단계
GuardDuty (모든 EKS 클러스터 모니터링) 를 통해 보안 에이전트를 관리합니다.	멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 계정 내 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`false`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 참고 O를 로 설정하기 전에 항상 EKS 클러스터에 제외 태그를 추가하십시오`ENABLED`. 그렇지 않으면 GuardDuty 보안 에이전트가 계정의 모든 EKS 클러스터에 배포됩니다. `STATUS` `EKS_RUNTIME_MONITORING` 멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 모니터링에서 제외되지 않은 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
선택적 EKS 클러스터 모니터링(포함 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. GuardDuty `GuardDutyManagedtrue`-쌍 태그가 지정된 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
수동으로 보안 에이전트 관리	멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` 보안 에이전트를 관리하려면 Amazon EKS 클러스터의 보안 에이전트를 수동으로 관리 섹션을 참조하세요.

위임된 GuardDuty 관리자 계정은 EKS Runtime Monitoring을 자동으로 활성화하고 조직에 가입하는 새 계정의 GuardDuty 보안 에이전트를 관리하는 방법에 대한 접근 방식을 선택할 수 있습니다.

API/CLI

GuardDuty보안 에이전트를 관리하는 접근 방식에 따라 원하는 접근 방식을 선택하고 다음 표에 언급된 단계를 따를 수 있습니다.

보안 에이전트를 관리하기 위한 기본 접근 방식 GuardDuty	단계
GuardDuty (모든 EKS 클러스터 모니터링) 를 통해 보안 에이전트를 관리합니다.	새 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 UpdateOrganizationConfiguration API 작업을 간접적으로 호출합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 계정 내 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 단일 계정에서 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`false`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 참고 O를 로 설정하기 전에 항상 EKS 클러스터에 제외 태그를 추가하십시오`ENABLED`. 그렇지 않으면 GuardDuty 보안 에이전트가 계정의 모든 EKS 클러스터에 배포됩니다. `STATUS` `EKS_RUNTIME_MONITORING` 새 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 UpdateOrganizationConfiguration API 작업을 간접적으로 호출합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 모니터링에서 제외되지 않은 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 단일 계정에서 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
선택적 EKS 클러스터 모니터링(포함 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 새 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 UpdateOrganizationConfiguration API 작업을 간접적으로 호출합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. GuardDuty `GuardDutyManagedtrue`-쌍 태그가 지정된 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 단일 계정에서 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
수동으로 보안 에이전트 관리	새 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 UpdateOrganizationConfiguration API 작업을 간접적으로 호출합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 단일 계정에서 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다. 보안 에이전트를 관리하려면 Amazon EKS 클러스터의 보안 에이전트를 수동으로 관리 섹션을 참조하세요.

API/CLI

GuardDuty보안 에이전트를 관리하는 접근 방식에 따라 원하는 접근 방식을 선택하고 다음 표에 언급된 단계를 따를 수 있습니다.

GuardDuty 보안 에이전트를 관리하기 위한 기본 접근 방식	단계
GuardDuty (모든 EKS 클러스터 모니터링) 를 통해 보안 에이전트를 관리합니다.	멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 계정 내 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`false`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 참고 O를 로 설정하기 전에 항상 EKS 클러스터에 제외 태그를 추가하십시오`ENABLED`. 그렇지 않으면 GuardDuty 보안 에이전트가 계정의 모든 EKS 클러스터에 배포됩니다. `STATUS` `EKS_RUNTIME_MONITORING` 멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `ENABLED`로 설정합니다. GuardDuty 모니터링에서 제외되지 않은 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING` 및 `EKS_ADDON_MANAGEMENT`를 모두 활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
선택적 EKS 클러스터 모니터링(포함 태그 사용)	모니터링에서 제외하고자 하는 EKS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`입니다. 태그 추가에 대한 자세한 내용은 Amazon EKS 사용 설명서의 CLI API 또는 eksctl을 사용한 태그 작업을 참조하세요. 신뢰할 수 있는 엔터티를 제외하고 태그를 수정하지 못하도록 하려면AWS Organizations 사용 설명서의 권한 있는 보안 주체 외에는 태그를 수정할 수 없도록 방지에 제공된 정책을 사용하세요. 이 정책에서 아래 세부 정보를 바꿉니다. `ec2:를 CreateTags` 로 `eks:TagResource` 바꾸십시오. `DeleteTagsec2:를 로` 대체하십시오. `eks:UntagResource` `access-project`를 `GuardDutyManaged`로 바꿉니다. `123456789012를` 신뢰할 수 있는 주체의 ID로 바꾸십시오. AWS 계정 신뢰할 수 있는 엔터티가 두 개 이상 있는 경우 다음 예시를 사용하여 여러 개의 `PrincipalArn`을 추가합니다. `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` 멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. GuardDuty `GuardDutyManagedtrue`-쌍 태그가 지정된 모든 Amazon EKS 클러스터의 보안 에이전트 배포 및 업데이트를 관리합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` 참고 공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다. 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
수동으로 보안 에이전트 관리	멤버 계정에 대해 EKS 런타임 모니터링을 선택적으로 활성화하려면 자체 `탐지기 ID`를 사용하여 updateMemberDetectors API 작업을 실행합니다. `EKS_ADDON_MANAGEMENT`의 상태를 `DISABLED`로 설정합니다. 또는 자체 지역 탐지기 ID를 사용하여 AWS CLI 명령을 사용할 수도 있습니다. 계정과 현재 지역을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectorsAPI를 실행하세요. `detectorId` 다음 예시에서는 `EKS_RUNTIME_MONITORING`을 활성화하고 `EKS_ADDON_MANAGEMENT`를 비활성화합니다. `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` 보안 에이전트를 관리하려면 Amazon EKS 클러스터의 보안 에이전트를 수동으로 관리 섹션을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

보안 에이전트를 수동으로 업데이트

EKS 런타임 모니터링에서 런타임 모니터링으로 마이그레이션

EKS 런타임 모니터링 구성 (API만 해당)

독립형 계정에 대한 EKS 런타임 모니터링 구성

참고

다중 계정 환경에서 EKS 런타임 모니터링 구성

참고

참고

참고

참고

참고

참고

참고

참고

참고

참고

참고

참고

참고

참고