As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando o EKS Runtime Monitoring (somente API)
Antes de configurar o Monitoramento de runtime do EKS em sua conta, verifique se você está usando uma das plataformas verificadas que oferece suporte à versão do Kubernetes que está em uso no momento. Para saber mais, consulte Validação dos requisitos de arquitetura.
GuardDuty consolidou a experiência de console do EKS Runtime Monitoring em Runtime Monitoring. GuardDuty recomenda Verificando o status da configuração do EKS Runtime Mon Migração do monitoramento de tempo de execução do EKS para o monitoramento de tempo de execução e.
Como parte da migração para o Runtime Monitoring, certifique-se deDesativar o monitoramento de tempo de execução do. Isso é importante porque, se você optar posteriormente por desativar o Monitoramento de Tempo de Execução do EKS e não desativar o Monitoramento do Tempo de Execução do EKS, continuará incorrendo nos custos de uso do Monitoramento do Tempo de Execução do EKS.
Configuração do Monitoramento de runtime do EKS para uma conta independente
Para as contas associadas ao AWS Organizations, consulte Configuração do Monitoramento de runtime do EKS para ambientes com várias contas.
Escolha seu método de acesso preferido para ativar o Monitoramento de runtime do EKS em sua conta.
- API/CLI
-
Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.
Abordagem preferida para gerenciar o agente GuardDuty de segurança
Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)
-
Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.
-
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'
Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-false
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
nota
Sempre adicione a tag de exclusão ao seu cluster EKS antes
STATUS
deEKS_RUNTIME_MONITORING
definir of comoENABLED
; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'
Monitorar clusters do EKS seletivos (usando a tag de inclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-true
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o
true
parGuardDutyManaged
-.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED
"}] ]'
Gerenciar o agente de segurança manualmente
-
Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED
"}] ]' -
Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.
-
Configuração do Monitoramento de runtime do EKS para ambientes com várias contas
Em ambientes com várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar o EKS Runtime Monitoring para as contas dos membros e gerenciar o gerenciamento de GuardDuty agentes para os clusters EKS pertencentes às contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciar de várias contas.
Escolha seu método de acesso preferido para ativar o EKS Runtime Monitoring e gerenciar o agente de GuardDuty segurança dos clusters EKS que pertencem à conta de GuardDuty administrador delegado.
- API/CLI
-
Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.
Abordagem preferida para gerenciar o agente GuardDuty de segurança
Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)
Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-false
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
nota
Sempre adicione a tag de exclusão ao seu cluster EKS antes
STATUS
deEKS_RUNTIME_MONITORING
definir of comoENABLED
; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'
Monitorar clusters do EKS seletivos (usando a tag de inclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-true
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o
true
parGuardDutyManaged
-.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED
"}] ]'
Gerenciar o agente de segurança manualmente
-
Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids555555555555
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] }]' -
Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.
-
Escolha seu método de acesso preferido para habilitar o Monitoramento de runtime do EKS para todas as contas-membro. Isso inclui a conta de GuardDuty administrador delegado, as contas de membros existentes e as novas contas que ingressam na organização. Escolha sua abordagem preferida para gerenciar o agente de GuardDuty segurança para os clusters EKS que pertencem a essas contas membros.
- API/CLI
-
Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.
Abordagem preferida para gerenciar o agente GuardDuty de segurança
Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-false
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
nota
Sempre adicione a tag de exclusão ao seu cluster EKS antes
STATUS
deEKS_RUNTIME_MONITORING
definir of comoENABLED
; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar clusters do EKS seletivos (usando a tag de inclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-true
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o
true
parGuardDutyManaged
-.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Gerenciar o agente de segurança manualmente
-
Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto
features
comoEKS_RUNTIME_MONITORING
e o status comoENABLED
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids555555555555
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] } ]' -
Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.
-
Escolha seu método de acesso preferido para ativar o EKS Runtime Monitoring e gerenciar o agente de GuardDuty segurança para contas de membros ativos existentes em sua organização.
- API/CLI
-
Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.
Abordagem preferida para gerenciar o agente GuardDuty de segurança
Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-false
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
nota
Sempre adicione a tag de exclusão ao seu cluster EKS antes
STATUS
deEKS_RUNTIME_MONITORING
definir of comoENABLED
; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar clusters do EKS seletivos (usando a tag de inclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-true
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o
true
parGuardDutyManaged
-.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Gerenciar o agente de segurança manualmente
-
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids555555555555
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] } ]' -
Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.
-
A conta de GuardDuty administrador delegado pode ativar automaticamente o EKS Runtime Monitoring e escolher uma abordagem de como gerenciar o agente de GuardDuty segurança para novas contas que ingressam na sua organização.
- API/CLI
-
Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.
Abordagem preferida para gerenciar o agente GuardDuty de segurança
Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
para uma única conta. Você também pode passar uma lista de IDs de contas separadas por um espaço.Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-false
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
nota
Sempre adicione a tag de exclusão ao seu cluster EKS antes
STATUS
deEKS_RUNTIME_MONITORING
definir of comoENABLED
; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
para uma única conta. Você também pode passar uma lista de IDs de contas separadas por um espaço.Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar clusters do EKS seletivos (usando a tag de inclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-true
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o
true
parGuardDutyManaged
-.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
para uma única conta. Você também pode passar uma lista de IDs de contas separadas por um espaço.Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Gerenciar o agente de segurança manualmente
-
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
para uma única conta. Você também pode passar uma lista de IDs de contas separadas por um espaço.Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema. -
Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.
-
- API/CLI
-
Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.
Abordagem preferida para gerenciar o agente GuardDuty de segurança
Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-false
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
nota
Sempre adicione a tag de exclusão ao seu cluster EKS antes
STATUS
deEKS_RUNTIME_MONITORING
definir of comoENABLED
; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoENABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento.
Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
eEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar clusters do EKS seletivos (usando a tag de inclusão)
-
Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é
GuardDutyManaged
-true
. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:
-
Substitua
ec2: CreateTags
poreks:TagResource
. -
Substitua
ec2: DeleteTags
poreks:UntagResource
. -
Substitua
access-project
porGuardDutyManaged
-
Substitua
123456789012
pela ID da Conta da AWS entidade confiável.Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o
true
parGuardDutyManaged
-.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED
"}] ]'nota
Você também pode passar uma lista de IDs de contas separadas por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de
UnprocessedAccounts
. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Gerenciar o agente de segurança manualmente
-
Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio
ID de detector
.Defina o status de
EKS_ADDON_MANAGEMENT
comoDISABLED
.Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção
detectorId
para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ou execute a ListDetectorsAPI O exemplo a seguir habilita
EKS_RUNTIME_MONITORING
e desabilitaEKS_ADDON_MANAGEMENT
:aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids555555555555
--features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED
", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED
"}] } ]' -
Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.
-