Configuração do Monitoramento de runtime do EKS para uma conta independente Configuração do Monitoramento de runtime do EKS para ambientes com várias contas

Configurando o EKS Runtime Monitoring (somente API)

Antes de configurar o Monitoramento de runtime do EKS em sua conta, verifique se você está usando uma das plataformas verificadas que oferece suporte à versão do Kubernetes que está em uso no momento. Para saber mais, consulte Validação dos requisitos de arquitetura.

GuardDuty consolidou a experiência de console do EKS Runtime Monitoring em Runtime Monitoring. GuardDuty recomenda Verificando o status da configuração do EKS Runtime Mon Migração do monitoramento de tempo de execução do EKS para o monitoramento de tempo de execução e.

Como parte da migração para o Runtime Monitoring, certifique-se deDesativar o monitoramento de tempo de execução do. Isso é importante porque, se você optar posteriormente por desativar o Monitoramento de Tempo de Execução do EKS e não desativar o Monitoramento do Tempo de Execução do EKS, continuará incorrendo nos custos de uso do Monitoramento do Tempo de Execução do EKS.

Configuração do Monitoramento de runtime do EKS para uma conta independente

Para as contas associadas ao AWS Organizations, consulte Configuração do Monitoramento de runtime do EKS para ambientes com várias contas.

Escolha seu método de acesso preferido para ativar o Monitoramento de runtime do EKS em sua conta.

API/CLI

Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança	Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)	Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`false`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` nota Sempre adicione a tag de exclusão ao seu cluster EKS antes `STATUS` de `EKS_RUNTIME_MONITORING` definir of como`ENABLED`; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta. Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
Monitorar clusters do EKS seletivos (usando a tag de inclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`true`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o `true` par `GuardDutyManaged` -. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'`
Gerenciar o agente de segurança manualmente	Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.

Configuração do Monitoramento de runtime do EKS para ambientes com várias contas

Em ambientes com várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar o EKS Runtime Monitoring para as contas dos membros e gerenciar o gerenciamento de GuardDuty agentes para os clusters EKS pertencentes às contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciar de várias contas.

Escolha seu método de acesso preferido para ativar o EKS Runtime Monitoring e gerenciar o agente de GuardDuty segurança dos clusters EKS que pertencem à conta de GuardDuty administrador delegado.

API/CLI

Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança	Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)	Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`false`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` nota Sempre adicione a tag de exclusão ao seu cluster EKS antes `STATUS` de `EKS_RUNTIME_MONITORING` definir of como`ENABLED`; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta. Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'`
Monitorar clusters do EKS seletivos (usando a tag de inclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`true`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o `true` par `GuardDutyManaged` -. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'`
Gerenciar o agente de segurança manualmente	Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'` Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.

Escolha seu método de acesso preferido para habilitar o Monitoramento de runtime do EKS para todas as contas-membro. Isso inclui a conta de GuardDuty administrador delegado, as contas de membros existentes e as novas contas que ingressam na organização. Escolha sua abordagem preferida para gerenciar o agente de GuardDuty segurança para os clusters EKS que pertencem a essas contas membros.

API/CLI

Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança	Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)	Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`false`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` nota Sempre adicione a tag de exclusão ao seu cluster EKS antes `STATUS` de `EKS_RUNTIME_MONITORING` definir of como`ENABLED`; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta. Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar clusters do EKS seletivos (usando a tag de inclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`true`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o `true` par `GuardDutyManaged` -. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Gerenciar o agente de segurança manualmente	Execute a API updateDetector usando seu próprio ID de detector regional e transmitindo o nome de objeto `features` como `EKS_RUNTIME_MONITORING` e o status como `ENABLED`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.

Escolha seu método de acesso preferido para ativar o EKS Runtime Monitoring e gerenciar o agente de GuardDuty segurança para contas de membros ativos existentes em sua organização.

API/CLI

Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança	Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)	Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`false`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` nota Sempre adicione a tag de exclusão ao seu cluster EKS antes `STATUS` de `EKS_RUNTIME_MONITORING` definir of como`ENABLED`; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar clusters do EKS seletivos (usando a tag de inclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`true`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o `true` par `GuardDutyManaged` -. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Gerenciar o agente de segurança manualmente	Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.

A conta de GuardDuty administrador delegado pode ativar automaticamente o EKS Runtime Monitoring e escolher uma abordagem de como gerenciar o agente de GuardDuty segurança para novas contas que ingressam na sua organização.

API/CLI

Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança	Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)	Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT` para uma única conta. Você também pode passar uma lista de IDs de contas separadas por um espaço. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`false`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` nota Sempre adicione a tag de exclusão ao seu cluster EKS antes `STATUS` de `EKS_RUNTIME_MONITORING` definir of como`ENABLED`; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT` para uma única conta. Você também pode passar uma lista de IDs de contas separadas por um espaço. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar clusters do EKS seletivos (usando a tag de inclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`true`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o `true` par `GuardDutyManaged` -. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT` para uma única conta. Você também pode passar uma lista de IDs de contas separadas por um espaço. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Gerenciar o agente de segurança manualmente	Para habilitar seletivamente o Monitoramento de runtime do EKS para suas novas contas, invoque a operação da API UpdateOrganizationConfiguration usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT` para uma única conta. Você também pode passar uma lista de IDs de contas separadas por um espaço. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI `aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'` Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.

API/CLI

Com base nas Abordagens para gerenciar o agente GuardDuty de segurança, você pode escolher uma abordagem preferida e seguir as etapas mencionadas na tabela a seguir.

Abordagem preferida para gerenciar o agente GuardDuty de segurança	Etapas
Gerencie o agente de segurança por meio de GuardDuty (monitore todos os clusters EKS)	Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS em sua conta. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`false`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` nota Sempre adicione a tag de exclusão ao seu cluster EKS antes `STATUS` de `EKS_RUNTIME_MONITORING` definir of como`ENABLED`; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta. Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `ENABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que não foram excluídos do monitoramento. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Monitorar clusters do EKS seletivos (usando a tag de inclusão)	Adicione uma tag ao cluster do EKS que você deseja excluir do monitoramento. O par de chave-valor é `GuardDutyManaged`-`true`. Para obter mais informações sobre como adicionar a tag Como trabalhar com tags usando a CLI, a API ou o eksctl no Guia do usuário do Amazon EKS. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes: Substitua `ec2: CreateTags` por`eks:TagResource`. Substitua `ec2: DeleteTags` por`eks:UntagResource`. Substitua `access-project` por `GuardDutyManaged` Substitua `123456789012` pela ID da Conta da AWS entidade confiável. Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários `PrincipalArn`: `"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]` Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters do Amazon EKS que foram marcados com o `true` par `GuardDutyManaged` -. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'` nota Você também pode passar uma lista de IDs de contas separadas por um espaço. Quando o código é executado com êxito, ele retorna uma lista vazia de `UnprocessedAccounts`. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.
Gerenciar o agente de segurança manualmente	Para habilitar seletivamente o Monitoramento de runtime do EKS para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio `ID de detector`. Defina o status de `EKS_ADDON_MANAGEMENT` como `DISABLED`. Como alternativa, você pode usar o AWS CLI comando usando seu próprio ID de detector regional. Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI O exemplo a seguir habilita `EKS_RUNTIME_MONITORING` e desabilita `EKS_ADDON_MANAGEMENT`: `aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'` Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o cluster Amazon EKS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Atualizando o agente de segurança manualmente

Migração do monitoramento de tempo de execução do EKS para o monitoramento de tempo de execução

Configurando o EKS Runtime Monitoring (somente API)

Configuração do Monitoramento de runtime do EKS para uma conta independente

nota

Configuração do Monitoramento de runtime do EKS para ambientes com várias contas

nota

nota

nota

nota

nota

nota

nota

nota

nota

nota

nota

nota

nota

nota