Gerenciando automaticamente o agente de segurança para EKS clusters da Amazon - Amazon GuardDuty
Configurando o agente automatizado para uma conta independenteConfigurando o agente automatizado para ambientes com várias contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando automaticamente o agente de segurança para EKS clusters da Amazon

Configurando o agente automatizado para uma conta independente

  1. Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Runtime Monitoring.

  3. Na guia Configuração, escolha Ativar para ativar a configuração automática do agente para sua conta.

    Abordagem preferida para implantar o agente GuardDuty de segurança

    Etapas

    Gerencie o agente de segurança por meio de GuardDuty

    (Monitore todos os EKS clusters)

    1. Escolha Ativar na seção Configuração automatizada do agente. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os EKS clusters existentes e potencialmente novos em sua conta.

    2. Escolha Salvar.

    Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

    Nos procedimentos a seguir, escolha um dos cenários que se aplica a você.

    Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança não tiver sido implantado nesse cluster

    1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

      Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

    2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substituir ec2:CreateTags comeks:TagResource.

      • Substituir ec2:DeleteTags comeks:UntagResource.

      • Substituir access-project com GuardDutyManaged

      • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    4. No painel de navegação, escolha Runtime Monitoring.

      nota

      Sempre adicione a tag de exclusão aos seus EKS clusters antes de ativar o gerenciamento automático de GuardDuty agentes para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    5. Na guia Configuração, escolha Habilitar na seção Gerenciamento de GuardDuty agentes.

      Para os EKS clusters que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

    6. Escolha Salvar.

    Para excluir um EKS cluster do monitoramento após o agente GuardDuty de segurança já ter sido implantado nesse cluster

    1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

      Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

      Após essa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse EKS cluster. Isso pode afetar as estatísticas sobre seu uso.

    2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substituir ec2:CreateTags comeks:TagResource.

      • Substituir ec2:DeleteTags comeks:UntagResource.

      • Substituir access-project com GuardDutyManaged

      • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Para parar de receber os eventos de tempo de execução desse cluster, você deve remover o agente de segurança implantado desse EKS cluster. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Impacto da desativação e limpeza de recursos.

    Monitore EKS clusters seletivos usando tags de inclusão

    1. Certifique-se de escolher Desativar na seção Configuração automática do agente. Mantenha o Runtime Monitoring ativado.

    2. Escolha Salvar

    3. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comotrue.

      Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

      GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os EKS clusters seletivos que você deseja monitorar.

    4. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substituir ec2:CreateTags comeks:TagResource.

      • Substituir ec2:DeleteTags comeks:UntagResource.

      • Substituir access-project com GuardDutyManaged

      • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gerenciar agente manualmente

    1. Certifique-se de escolher Desativar na seção Configuração automática do agente. Mantenha o Runtime Monitoring ativado.

    2. Escolha Salvar.

    3. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Configurando o agente automatizado para ambientes com várias contas

Em ambientes com várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar a configuração automatizada do agente para as contas dos membros e gerenciar o agente automatizado para os EKS clusters pertencentes às contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciar de várias contas.

Configurando a configuração automatizada do agente para a conta de administrador delegado GuardDuty

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty

(Monitore todos os EKS clusters)

Se você escolher Habilitar para todas as contas na seção Runtime Monitoring, terá as seguintes opções:

  • Escolha Ativar para todas as contas na seção Configuração automática do agente. GuardDuty implantará e gerenciará o agente de segurança para todos os EKS clusters que pertencem à conta de GuardDuty administrador delegada e também para todos os EKS clusters que pertencem a todas as contas membros existentes e potencialmente novas na organização.

  • Escolha Configurar contas manualmente.

Se você escolheu Configurar contas manualmente na seção Runtime Monitoring, faça o seguinte:

  1. Escolha Configurar contas manualmente na seção Configuração automática do agente.

  2. Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).

Escolha Salvar.

Monitore todos os EKS clusters, mas exclua alguns deles (usando tags de exclusão)

Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança não tiver sido implantado nesse cluster

  1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  4. No painel de navegação, escolha Runtime Monitoring.

    nota

    Sempre adicione a tag de exclusão aos seus EKS clusters antes de ativar o gerenciamento automático de GuardDuty agentes para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

  5. Na guia Configuração, escolha Habilitar na seção Gerenciamento de GuardDuty agentes.

    Para os EKS clusters que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

  6. Escolha Salvar.

Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança foi implantado nesse cluster

  1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se você tiver habilitado o agente automatizado para esse EKS cluster, depois dessa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse EKS cluster. Isso pode afetar as estatísticas sobre seu uso.

    Para parar de receber os eventos de tempo de execução desse cluster, você deve remover o agente de segurança implantado desse EKS cluster. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Impacto da desativação e limpeza de recursos

  4. Se você estava gerenciando o agente de GuardDuty segurança desse EKS cluster manualmente, consulteImpacto da desativação e limpeza de recursos.

Monitore EKS clusters seletivos usando tags de inclusão

Independentemente de como você escolheu ativar o Runtime Monitoring, as etapas a seguir ajudarão você a monitorar EKS clusters seletivos em sua conta:

  1. Certifique-se de escolher Desativar para conta de GuardDuty administrador delegado (esta conta) na seção Configuração automatizada do agente. Mantenha a configuração do Runtime Monitoring igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Adicione uma tag ao seu EKS cluster com a chave como GuardDutyManaged e seu valor comotrue.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os EKS clusters seletivos que você deseja monitorar.

  4. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gerencie o agente GuardDuty de segurança manualmente

Independentemente de como você escolheu ativar o Runtime Monitoring, você pode gerenciar o agente de segurança manualmente para seus EKS clusters.

  1. Certifique-se de escolher Desativar para conta de GuardDuty administrador delegado (esta conta) na seção Configuração automatizada do agente. Mantenha a configuração do Runtime Monitoring igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Ativar automaticamente o agente automatizado para todas as contas dos membros

nota

Pode levar até 24 horas para atualizar a configuração das contas-membro.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty

(Monitore todos os EKS clusters)

Este tópico é para ativar o Monitoramento de Tempo de Execução para todas as contas de membros e, portanto, as etapas a seguir pressupõem que você tenha escolhido Habilitar para todas as contas na seção Monitoramento de Tempo de Execução.

  1. Escolha Ativar para todas as contas na seção Configuração automática do agente. GuardDuty implantará e gerenciará o agente de segurança para todos os EKS clusters que pertencem à conta de GuardDuty administrador delegada e também para todos os EKS clusters que pertencem a todas as contas membros existentes e potencialmente novas na organização.

  2. Escolha Salvar.

Monitore todos os EKS clusters, mas exclua alguns deles (usando tags de exclusão)

Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança não tiver sido implantado nesse cluster

  1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  4. No painel de navegação, escolha Runtime Monitoring.

    nota

    Sempre adicione a tag de exclusão aos seus EKS clusters antes de ativar o agente automatizado para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

  5. Na guia Configuração, escolha Editar na seção Configuração do Runtime Monitoring.

  6. Escolha Ativar para todas as contas na seção Configuração automática do agente. Para os EKS clusters que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

  7. Escolha Salvar.

Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança foi implantado nesse cluster

  1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

  2. Se você tiver a configuração automatizada do agente habilitada para esse EKS cluster, depois dessa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse EKS cluster. Isso pode afetar as estatísticas sobre seu uso.

    Para parar de receber os eventos de tempo de execução desse cluster, você deve remover o agente de segurança implantado desse EKS cluster. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Impacto da desativação e limpeza de recursos

  3. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. Se você estava gerenciando o agente de GuardDuty segurança desse EKS cluster manualmente, consulteImpacto da desativação e limpeza de recursos.

Monitore EKS clusters seletivos usando tags de inclusão

Independentemente de como você escolheu ativar o Runtime Monitoring, as etapas a seguir ajudarão você a monitorar EKS clusters seletivos para todas as contas membros em sua organização:

  1. Não habilite nenhuma configuração na seção Configuração automatizada do agente. Mantenha a configuração do Runtime Monitoring igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Adicione uma tag ao seu EKS cluster com a chave como GuardDutyManaged e seu valor comotrue.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os EKS clusters seletivos que você deseja monitorar.

  4. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gerencie o agente GuardDuty de segurança manualmente

Independentemente de como você escolheu ativar o Runtime Monitoring, você pode gerenciar o agente de segurança manualmente para seus EKS clusters.

  1. Não habilite nenhuma configuração na seção Configuração automatizada do agente. Mantenha a configuração do Runtime Monitoring igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Habilitando o agente automatizado para todas as contas de membros ativos existentes

nota

Pode levar até 24 horas para atualizar a configuração das contas-membro.

Para gerenciar o agente GuardDuty de segurança para contas de membros ativos existentes em sua organização

  • GuardDuty Para receber os eventos de tempo de execução dos EKS clusters que pertencem às contas de membros ativas existentes na organização, você deve escolher uma abordagem preferencial para gerenciar o agente de GuardDuty segurança desses EKS clusters. Para obter mais informações sobre essas abordagens, consulte Abordagens para gerenciar o agente GuardDuty de segurança.

    Abordagem preferida para gerenciar o agente GuardDuty de segurança

    Etapas

    Gerencie o agente de segurança por meio de GuardDuty

    (Monitore todos os EKS clusters)
    Para monitorar todos os EKS clusters de todas as contas de membros ativas existentes

    1. Na página Runtime Monitoring, na guia Configuração, você pode ver o status atual da configuração automatizada do agente.

    2. No painel Configuração automatizada do agente, na seção Contas de membros ativas, escolha Ações.

    3. Em Ações, escolha Habilitar para todas as contas-membro ativas existentes.

    4. Selecione a opção Confirmar.

    Monitore todos os EKS clusters, mas exclua alguns deles (usando a tag de exclusão)

    Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

    Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança não tiver sido implantado nesse cluster

    1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

      Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

    2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substituir ec2:CreateTags comeks:TagResource.

      • Substituir ec2:DeleteTags comeks:UntagResource.

      • Substituir access-project com GuardDutyManaged

      • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    4. No painel de navegação, escolha Runtime Monitoring.

      nota

      Sempre adicione a tag de exclusão aos seus EKS clusters antes de ativar a configuração automática do agente para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

    5. Na guia Configuração, no painel Configuração automatizada do agente, em Contas de membros ativas, escolha Ações.

    6. Em Ações, escolha Habilitar para todas as contas-membro ativas.

    7. Selecione a opção Confirmar.

    Para excluir um EKS cluster do monitoramento após o agente GuardDuty de segurança já ter sido implantado nesse cluster

    1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

      Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

      Após essa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse EKS cluster. Isso pode afetar as estatísticas sobre seu uso.

    2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substituir ec2:CreateTags comeks:TagResource.

      • Substituir ec2:DeleteTags comeks:UntagResource.

      • Substituir access-project com GuardDutyManaged

      • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Independentemente de como você gerencia o agente de segurança (por meio GuardDuty ou manualmente), para parar de receber os eventos de tempo de execução desse cluster, você deve remover o agente de segurança implantado desse EKS cluster. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Impacto da desativação e limpeza de recursos.

    Monitore EKS clusters seletivos usando tags de inclusão

    1. Na página Contas, depois de ativar o Runtime Monitoring, não ative o Runtime Monitoring - Configuração automatizada do agente.

    2. Adicione uma tag ao EKS cluster que pertence à conta selecionada que você deseja monitorar. O par de chave-valor da tag deve ser GuardDutyManaged-true.

      Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

      GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os EKS clusters seletivos que você deseja monitorar.

    3. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substituir ec2:CreateTags comeks:TagResource.

      • Substituir ec2:DeleteTags comeks:UntagResource.

      • Substituir access-project com GuardDutyManaged

      • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gerencie o agente GuardDuty de segurança manualmente

    1. Certifique-se de não escolher Ativar na seção Configuração automatizada do agente. Mantenha o Runtime Monitoring ativado.

    2. Escolha Salvar.

    3. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Ative automaticamente a configuração automatizada do agente para novos membros

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty

(Monitore todos os EKS clusters)

  1. Na página Runtime Monitoring, escolha Editar para atualizar a configuração existente.

  2. Na seção Configuração automatizada do agente, selecione Ativar automaticamente para novas contas de membros.

  3. Escolha Salvar.

Monitore todos os EKS clusters, mas exclua alguns deles (usando tags de exclusão)

Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança não tiver sido implantado nesse cluster

  1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  4. No painel de navegação, escolha Runtime Monitoring.

    nota

    Sempre adicione a tag de exclusão aos seus EKS clusters antes de ativar a configuração automática do agente para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

  5. Na guia Configuração, selecione Ativar automaticamente para novas contas de membros na seção de gerenciamento de GuardDuty agentes.

    Para os EKS clusters que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

  6. Escolha Salvar.

Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança foi implantado nesse cluster

  1. Independentemente de você gerenciar o agente GuardDuty de segurança por meio GuardDuty ou manualmente, adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

    Se você tiver habilitado o agente automatizado para esse EKS cluster, depois dessa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse EKS cluster. Isso pode afetar as estatísticas sobre seu uso.

    Para parar de receber os eventos de tempo de execução desse cluster, você deve remover o agente de segurança implantado desse EKS cluster. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Impacto da desativação e limpeza de recursos

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se você estava gerenciando o agente de GuardDuty segurança desse EKS cluster manualmente, consulteImpacto da desativação e limpeza de recursos.

Monitore EKS clusters seletivos usando tags de inclusão

Independentemente de como você escolheu ativar o Runtime Monitoring, as etapas a seguir ajudarão você a monitorar EKS clusters seletivos para as novas contas membros em sua organização.

  1. Certifique-se de desmarcar a opção Ativar automaticamente para novas contas de membros na seção Configuração automática do agente. Mantenha a configuração do Runtime Monitoring igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Adicione uma tag ao seu EKS cluster com a chave como GuardDutyManaged e seu valor comotrue.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os EKS clusters seletivos que você deseja monitorar.

  4. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gerencie o agente GuardDuty de segurança manualmente

Independentemente de como você escolheu ativar o Runtime Monitoring, você pode gerenciar o agente de segurança manualmente para seus EKS clusters.

  1. Certifique-se de desmarcar a caixa de seleção Ativar automaticamente para novas contas de membros na seção Configuração automática do agente. Mantenha a configuração do Runtime Monitoring igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.

Configurando o agente automatizado para contas de membros ativos de forma seletiva

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty

(Monitore todos os EKS clusters)

  1. Na página Contas, selecione as contas para as quais você deseja ativar a configuração automatizada do agente. É possível selecionar mais de uma conta por vez. Certifique-se de que as contas selecionadas nesta etapa já tenham o EKS Runtime Monitoring ativado.

  2. Em Editar planos de proteção, escolha a opção apropriada para ativar o Runtime Monitoring - Configuração automatizada do agente.

  3. Selecione a opção Confirmar.

Monitore todos os EKS clusters, mas exclua alguns deles (usando tags de exclusão)

Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança não tiver sido implantado nesse cluster

  1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    nota

    Sempre adicione a tag de exclusão aos seus EKS clusters antes de ativar a configuração automática do agente para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters da sua conta.

  4. Na página Contas, selecione a conta para a qual você deseja habilitar a opção Gerenciar o agente automaticamente. É possível selecionar mais de uma conta por vez.

  5. Em Editar planos de proteção, escolha a opção apropriada para ativar a configuração automática do agente Runtime Monitoring-Automated para a conta selecionada.

    Para os EKS clusters que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

  6. Escolha Salvar.

Para excluir um EKS cluster do monitoramento quando o agente GuardDuty de segurança foi implantado nesse cluster

  1. Adicione uma tag a esse EKS cluster com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

    Se você já tinha a configuração automatizada do agente habilitada para esse EKS cluster, depois dessa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse EKS cluster. Isso pode afetar as estatísticas sobre seu uso.

    Para parar de receber os eventos de tempo de execução desse cluster, você deve remover o agente de segurança implantado desse EKS cluster. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Impacto da desativação e limpeza de recursos

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se você estava gerenciando o agente de GuardDuty segurança desse EKS cluster manualmente, você deve removê-lo. Para ter mais informações, consulte Impacto da desativação e limpeza de recursos.

Monitore EKS clusters seletivos usando tags de inclusão

Independentemente de como você escolheu ativar o Runtime Monitoring, as etapas a seguir ajudarão você a monitorar EKS clusters seletivos que pertencem às contas selecionadas:

  1. Certifique-se de não habilitar a configuração do agente Runtime Monitoring-Automated para as contas selecionadas que têm os EKS clusters que você deseja monitorar.

  2. Adicione uma tag ao seu EKS cluster com a chave como GuardDutyManaged e seu valor comotrue.

    Para obter mais informações sobre como marcar seu EKS cluster da Amazon, consulte Como trabalhar com tags usando o console no Guia do EKS usuário da Amazon.

    Depois de adicionar a tag, GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os EKS clusters seletivos que você deseja monitorar.

  3. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substituir ec2:CreateTags comeks:TagResource.

    • Substituir ec2:DeleteTags comeks:UntagResource.

    • Substituir access-project com GuardDutyManaged

    • Substituir 123456789012 com o Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gerencie o agente GuardDuty de segurança manualmente

  1. Mantenha a configuração do Runtime Monitoring igual à configurada na etapa anterior. Certifique-se de não ativar o Runtime Monitoring - Configuração automatizada do agente para nenhuma das contas selecionadas.

  2. Selecione a opção Confirmar.

  3. Para gerenciar o agente de segurança, consulte Gerenciando o agente de segurança manualmente para o EKS cluster da Amazon.