Gerenciando automaticamente o agente de segurança para recursos do Amazon EKS - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando automaticamente o agente de segurança para recursos do Amazon EKS

O Runtime Monitoring suporta a ativação do agente de segurança por meio de configuração GuardDuty automática e manual. Esta seção fornece as etapas para habilitar a configuração de agente automatizado para clusters do Amazon EKS.

Antes de continuar, certifique-se de que você tenha seguido o Pré-requisitos para o suporte ao cluster do Amazon EKS.

Com base em sua abordagem preferida sobre como Gerencie o agente de segurança por meio de GuardDuty, escolha adequadamente as etapas nas seções a seguir.

Em ambientes com várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar a configuração automatizada do agente para as contas dos membros e gerenciar o agente automatizado para os clusters EKS pertencentes às contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciar de várias contas.

Configurando a configuração automatizada do agente para a conta de administrador delegado GuardDuty

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty

(Monitorar todos os clusters do EKS)

Se escolher Habilitar para todas as contas na seção Monitoramento de runtime, você terá as seguintes opções:

  • Escolha Ativar para todas as contas na seção Configuração automática do agente. GuardDuty implantará e gerenciará o agente de segurança para todos os clusters EKS que pertencem à conta de GuardDuty administrador delegada e também para todos os clusters EKS que pertencem a todas as contas membros existentes e potencialmente novas na organização.

  • Escolha Configurar contas manualmente.

Se você escolheu Configurar contas manualmente na seção Monitoramento de runtime, faça o seguinte:

  1. Selecione Configurar contas manualmente na seção Configuração de agente automatizado.

  2. Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).

Escolha Salvar.

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando tags de exclusão)

Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança não foi implantado nesse cluster

  1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  4. No painel de navegação, escolha Monitoramento de runtime.

    nota

    Sempre adicione a tag de exclusão aos seus clusters EKS antes de ativar o gerenciamento automático de GuardDuty agentes para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.

  5. Na guia Configuração, escolha Habilitar na seção Gerenciamento de GuardDuty agentes.

    Para os clusters EKS que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

  6. Escolha Salvar.

Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança foi implantado nesse cluster

  1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se você tiver habilitado o agente automatizado para esse cluster EKS, depois dessa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse cluster EKS. Isso pode afetar as estatísticas sobre seu uso.

    Para parar de receber os eventos de runtime desse cluster, você deve remover o agente de segurança implantado desse cluster do EKS. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Desativação, desinstalação e remoção de recursos no Monitoramento de runtime

  4. Se você estava gerenciando o agente de GuardDuty segurança desse cluster EKS manualmente, consulteDesativação, desinstalação e remoção de recursos no Monitoramento de runtime.

Monitorar clusters do EKS seletivos usando tags de inclusão

Independentemente de como você escolheu habilitar o Monitoramento de runtime, as etapas a seguir ajudarão você a monitorar clusters do EKS seletivos em sua conta:

  1. Certifique-se de escolher Desativar para conta de GuardDuty administrador delegado (esta conta) na seção Configuração automatizada do agente. Mantenha a configuração do Monitoramento de runtime igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Adicione uma tag ao seu cluster do EKS com a chave como GuardDutyManaged e seu valor como true.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os clusters EKS seletivos que você deseja monitorar.

  4. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gerencie o agente GuardDuty de segurança manualmente

Independentemente de como optou por habilitar o Monitoramento de runtime, é possível gerenciar o agente de segurança manualmente para seus clusters do EKS.

  1. Certifique-se de escolher Desativar para conta de GuardDuty administrador delegado (esta conta) na seção Configuração automatizada do agente. Mantenha a configuração do Monitoramento de runtime igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

Habilitar automaticamente o agente automatizado para todas as contas de membros

nota

Pode levar até 24 horas para atualizar a configuração das contas-membro.

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty

(Monitorar todos os clusters do EKS)

Este tópico trata da habilitação do Monitoramento de runtime para todas as contas-membro e, portanto, as etapas a seguir pressupõem que você deve ter escolhido Habilitar para todas as contas na seção Monitoramento de runtime.

  1. Escolha Ativar para todas as contas na seção Configuração automática do agente. GuardDuty implantará e gerenciará o agente de segurança para todos os clusters EKS que pertencem à conta de GuardDuty administrador delegada e também para todos os clusters EKS que pertencem a todas as contas membros existentes e potencialmente novas na organização.

  2. Escolha Salvar.

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando tags de exclusão)

Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança não foi implantado nesse cluster

  1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  4. No painel de navegação, escolha Monitoramento de runtime.

    nota

    Sempre adicione a tag de exclusão aos seus clusters EKS antes de ativar o agente automatizado para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.

  5. Na guia Configuração, escolha Editar na seção Configuração do Monitoramento de runtime.

  6. Selecione Habilitar para todas as contas na seção Configuração automatizada do agente. Para os clusters EKS que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

  7. Escolha Salvar.

Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança foi implantado nesse cluster

  1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

  2. Se você tiver a configuração automatizada do agente habilitada para esse cluster EKS, depois dessa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse cluster EKS. Isso pode afetar as estatísticas sobre seu uso.

    Para parar de receber os eventos de runtime desse cluster, você deve remover o agente de segurança implantado desse cluster do EKS. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Desativação, desinstalação e remoção de recursos no Monitoramento de runtime

  3. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. Se você estava gerenciando o agente de GuardDuty segurança desse cluster EKS manualmente, consulteDesativação, desinstalação e remoção de recursos no Monitoramento de runtime.

Monitorar clusters do EKS seletivos usando tags de inclusão

Independentemente de como você escolheu habilitar o Monitoramento de runtime, as etapas a seguir ajudarão você a monitorar clusters do EKS seletivos para todas as contas-membro em sua organização:

  1. Não habilite nenhuma configuração na seção Configuração de agente automatizado Mantenha a configuração do Monitoramento de runtime igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Adicione uma tag ao seu cluster do EKS com a chave como GuardDutyManaged e seu valor como true.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os clusters EKS seletivos que você deseja monitorar.

  4. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gerencie o agente GuardDuty de segurança manualmente

Independentemente de como tenha optado por habilitar o Monitoramento de runtime, é possível gerenciar o agente de segurança manualmente para seus clusters do EKS.

  1. Não habilite nenhuma configuração na seção Configuração de agente automatizado Mantenha a configuração do Monitoramento de runtime igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

Habilitando o agente automatizado para todas as contas de membros ativas existentes

nota

Pode levar até 24 horas para atualizar a configuração das contas-membro.

Para gerenciar o agente GuardDuty de segurança para contas de membros ativos existentes em sua organização

  • GuardDuty Para receber os eventos de tempo de execução dos clusters EKS que pertencem às contas de membros ativos existentes na organização, você deve escolher uma abordagem preferida para gerenciar o agente de GuardDuty segurança desses clusters EKS. Para obter mais informações sobre essas abordagens, consulte Abordagens para gerenciar agentes GuardDuty de segurança em clusters do Amazon EKS.

    Abordagem preferida para gerenciar o agente GuardDuty de segurança

    Etapas

    Gerencie o agente de segurança por meio de GuardDuty

    (Monitorar todos os clusters do EKS)
    Para monitorar todos os clusters do EKS para todas as contas-membro ativas existentes

    1. Na página Monitoramento de runtime, na guia Configuração, é possível visualizar o status atual da Configuração de agente automatizado.

    2. No painel Configuração de agente automatizado, na seção Contas de membros ativas, selecione Ações.

    3. Em Ações, escolha Habilitar para todas as contas-membro ativas existentes.

    4. Escolha Confirmar.

    Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)

    Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

    Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança não foi implantado nesse cluster

    1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

      Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

    2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substitua ec2:CreateTags por eks:TagResource.

      • Substitua ec2:DeleteTags por eks:UntagResource.

      • Substituir access-project por GuardDutyManaged

      • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    4. No painel de navegação, escolha Monitoramento de runtime.

      nota

      Sempre adicione a tag de exclusão aos seus clusters EKS antes de ativar a configuração automática do agente para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.

    5. Na guia Configuração, no painel Configuração de agente automatizado, em Contas de membros ativas, selecione Ações.

    6. Em Ações, escolha Habilitar para todas as contas-membro ativas.

    7. Escolha Confirmar.

    Para excluir um cluster EKS do monitoramento após o agente GuardDuty de segurança já ter sido implantado nesse cluster

    1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

      Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

      Após essa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse cluster EKS. Isso pode afetar as estatísticas sobre seu uso.

    2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substitua ec2:CreateTags por eks:TagResource.

      • Substitua ec2:DeleteTags por eks:UntagResource.

      • Substituir access-project por GuardDutyManaged

      • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Independentemente de como você gerencia o agente de segurança (por meio GuardDuty ou manualmente), para parar de receber os eventos de tempo de execução desse cluster, você deve remover o agente de segurança implantado desse cluster EKS. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Desativação, desinstalação e remoção de recursos no Monitoramento de runtime.

    Monitorar clusters do EKS seletivos usando tags de inclusão

    1. Na página Contas, depois de ativar o Monitoramento de runtime, não habilite Monitoramento de runtime - Configuração de agente automatizado.

    2. Adicione uma tag ao cluster do EKS que pertence à conta selecionada que você deseja monitorar. O par de chave-valor da tag deve ser GuardDutyManaged-true.

      Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

      GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os clusters EKS seletivos que você deseja monitorar.

    3. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substitua ec2:CreateTags por eks:TagResource.

      • Substitua ec2:DeleteTags por eks:UntagResource.

      • Substituir access-project por GuardDutyManaged

      • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gerencie o agente GuardDuty de segurança manualmente

    1. Certifique-se de não selecionar Habilitar na seção Configuração de agente automatizado. Mantenha o Monitoramento de runtime habilitado.

    2. Escolha Salvar.

    3. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

Habilite automaticamente a configuração de agente automatizado para novos membros

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty

(Monitorar todos os clusters do EKS)

  1. Na página Monitoramento de runtime, escolha Editar para atualizar a configuração existente.

  2. Na seção Configuração automatizada do agente, selecione Habilitar automaticamente para novas contas de membros.

  3. Escolha Salvar.

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando tags de exclusão)

Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança não foi implantado nesse cluster

  1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  4. No painel de navegação, escolha Monitoramento de runtime.

    nota

    Sempre adicione a tag de exclusão aos seus clusters EKS antes de ativar a configuração automática do agente para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.

  5. Na guia Configuração, selecione Ativar automaticamente para novas contas de membros na seção de gerenciamento de GuardDuty agentes.

    Para os clusters EKS que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

  6. Escolha Salvar.

Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança foi implantado nesse cluster

  1. Independentemente de você gerenciar o agente GuardDuty de segurança por meio GuardDuty ou manualmente, adicione uma tag a esse cluster EKS com a chave como GuardDutyManaged e seu valor comofalse.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

    Se você tiver habilitado o agente automatizado para esse cluster EKS, depois dessa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse cluster EKS. Isso pode afetar as estatísticas sobre seu uso.

    Para parar de receber os eventos de runtime desse cluster, você deve remover o agente de segurança implantado desse cluster do EKS. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Desativação, desinstalação e remoção de recursos no Monitoramento de runtime

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se você estava gerenciando o agente de GuardDuty segurança desse cluster EKS manualmente, consulteDesativação, desinstalação e remoção de recursos no Monitoramento de runtime.

Monitorar clusters do EKS seletivos usando tags de inclusão

Independentemente de como você escolheu habilitar o Monitoramento de runtime, as etapas a seguir ajudarão a monitorar clusters do EKS seletivos para as novas contas-membro em sua organização.

  1. Certifique-se de desmarcar a opção Habilitar automaticamente para novas contas de membros na seção Configuração de agente automatizado. Mantenha a configuração do Monitoramento de runtime igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Adicione uma tag ao seu cluster do EKS com a chave como GuardDutyManaged e seu valor como true.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

    GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os clusters EKS seletivos que você deseja monitorar.

  4. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gerencie o agente GuardDuty de segurança manualmente

Independentemente de como optou por habilitar o Monitoramento de runtime, é possível gerenciar o agente de segurança manualmente para seus clusters do EKS.

  1. Certifique-se de desmarcar a caixa de seleção Habilitar automaticamente para novas contas de membros na seção Configuração de agente automatizado. Mantenha a configuração do Monitoramento de runtime igual à configurada na etapa anterior.

  2. Escolha Salvar.

  3. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

Configurando seletivamente o agente automatizado para contas-membro ativas

Abordagem preferida para gerenciar o agente GuardDuty de segurança

Etapas

Gerencie o agente de segurança por meio de GuardDuty

(Monitorar todos os clusters do EKS)

  1. Na página Contas, selecione as contas para as quais deseja habilitar a opção Configuração de agente automatizado. É possível selecionar mais de uma conta por vez. Certifique-se de que as contas selecionadas nesta etapa já tenham o Monitoramento de runtime do EKS habilitado.

  2. Em Editar planos de proteção, selecione a opção apropriada para habilitar o Monitoramento de runtime - Configuração de agente automatizado.

  3. Escolha Confirmar.

Monitorar todos os clusters do EKS, mas excluir alguns deles (usando tags de exclusão)

Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você.

Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança não foi implantado nesse cluster

  1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    nota

    Sempre adicione a tag de exclusão aos seus clusters EKS antes de ativar a configuração automática do agente para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.

  4. Na página Contas, selecione a conta para a qual você deseja habilitar a opção Gerenciar o agente automaticamente. É possível selecionar mais de uma conta por vez.

  5. Em Editar planos de proteção, selecione a opção apropriada para habilitar o Monitoramento de runtime - Configuração de agente automatizado para a conta selecionada.

    Para os clusters EKS que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

  6. Escolha Salvar.

Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança foi implantado nesse cluster

  1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

    Se você já tinha a configuração automatizada do agente habilitada para esse cluster EKS, depois dessa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse cluster EKS. Isso pode afetar as estatísticas sobre seu uso.

    Para parar de receber os eventos de runtime desse cluster, você deve remover o agente de segurança implantado desse cluster do EKS. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Desativação, desinstalação e remoção de recursos no Monitoramento de runtime

  2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Se você estava gerenciando o agente de GuardDuty segurança desse cluster EKS manualmente, você deve removê-lo. Para obter mais informações, consulte Desativação, desinstalação e remoção de recursos no Monitoramento de runtime.

Monitorar clusters do EKS seletivos usando tags de inclusão

Independentemente de como você escolheu habilitar o Monitoramento de runtime, as etapas a seguir ajudarão a monitorar clusters do EKS seletivos que pertencem às contas selecionadas:

  1. Certifique-se de não habilitar Monitoramento de runtime - Configuração de agente automatizado para as contas selecionadas que têm os clusters do EKS que deseja monitorar.

  2. Adicione uma tag ao seu cluster do EKS com a chave como GuardDutyManaged e seu valor como true.

    Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

    Depois de adicionar a tag, GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os clusters EKS seletivos que você deseja monitorar.

  3. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

    • Substitua ec2:CreateTags por eks:TagResource.

    • Substitua ec2:DeleteTags por eks:UntagResource.

    • Substituir access-project por GuardDutyManaged

    • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

      Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Gerencie o agente GuardDuty de segurança manualmente

  1. Mantenha a configuração do Monitoramento de runtime igual à configurada na etapa anterior. Certifique-se de não habilitar o Monitoramento de runtime - Configuração do agente automatizado para nenhuma das contas selecionadas.

  2. Escolha Confirmar.

  3. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.

Uma conta autônoma é responsável pela decisão de ativar ou desativar um plano de proteção Conta da AWS em uma conta específica Região da AWS.

Se sua conta estiver associada a uma conta de GuardDuty administrador por meio AWS Organizations ou pelo método de convite, esta seção não se aplica à sua conta. Para obter mais informações, consulte Habilitando o Monitoramento de runtime do EKS para ambientes com várias contas.

Depois de ativar o Runtime Monitoring, certifique-se de instalar o agente GuardDuty de segurança por meio de configuração automatizada ou implantação manual. Como parte da conclusão de todas as etapas listadas no procedimento a seguir, certifique-se de instalar o agente de segurança.

Com base em sua prioridade de monitorar todos os recursos do Amazon EKS ou recursos seletivos, escolha um método de acordo com sua preferência e siga as etapas da tabela a seguir.

  1. Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Monitoramento de runtime.

  3. Na guia Configuração, selecione Habilitar para habilitar a configuração de agente automático para sua conta.

    Abordagem preferida para implantar o agente GuardDuty de segurança

    Etapas

    Gerencie o agente de segurança por meio de GuardDuty

    (Monitorar todos os clusters do EKS)

    1. Escolha Ativar na seção Configuração automatizada do agente. GuardDuty gerenciará a implantação e as atualizações do agente de segurança para todos os clusters EKS existentes e potencialmente novos em sua conta.

    2. Escolha Salvar.

    Monitorar todos os clusters do EKS, mas excluir alguns deles (usando a tag de exclusão)

    Nos procedimentos a seguir, escolha um dos cenários que se aplica a você.

    Para excluir um cluster EKS do monitoramento quando o agente de GuardDuty segurança não foi implantado nesse cluster

    1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

      Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

    2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substitua ec2:CreateTags por eks:TagResource.

      • Substitua ec2:DeleteTags por eks:UntagResource.

      • Substituir access-project por GuardDutyManaged

      • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    4. No painel de navegação, escolha Monitoramento de runtime.

      nota

      Sempre adicione a tag de exclusão aos seus clusters EKS antes de ativar o gerenciamento automático de GuardDuty agentes para sua conta; caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS em sua conta.

    5. Na guia Configuração, escolha Habilitar na seção Gerenciamento de GuardDuty agentes.

      Para os clusters EKS que não foram excluídos do monitoramento, GuardDuty gerenciará a implantação e as atualizações do agente GuardDuty de segurança.

    6. Escolha Salvar.

    Para excluir um cluster EKS do monitoramento após o agente GuardDuty de segurança já ter sido implantado nesse cluster

    1. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como false.

      Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

      Após essa etapa, não GuardDuty atualizará o agente de segurança desse cluster. No entanto, o agente de segurança permanecerá implantado e GuardDuty continuará recebendo os eventos de tempo de execução desse cluster EKS. Isso pode afetar as estatísticas sobre seu uso.

    2. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substitua ec2:CreateTags por eks:TagResource.

      • Substitua ec2:DeleteTags por eks:UntagResource.

      • Substituir access-project por GuardDutyManaged

      • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Para parar de receber os eventos de runtime desse cluster, você deve remover o agente de segurança implantado desse cluster do EKS. Para obter mais informações sobre a remoção do agente de segurança implantado, consulte Desativação, desinstalação e remoção de recursos no Monitoramento de runtime.

    Monitorar clusters do EKS seletivos usando tags de inclusão

    1. Certifique-se de selecionar Desabilitar na seção Configuração de agente automatizado. Mantenha o Monitoramento de runtime habilitado.

    2. Escolha Salvar

    3. Adicione uma tag a esse cluster do EKS com a chave como GuardDutyManaged e seu valor como true.

      Para obter mais informações sobre como marcar seu cluster do Amazon EKS, consulte Como trabalhar com tags usando o console no Guia do usuário do Amazon EKS.

      GuardDuty gerenciará a implantação e as atualizações do agente de segurança para os clusters EKS seletivos que você deseja monitorar.

    4. Para evitar a modificação de tags, exceto pelas entidades confiáveis, use a política fornecida em Impedir que as tags sejam modificadas, exceto por diretores autorizados no Guia do usuário do AWS Organizations . Nessa política, substitua estes detalhes:

      • Substitua ec2:CreateTags por eks:TagResource.

      • Substitua ec2:DeleteTags por eks:UntagResource.

      • Substituir access-project por GuardDutyManaged

      • 123456789012Substitua pelo Conta da AWS ID da entidade confiável.

        Quando você tiver mais de uma entidade confiável, use o exemplo a seguir para adicionar vários PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Gerenciar agente manualmente

    1. Certifique-se de selecionar Desabilitar na seção Configuração de agente automatizado. Mantenha o Monitoramento de runtime habilitado.

    2. Escolha Salvar.

    3. Para gerenciar o agente de segurança, consulte Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS.