配置EKS运行时监控(API仅限) - Amazon GuardDuty
为独立账户配置EKS运行时监控为多EKS账户环境配置运行时监控

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置EKS运行时监控(API仅限)

在账户中配置EKS运行时监控之前,请确保您使用的是支持当前使用的 Kubernetes 版本的经过验证的平台。有关更多信息,请参阅验证架构要求

GuardDuty 已将EKS运行时监控的控制台体验整合到运行时监控中。 GuardDuty 推荐检查EKS运行时监控配置状态从EKS运行时监控迁移到运行时监控

作为迁移到运行时监控的一部分,请确保禁用EKS运行时监控。这一点很重要,因为如果您稍后选择禁用 “运行时监控”,但未禁用 “EKS运行时监控”,则将继续产生EKS运行时监控的使用成本。

为独立账户配置EKS运行时监控

对于与之关联的账户 AWS Organizations,请参阅为多EKS账户环境配置运行时监控

选择您的首选访问方式,为您的账户启用EKS运行时监控。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有EKS集群)

  1. 运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

  2. 或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

监控所有EKS集群,但排除其中一些集群(使用排除标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 与 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的EKS集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有EKS集群上。STATUS EKS_RUNTIME_MONITORING

    运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理所有未被排除在监控范围之外的Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

监控选择性EKS聚类(使用包含标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 与 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

手动管理安全代理

  1. 运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

为多EKS账户环境配置运行时监控

在多账户环境中,只有委派的 GuardDuty 管理员账户才能为成员账户启用或禁用 EKS Runtime Monitoring,并管理属于其组织中成员账户的EKS集群的 GuardDuty 代理管理。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账号账户使用管理其成员账号 AWS Organizations。 有关多账户环境的更多信息,请参阅管理多个账户

选择您的首选访问方法以启用EKS运行时监控并管理属于委派 GuardDuty 管理员帐户的EKS集群 GuardDuty的安全代理。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有EKS集群)

运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

监控所有EKS集群,但排除其中一些集群(使用排除标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 与 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的EKS集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有EKS集群上。STATUS EKS_RUNTIME_MONITORING

    运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理所有未被排除在监控范围之外的Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

监控选择性EKS聚类(使用包含标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 与 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

手动管理安全代理

  1. 运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

选择您的首选访问方式,为所有成员账户启用EKS运行时监控。这包括委派 GuardDuty 管理员账户、现有成员账户和加入组织的新账户。选择您首选的方法来管理属于这些成员账户的EKS集群 GuardDuty 的安全代理。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有EKS集群)

要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注意

您也可以传递用空格IDs分隔的账户列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控所有EKS集群,但排除其中一些集群(使用排除标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 随着 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的EKS集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有EKS集群上。STATUS EKS_RUNTIME_MONITORING

    运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理尚未排除在监控范围之外的所有 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注意

    您也可以传递用空格IDs分隔的账户列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控选择性EKS聚类(使用包含标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 随着 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注意

    您也可以传递用空格IDs分隔的账户列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

手动管理安全代理

  1. 运行updateDetectorAPI通过使用您自己的区域探测器 ID 并将features对象名称传递为,将EKS_RUNTIME_MONITORING状态传递为ENABLED

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

选择您的首选访问方法以启用EKS运行时监控并管理组织中现有活跃成员帐户 GuardDuty 的安全代理。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有EKS集群)

要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注意

您也可以传递用空格IDs分隔的账户列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控所有EKS集群,但排除其中一些集群(使用排除标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 随着 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的EKS集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有EKS集群上。STATUS EKS_RUNTIME_MONITORING

    要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理尚未排除在监控范围之外的所有 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注意

    您也可以传递用空格IDs分隔的账户列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控选择性EKS聚类(使用包含标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 随着 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注意

    您也可以传递用空格IDs分隔的账户列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

手动管理安全代理

  1. 要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

委派的 GuardDuty 管理员帐户可以自动启用 EKS Runtime Monitoring,并选择一种方法来管理加入组织的新帐户 GuardDuty 的安全代理。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有EKS集群)

要有选择地为您的新账户启用EKS运行时监控,请调用 UpdateOrganizationConfigurationAPI自己动手操作 detector ID.

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

以下示例为单个账户同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT。您也可以传递用空格IDs分隔的账户列表。

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控所有EKS集群,但排除其中一些集群(使用排除标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 随着 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的EKS集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有EKS集群上。STATUS EKS_RUNTIME_MONITORING

    要有选择地为您的新账户启用EKS运行时监控,请调用 UpdateOrganizationConfigurationAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理尚未排除在监控范围之外的所有 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例为单个账户同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT。您也可以传递用空格IDs分隔的账户列表。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控选择性EKS聚类(使用包含标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 随着 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 要有选择地为您的新账户启用EKS运行时监控,请调用 UpdateOrganizationConfigurationAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例为单个账户启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT。您也可以传递用空格IDs分隔的账户列表。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

手动管理安全代理

  1. 要有选择地为您的新账户启用EKS运行时监控,请调用 UpdateOrganizationConfigurationAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例为单个账户启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT。您也可以传递用空格IDs分隔的账户列表。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理
API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有EKS集群)

要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注意

您也可以传递用空格IDs分隔的账户列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控所有EKS集群,但排除其中一些集群(使用排除标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 随着 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的EKS集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有EKS集群上。STATUS EKS_RUNTIME_MONITORING

    要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理尚未排除在监控范围之外的所有 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注意

    您也可以传递用空格IDs分隔的账户列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控选择性EKS聚类(使用包含标签)

  1. 为要排除在监控范围之外的EKS集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅亚马逊EKS用户指南中的使用CLIAPI、或 eksctl 处理标签

  2. 要防止修改标签(受信任实体除外),请使用禁止修改标签中提供的策略,除非由授权的委托人修改 AWS Organizations 用户指南。在该策略中,替换以下详细信息:

    • Replace(替换) ec2:CreateTagseks:TagResource

    • Replace(替换) ec2:DeleteTagseks:UntagResource

    • Replace(替换) access-projectGuardDutyManaged

    • Replace(替换) 123456789012 随着 AWS 账户 可信实体的 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注意

    您也可以传递用空格IDs分隔的账户列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

手动管理安全代理

  1. 要有选择地为您的成员账户启用EKS运行时监控,请运行 updateMemberDetectorsAPI自己动手操作 detector ID.

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,你可以使用 AWS CLI 使用您自己的区域探测器 ID 进行命令。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理