本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
EKS 审计日志监控
EKS 审计日志监控可帮助检测 Amazon Elastic Kubernetes Service 的 EKS 集群中潜在的可疑活动。启用 EKS 审核日志监控后,会 GuardDuty 立即开始EKS 审核日志监控从您的 Amazon EKS 集群进行监控,并分析这些集群中是否存在潜在的恶意和可疑活动。它通过独立且重复的审计日志流直接使用来自 Amazon EKS 控制平面日志记录功能的 Kubernetes 审计日志事件。此过程不需要任何其他设置,也不影响您可能拥有的任何现有 Amazon EKS 控制面板日志配置。
禁用 EKS 审核日志监控后,会 GuardDuty 立即停止监控和分析您的 Amazon EKS 资源的 EKS 审核日志。
EKS 审核日志监控可能并非在所有可用 AWS 区域 的地方都可 GuardDuty 用。有关更多信息,请参阅 特定于区域的功能可用性。
30 天免费试用期如何影响账号 GuardDuty
选择您的首选访问方式,为独立账户启用或禁用 EKS 审计日志监控。
- Console
-
- API/CLI
-
-
使用委派 GuardDuty 管理员账户的区域探测器 ID 运行 updateDetectorAPI 操作,并将features
对象名称传递为EKS_AUDIT_LOGS
,状态为ENABLED
或DISABLED
。
或者,您也可以启用或禁用运行 AWS CLI 命令的 EKS 审核日志监控。以下示例代码启用 GuardDuty EKS 审核日志监控。要将其禁用,请将 ENABLED
替换为 DISABLED
。
要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features [{"Name" : "EKS_AUDIT_LOGS", "Status" : "ENABLED
"}]'
在多账户环境中配置 EKS 审计日志监控
在多账户环境中,只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 EKS 审核日志监控功能。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 AWS Organizations。这个委派的 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 EKS 审核日志监控。有关多账户环境的更多信息,请参阅在 A mazon 中管理多个账户。 GuardDuty
选择您的首选访问方式,为委派的 GuardDuty 管理员账户配置 EKS 审核日志监控。
- Console
-
- API/CLI
-
使用您自己的区域检测器 ID 运行 updateDetector API 操作,并传递 name
为 EKS_AUDIT_LOGS
、status
为 ENABLED
或 DISABLED
的 features
对象。
要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
您可以通过运行以下 AWS CLI 命令来启用或禁用 EKS 审核日志监控。确保使用委派 GuardDuty 管理员账户的有效检测器 ID
。
以下示例代码可启用 EKS 审计日志监控。确保将 12abc34d567e8fa901bc2d34e56789f0
替换为委派管理员账户的,将 55555555555555 替换为委派管理员账户的。detector-id
GuardDuty
AWS 账户 GuardDuty
要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--accountids 555555555555
--features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED
"}]'
要禁用 EKS 审计日志监控,请将 ENABLED
替换为 DISABLED
。
选择您的首选访问方式,为组织中的现有成员账户启用 EKS 审计日志监控。
- Console
-
登录 AWS Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
请务必使用委派 GuardDuty 管理员账户证书。
请执行以下操作之一:
使用 EKS 保护页面
在导航窗格中,选择 EKS 保护。
-
在配置选项卡下,您可以查看组织中活跃成员账户的 EKS 审计日志监控的当前状态。
要更新 EKS 审计日志监控的配置,请选择编辑。
选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 EKS 审计日志监控。
选择保存。
使用账户页面
在导航窗格中,选择账户。
在账户页面上,选择自动启用首选项,然后选择通过邀请添加账户。
在管理自动启用首选项窗口中,在 EKS 审计日志监控下选择为所有账户启用。
选择保存。
如果您无法使用为所有账户启用选项,并且想要为组织中的特定账户自定义 EKS 审计日志监控配置,请参阅 有选择地为成员账户启用或禁用 EKS 审计日志监控。
- API/CLI
-
要有选择地为您的成员账户启用或禁用 EKS 审计日志监控,请使用您自己的检测器 ID
运行 updateMemberDetectors API 操作。
-
以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用,请将 ENABLED
替换为 DISABLED
。
要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED
"}]'
成功执行代码后,会返回 UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
选择您的首选访问方式,为组织中所有现有活跃成员账户启用 EKS 审计日志监控。
- Console
-
登录 AWS Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
使用委派的 GuardDuty 管理员账户凭据登录。
在导航窗格中,选择 EKS 保护。
在 EKS Pro tection 页面上,您可以查看GuardDuty启动的恶意软件扫描配置的当前状态。在活跃成员账户部分下,选择操作。
从操作下拉菜单中,选择为所有现有活跃成员账户启用。
选择保存。
- API/CLI
-
要有选择地为您的成员账户启用或禁用 EKS 审计日志监控,请使用您自己的检测器 ID
运行 updateMemberDetectors API 操作。
-
以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用,请将 ENABLED
替换为 DISABLED
。
要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED
"}]'
成功执行代码后,会返回 UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
在选择配置 GuardDuty启动的恶意软件扫描 GuardDuty 之前,必须启用新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 Step 3 - Accept an invitation。
选择您的首选访问方式,为加入您组织的新账户启用 EKS 审计日志监控。
- Console
-
委派的 GuardDuty 管理员账户可以使用 EKS 审核日志监控或账户页面为组织中的新成员账户启用 EKS 审核日志监控。
为新成员账户自动启用 EKS 审计日志监控
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
请务必使用委派 GuardDuty 管理员账户证书。
-
请执行以下操作之一:
-
使用 EKS 保护页面:
-
在导航窗格中,选择 EKS 保护。
-
在 EKS 保护页面上,在 EKS 审计日志监控中选择编辑。
选择手动配置账户。
选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 EKS 审计日志监控。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。
-
选择保存。
-
使用账户页面:
-
在导航窗格中,选择账户。
-
在账户页面上,选择自动启用首选项。
-
在管理自动启用首选项窗口中,在 EKS 审计日志监控下选择为新账户启用。
选择保存。
- API/CLI
-
选择您的首选访问方式,为组织中所选的部分成员账户启用或禁用 EKS 审计日志监控。
- Console
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
请务必使用委派 GuardDuty 管理员账户证书。
-
在导航窗格中,选择账户。
在账户页面上,查看 EKS 审计日志监控列,了解您成员账户的状态。
-
启用或禁用 EKS 审计日志监控
选择要为 EKS 审计日志监控配置的账户。您可以一次选择多个账户。在编辑保护计划下拉列表中,选择 EKS 审计日志监控,然后选择相应的选项。
- API/CLI
-
要有选择地为您的成员账户启用或禁用 EKS 审计日志监控,请使用您自己的检测器 ID
调用 updateMemberDetectors API 操作。
以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用,请将 ENABLED
替换为 DISABLED
。您还可以传递由空格分隔的账户 ID 列表。
要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--accountids 111122223333
--features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED
"}]'