Amazon EKS 叢集-管理 GuardDuty 安全代理程式的方法

GuardDuty 若要在帳戶層級或叢集層級使用 EKS 叢集中的執行階段事件，必須管理對應叢集的 GuardDuty 安全性代理程式。

管理 GuardDuty安全代理程式的方法

在 2023 年 9 月 13 日之前，您可以設定 GuardDuty 為在帳戶層級管理安全代理程式。此行為表示，依預設， GuardDuty 將管理屬於. AWS 帳戶現在， GuardDuty 提供精細的功能，協助您選擇要管理安全代理程式 GuardDuty 的 EKS 叢集。

選擇 手動管理 GuardDuty 安全代理 時，您仍可選取要監控的 EKS 叢集。但是，若要手動管理代理程式，則須事先為 AWS 帳戶 建立一個 Amazon VPC 端點。

注意

無論您使用哪種方法來管理 GuardDuty 安全性代理程式，EKS 執行階段監視一律會在帳戶層級啟用。

管理安全代理程式 GuardDuty

GuardDuty 代表您部署和管理安全代理程式。您可以在任何時間點使用下列其中一種方法來監控帳戶中的 EKS 叢集。

主題

• 監控所有 EKS 叢集
• 監控所有 EKS 叢集並排除選定 EKS 叢集
• 監控選定 EKS 叢集

監控所有 EKS 叢集

• 使用此方法的時機 — 當您想 GuardDuty 要部署和管理帳戶中所有 EKS 叢集的安全性代理程式時，請使用此方法。依預設，也 GuardDuty 會在您帳戶中建立的可能新 EKS 叢集上部署安全性代理程式。

• 使用此方法帶來的影響：

  • GuardDuty 建立 Amazon Virtual Private Cloud 端 (Amazon VPC) 端點， GuardDuty 安全代理程式可透過該端點將執行時間事件傳遞至 GuardDuty該端點。透 GuardDuty過管理安全代理程式時，建立 Amazon VPC 端點無需額外費用。

  • 您的工作者節點必須具有通往作用中 guardduty-data VPC 端點的有效網路路徑。 GuardDuty 在您的 EKS 叢集上部署安全代理程式。Amazon Elastic Kubernetes Service (Amazon EKS) 將協調在 EKS 叢集中的節點上部署安全代理程式。

  • 在 IP 可用性的基礎上， GuardDuty 選取子網路以建立 VPC 端點。如果使用進階網路拓撲，則須驗證是否可以連線。

• 考量事項：目前使用此選項時，EKS 執行期監控不會建立共用 VPC。

監控所有 EKS 叢集並排除選定 EKS 叢集

• 何時使用此方法 — 當您想要 GuardDuty 管理帳戶中所有 EKS 叢集的安全性代理程式，但排除選擇性 EKS 叢集時，請使用此方法。此方法使用標籤型¹方法，其中您可以標記不要接收執行期事件的 EKS 叢集。預先定義的標籤必須具有 GuardDutyManaged-false 作為鍵值對。

• 使用此方法帶來的影響：

  • 此方法要求您僅在將標籤新增至要從監視中排除的 EKS 叢集之後啟用 GuardDuty 代理程式自動管理。

    因此，當您 管理安全代理程式 GuardDuty 時，此影響也適用於此方法。當您在啟用 GuardDuty 代理程式自動管理之前新增標籤時， GuardDuty 將不會部署或管理從監視中排除的 EKS 叢集的安全代理程式。

• 考量：

  • 在啟用自動化代理程式組態之前，您必須將標籤鍵值配對新增為GuardDutyManaged：對false於選擇性 EKS 叢集，否則， GuardDuty 安全性代理程式將部署在所有 EKS 叢集上，直到您使用該標籤為止。

  • 您必須防止標籤遭到修改 (僅允許可信身分進行修改)。

    重要

    使用服務控制政策或 IAM 政策來管理修改 EKS 叢集的 GuardDutyManaged 標籤值的許可。如需詳細資訊，請參閱使用指南中的服務控制政策 (SCP) 或 IAM AWS Organizations 使用者指南中的控制對 AWS 資源的存取。

  • 對於不想要監控的潛在新 EKS 叢集，請確定在建立此 EKS 叢集時新增 GuardDutyManaged-false 鍵值對。

  • 此方法的考量事項與 監控所有 EKS 叢集 的考量事項相同。

監控選定 EKS 叢集

• 使用此方法的時機 — 當您想 GuardDuty 要僅針對帳戶中的選擇性 EKS 叢集部署和管理安全代理程式的更新時，請使用此方法。此方法使用標籤型¹方法，其中您可以標記要接收執行期事件的 EKS 叢集。

• 使用此方法帶來的影響：

  • 透過使用包含標記， GuardDuty 將僅針對標記為 GuardDutyManaged-的選擇性 EKS 叢集自動部署和管理安全代理程式true作為鍵值配對。

  • 使用此方法所帶來的影響與 監控所有 EKS 叢集 的相同。

• 考量事項：

  • 如果 GuardDutyManaged 標籤的值未設定為 true，包含標籤將不會如預期般運作，而且這可能會對 EKS 叢集的監控帶來影響。

  • 若要確保您的選定 EKS 叢集受到監控，則需要防止標籤遭到修改 (僅允許可信身分進行修改)。

    重要

    使用服務控制政策或 IAM 政策來管理修改 EKS 叢集的 GuardDutyManaged 標籤值的許可。如需詳細資訊，請參閱使用指南中的服務控制政策 (SCP) 或 IAM AWS Organizations 使用者指南中的控制對 AWS 資源的存取。

  • 對於不想要監控的潛在新 EKS 叢集，請確定在建立此 EKS 叢集時新增 GuardDutyManaged-false 鍵值對。

  • 此方法的考量事項與 監控所有 EKS 叢集 的考量事項相同。

¹如需有關標記選定 EKS 叢集的詳細資訊，請參閱《Amazon EKS 使用者指南》中的為您的 Amazon EKS 資源加上標籤。

手動管理 GuardDuty 安全代理

• 何時使用此方法 — 當您想要在所有 EKS 叢集上手動部署和管理 GuardDuty 安全性代理程式時，請使用此方法。確保您的帳戶已啟用 EKS 執行期監控。如果您未啟用 EKS 執行階段監視， GuardDuty安全性代理程式可能無法如預期般運作。

• 使用此方法的影響 — 您將需要協調 EKS 叢集中所有帳戶的 GuardDuty 安全性代理程式軟體部署，以及可使用此功能的 AWS 區域 地方。

• 考量事項：在持續部署新叢集和工作負載時，必須支援安全資料流程，同時監控和解決涵蓋範圍差距。