为独立账户配置 EKS 运行时监控(API) - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为独立账户配置 EKS 运行时监控(API)

独立账户负责决定其 Amazon Web Services 账户 在特定中启用或禁用防护计划 Amazon Web Services 区域。

如果您的账户是通过或通过 Amazon Organizations邀请方式与 GuardDuty 管理员账户关联,则本节的内容不适用您的账户。有关更多信息,请参阅 为多账户环境配置 EKS 运行时监控(API)

启用运行时监控后,务必要通过自动配置或手动部署来安装 GuardDuty 安全代理。在完成以下过程中列出的所有步骤时,务必要安装安全代理。

根据 在 Amazon EKS 集群中管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有 EKS 集群)

  1. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

  2. 或者,您可以通过自己的区域检测器 ID 来使用 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将 of 设置为之前,请务必将排除标签添加到您的 EKS 集群ENABLED;否则, GuardDuty 安全代理将被部署到您账户中的所有 EKS 集群上。STATUS EKS_RUNTIME_MONITORING

    运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理未从监控中排除的所有 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以通过自己的区域检测器 ID 来使用 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

监控选择性 EKS 集群(使用包含标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有已用 GuardDutyManaged-true 对标记的 Amazon EKS 集群,管理安全代理的部署和更新。

    或者,您可以通过自己的区域检测器 ID 来使用 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

手动管理安全代理

  1. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以通过自己的区域检测器 ID 来使用 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] }]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理