配置 EKS 运行时监控(仅限 API) - Amazon GuardDuty
为独立账户配置 EKS 运行时监控为多账户环境配置 EKS 运行时监控
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 EKS 运行时监控(仅限 API)

在您的账户中配置 EKS 运行时监控之前,请确保您使用的是支持当前使用的 Kubernetes 版本的经过验证的平台。有关更多信息,请参阅验证架构要求

GuardDuty 已将 EKS 运行时监控的控制台体验整合到运行时监控中。 GuardDuty 推荐检查 EKS 运行时监控配置状态从 EKS 运行时监控迁移到运行时监控

作为迁移到 “运行时监控” 的一部分,请确保禁用 EKS 运行时监控。这很重要,因为如果您稍后选择禁用 “运行时监控”,但未禁用 EKS 运行时监控,则将继续产生 EKS 运行时监控的使用成本。

为独立账户配置 EKS 运行时监控

有关与 Amazon Organizations 关联的账户,请参阅 为多账户环境配置 EKS 运行时监控

选择您的首选访问方法,为您的账户启用 EKS 运行时监控。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有 EKS 集群)

  1. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

  2. 或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的 EKS 集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。STATUS EKS_RUNTIME_MONITORING

    运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理所有未被排除在监控范围之外的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

监控选择性 EKS 集群(使用包含标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

手动管理安全代理

  1. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

为多账户环境配置 EKS 运行时监控

在多账户环境中,只有委派的 GuardDuty 管理员账户才能为成员账户启用或禁用 EKS 运行时监控,并管理属于其组织中成员账户的 EKS 集群的 GuardDuty 代理管理。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户账户使用管理其成员账户 Amazon Organizations。有关多账户环境的更多信息,请参阅管理多个账户

选择您的首选访问方法以启用 EKS 运行时监控并管理属于委派 GuardDuty 管理员帐户的 EKS 集群 GuardDuty的安全代理。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有 EKS 集群)

运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的 EKS 集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。STATUS EKS_RUNTIME_MONITORING

    运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理所有未被排除在监控范围之外的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'

监控选择性 EKS 集群(使用包含标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'

手动管理安全代理

  1. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

选择您的首选访问方法,为所有成员账户启用 EKS 运行时监控。这包括委派 GuardDuty 管理员账户、现有成员账户和加入组织的新账户。选择您首选的方法来管理属于这些成员账户的 EKS 集群 GuardDuty 的安全代理。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有 EKS 集群)

要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注意

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的 EKS 集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。STATUS EKS_RUNTIME_MONITORING

    运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理所有未被排除在监控范围之外的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控选择性 EKS 集群(使用包含标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

手动管理安全代理

  1. 运行 updateDetector API:使用您自己的区域检测器 ID,并将 features 对象名称设为 EKS_RUNTIME_MONITORING,状态设为 ENABLED 进行传递。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

选择您的首选访问方法以启用 EKS 运行时监控并管理组织中现有活跃成员帐户 GuardDuty 的安全代理。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有 EKS 集群)

要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注意

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的 EKS 集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。STATUS EKS_RUNTIME_MONITORING

    要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理所有未被排除在监控范围之外的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控选择性 EKS 集群(使用包含标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

手动管理安全代理

  1. 要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

委派的 GuardDuty 管理员帐户可以自动启用 EKS 运行时监控,并选择一种方法来管理加入组织的新账户 GuardDuty 的安全代理。

API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有 EKS 集群)

要有选择地为您的新账户启用 EKS 运行时监控,请调用您自己的检测器 ID 运行 UpdateOrganizationConfiguration API 操作。

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

以下示例为单个账户同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT。您还可以传递由空格分隔的账户 ID 列表。

要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的 EKS 集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。STATUS EKS_RUNTIME_MONITORING

    要有选择地为您的新账户启用 EKS 运行时监控,请调用您自己的检测器 ID 运行 UpdateOrganizationConfiguration API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理所有未被排除在监控范围之外的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例为单个账户同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT。您还可以传递由空格分隔的账户 ID 列表。

    要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控选择性 EKS 集群(使用包含标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 要有选择地为您的新账户启用 EKS 运行时监控,请调用您自己的检测器 ID 运行 UpdateOrganizationConfiguration API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例为单个账户启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT。您还可以传递由空格分隔的账户 ID 列表。

    要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

手动管理安全代理

  1. 要有选择地为您的新账户启用 EKS 运行时监控,请调用您自己的检测器 ID 运行 UpdateOrganizationConfiguration API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例为单个账户启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT。您还可以传递由空格分隔的账户 ID 列表。

    要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] ]'

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理
API/CLI

根据 管理 GuardDuty安全代理的方法,您可以选择首选方法,并按照下表中所述的步骤进行操作。

管理 GuardDuty 安全代理的首选方法

步骤

通过管理安全代理 GuardDuty (监控所有 EKS 集群)

要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

GuardDuty 将管理您账户中所有 Amazon EKS 集群的安全代理的部署和更新。

或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
注意

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-false。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
  3. 注意

    在将设置为之前,请务必将排除标签添加到您的 EKS 集群ENABLED;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。STATUS EKS_RUNTIME_MONITORING

    要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 ENABLED

    GuardDuty 将管理所有未被排除在监控范围之外的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例同时启用了 EKS_RUNTIME_MONITORINGEKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] ]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

监控选择性 EKS 集群(使用包含标签)

  1. 向您要从监控中排除的 EKS 集群添加标签。键值对是 GuardDutyManaged-true。有关添加标签的更多信息,请参阅《Amazon EKS 用户指南》中的通过 CLI、API 或 eksctl 使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2: CreateTags 替换为eks:TagResource

    • ec2: DeleteTags 替换为eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012 替换为可信实体的 ID。 Amazon Web Services 账户

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    GuardDuty 将管理所有标有 GuardDutyManaged-true 对的 Amazon EKS 集群的安全代理的部署和更新。

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "DISABLED"}] ]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

    成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

手动管理安全代理

  1. 要有选择地为您的成员账户启用 EKS 运行时监控,请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。

    EKS_ADDON_MANAGEMENT 的状态设为 DISABLED

    或者,您可以使用自己的区域探测器 ID 来使用该 Amazon CLI 命令。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId

    以下示例启用了 EKS_RUNTIME_MONITORING,并禁用了 EKS_ADDON_MANAGEMENT

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] } ]'

  2. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理