本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊的 EKS 保护 GuardDuty
GuardDuty EKS PAmazon GuardDuty rotestic Kubernetes Service (Amazon EKS) 所托管的 Kubernetes 集群的正式 (Amazon EKS)。
EKS 保护是一项可选的增强功能, GuardDuty 允许使用 Kubernetes 数据源。本主题介绍了启用或禁 GuardDuty 用 EKS 保护的过程。
我们强烈建议您不要在中禁用 EKS GuardDuty。如果未启用该功能,则监控或生成发现您的 Amazon EKS 环境中可疑活动的能力将受到限制。 GuardDuty
如何 GuardDuty 使用 Kubernetes 数据源
启用 EKS 保护后, GuardDuty 使用可选数据源来检测针对 Kubernetes API 的威胁。目前,在启用 Kubernetes 保护的情况下可以摄取以下数据源:
- Kubernetes 审计日志
-
Kubernetes 审计日志是所有 Kubernetes 集群的一项功能,可捕获来自用户、应用程序和控制层面的按时间顺序排列 API 活动。启用 EKS 保护后,从 Amazon EKS GuardDuty 提取这些日志,为您的亚马逊 EKS 资源生成 Kubernetes 调查结果,无需您开启或存储这些日志。有关更多信息,请参阅 Kubernetes 审核日志
启用 EKS 保护后, GuardDuty 立即开始分析来自 Amazon EKS 集群的 Kubernetes 数据源,并监控它们是否存在恶意和可疑活动。有关更多信息,请参阅亚马逊如何 GuardDuty 使用其数据源:
如果您禁用 GuardDuty EKS 保护,则 GuardDuty 立即停止使用此数据源并停止监视您的 EKS 集群。
为独立账户配置 EKS 保护
您可以通过控制台或UpdateDetector
API 操作禁用或启用 GuardDuty EKS 保护。
要为您的账户配置 EKS 保护,请参阅以下配置选项。
启用或禁用 EKS
选择以下访问方法之一,获取有关为独立账户启用或禁 GuardDuty 用 EKS 保护的说明。
在多账户环境中配置 EKS 保护
在多账户环境中,只有 GuardDuty 委托的管理员账户才能配置 EKS 保护。 GuardDuty 委托管理员可以为其成员账户启用或禁用 Kubernetes 保护。 GuardDuty 成员帐户无法启用或禁用此数据源。
GuardDuty 使用管理其成员帐户的管理员帐户Amazon Organizations可以选择在组织中的所有新帐户上自动启用 EKS Protection。有关更多信息,请参阅使用以下 GuardDuty 方式管理账户Amazon Organizations:
自动为组织成员账户启用 EKS 保护
此功能仅适用于通过注册成员的 GuardDuty 委托管理员Amazon Organizations。
通过 https://console.aws.amazon.com/guardduty/
打开 GuardDuty 主机。 -
在导航窗格中的 Settings 下,选择 Accounts。
-
确保 “的自动启 GuardDuty 用” 已开启。如果已关闭,则可以通过从标题中选择 “启用” 或选择 “自动启用为关闭” 来启用它。当新成员帐户加入您的组织时,该功能会自动启用,并且必须启用此功能才能自动启用 EKS P GuardDuty rotection。
-
开启自动启用后,您可以通过选择 Kubernetes 保护切换图标为新成员启用 EKS 保护。 GuardDuty 选择 “更新设置” 进行确认。
在成员账户中手动启用或禁用 EKS 保护
在下面选择您的访问方式,获取有关为成员账户启用或禁用 Kubernetes 保护的说明。
自动为新 GuardDuty 账户禁用 EKS 保护
默认情况下,会自动为所有 GuardDuty 账户启用 EKS 保护。
如果您是首次在新账户上启 GuardDuty 用 EKS Protection 的 GuardDuty 管理员,并且您不希望在默认情况下启用 EKS Protection,则可以通过修改带有可选dataSources
对象createDetector的 API 操作来将其禁用。以下示例在禁用 EKS 保护的情况下使用Amazon CLI 启用新的 GuardDuty 检测器。
aws guardduty create-detector --enable --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":false}}}'