

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# GuardDuty EKS 保护
<a name="kubernetes-protection"></a>

**注意**  
您可以在 GuardDuty 控制台的单个页面上配置 EKS 防护以及所有其他保护计划。有关更多信息，请参阅 [配置保护计划](protection-plans.md)。

EKS Protection 可帮助您检测环境中亚马逊 Elastic Kubernetes Service（亚马逊 EKS）集群中的潜在安全风险。 Amazon 例如，它可以帮助您检测配置错误的 EKS 集群何时被试图从您的集群收集机密或 Amazon 凭据的未经身份验证的参与者访问。EKS 防护功能使用 EKS 审计日志来分析用户和应用程序的活动。

启用 EKS 保护后， GuardDuty 会自动开始监控您的 Amazon EKS 集群是否存在潜在的安全威胁。 GuardDuty 使用自己的独立数据流进行收集和分析，[EKS 防护中的 EKS 审计日志](#guardduty_k8s-audit-logs)无需额外配置。

当基于 EKS 审核日志监控 GuardDuty 检测到潜在威胁时，它会生成安全发现。有关启用 EKS 保护时 GuardDuty 可能生成的查找类型的信息，请参阅[EKS 防护调查发现类型](guardduty-finding-types-eks-audit-logs.md)。

**注意**  
要查看您账户中的 EKS 审核日志（可选），您可以配置 Amazon EKS 控制平面日志以将审核日志发送到 CloudWatch 日志。此配置与 EKS Protection 是分开的，并且不是中安全监控功能所必需的 GuardDuty。

**30 天免费试用期**
+ 首次 GuardDuty 在 in Amazon Web Services 账户 中启用时，您将获得 30 天的免费试用期。 Amazon Web Services 区域 在这种情况下， GuardDuty 还将启用 EKS 保护，该保护包含在 30 天免费试用版中。
+ 如果您已经在使用 GuardDuty 并决定首次启用 EKS 保护，那么您在该地区的账户将获得 EKS Protection 的 30 天免费试用。
+ 您可以随时选择禁用任何区域的 EKS 防护。
+ 在 30 天免费试用期内，您可以估算该账户在该区域的使用成本。30 天免费试用期结束后， GuardDuty 不会自动禁用 EKS 保护。您的账户在该区域将开始产生使用成本。有关更多信息，请参阅 [监控使用情况并估算成本](monitoring_costs.md)。

禁用 EKS 保护后，会 GuardDuty 立即停止监控和分析您的 Amazon EKS 资源的 EKS 审核日志。

EKS Protection 可能并非在所有可用 Amazon Web Services 区域 的地方 GuardDuty 都可用。有关更多信息，请参阅 [Region-specific 功能可用性](guardduty_regions.md#gd-regional-feature-availability)。

**注意**  
EKS 运行时监控时作为运行时监控的一部分进行管理的。有关更多信息，请参阅 [GuardDuty 运行时监控](runtime-monitoring.md)。

## EKS 防护中的 EKS 审计日志
<a name="guardduty_k8s-audit-logs"></a>

EKS 审计日志可捕获 Amazon EKS 集群内的连续操作，包括来自用户、使用 Kubernetes API 的应用程序以及控制面板的活动。审计日志记录是所有 Kubernetes 集群的一个组件。

有关更多信息，请参阅 Kubernetes 文档中的[审计](https://Kubernetes.io/docs/tasks/debug-application-cluster/audit/)。

Amazon EKS 允许通过 EKS [控制平面 CloudWatch 日志记录功能将 EKS 审核日志作为亚马逊日志](https://docs.amazonaws.cn/eks/latest/userguide/control-plane-logs.html)提取。 GuardDuty 不会管理你的 Amazon EKS 控制平面日志，也不会让你的账户可以访问 EKS 审核日志（如果您尚未为 Amazon EKS 启用 EKS 审核日志）。要管理对 EKS 审计日志的访问和保留，必须配置 Amazon EKS 控制面板日志记录功能。有关更多信息，请参阅《Amazon EKS 用户指南》****中的[启用和禁用控制面板日志](https://docs.amazonaws.cn/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export)。