自动管理 Amazon EKS 资源的安全代理 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自动管理 Amazon EKS 资源的安全代理

运行时监控支持通过 GuardDuty 自动配置和手动启用安全代理。本节介绍了为 Amazon EKS 集群启用自动代理配置的步骤。

在继续操作之前,请确保您已满足 Amazon EKS 集群支持的先决条件的要求。

根据您偏好的通过以下方式管理安全代理 GuardDuty的方法,相应地选择以下各章节中的步骤。

在多账户环境中,只有委派的 GuardDuty 管理员账户才能启用或禁用成员账户的自动代理配置,以及管理属于其组织中成员账户的 EKS 集群的自动代理。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户账户使用管理其成员账户 Amazon Organizations。有关多账户环境的更多信息,请参阅管理多个账户

为委派的 GuardDuty 管理员账户配置自动代理配置

管理 GuardDuty 安全代理的首选方法

步骤

通过以下方式管理安全代理 GuardDuty

(监控所有 EKS 集群)

如果在“运行时监控”部分中选择了为所有账户启用,您将有以下选项:

  • 在 “自动代理配置” 部分为所有账户选择 “启用”。 GuardDuty 将为属于委派 GuardDuty 管理员账户的所有 EKS 集群以及属于组织中所有现有和可能的新成员账户的所有 EKS 集群部署和管理安全代理。

  • 选择手动配置账户

如果您在“运行时监控”部分选择了手动配置账户,请执行以下操作:

  1. 在“自动代理配置”部分下选择手动配置账户

  2. 在 “委派 GuardDuty 管理员账户(此账户)” 部分选择 “启用”。

选择保存

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

从以下过程中,选择一种适合您的场景。

在未将 EKS 集群部署到该集群上时将 GuardDuty 该集群排除在监控范围之外

  1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  4. 在导航窗格中,选择运行时监控

    注意

    在为您的账户启用 GuardDuty 代理自动管理之前,请务必将排除标签添加到您的 EKS 集群;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。

  5. 在 “配置” 选项卡下,在 “GuardDuty 代理管理” 部分选择 “启用”。

    对于未被排除在监控范围之外的 EKS 集群, GuardDuty 将管理 GuardDuty 安全代理的部署和更新。

  6. 选择保存

在 EKS 集群上部署 GuardDuty 安全代理后,将该集群排除在监控范围之外

  1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 如果您为此 EKS 集群启用了自动代理,则在此步骤之后, GuardDuty 将不会更新此集群的安全代理。但是,安全代理将保持部署状态, GuardDuty 并将继续接收来自此 EKS 集群的运行时事件。这可能会影响您的使用情况统计数据。

    要停止接收来自该集群的运行时事件,必须从该 EKS 集群删除已部署的安全代理。有关删除已部署的安全代理的更多信息,请参阅 在运行时监控中禁用、卸载和清理资源

  4. 如果您是手动管理此 EKS 集群 GuardDuty 的安全代理,请参阅在运行时监控中禁用、卸载和清理资源

使用包含标签监控选择性 EKS 集群

无论您选择通过哪种方式启用运行时监控,以下步骤都将有助您监控账户中的选定 EKS 集群:

  1. 确保在 “自动代理配置” 部分为委派 GuardDuty 管理员帐户(此帐户)选择 “禁用”。确保运行时监控配置与上一步的配置相同。

  2. 选择保存

  3. 向 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 true

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

    GuardDuty 将为您要监控的精选 EKS 集群管理安全代理的部署和更新。

  4. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

手动管理 GuardDuty 安全代理

无论您选择通过哪种方式启用运行时监控,都可以手动管理 EKS 集群的安全代理。

  1. 确保在 “自动代理配置” 部分为委派 GuardDuty 管理员帐户(此帐户)选择 “禁用”。确保运行时监控配置与上一步的配置相同。

  2. 选择保存

  3. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

为所有成员账户自动启用自动代理

注意

更新成员账户的配置可能最长需要 24 小时。

管理 GuardDuty 安全代理的首选方法

步骤

通过以下方式管理安全代理 GuardDuty

(监控所有 EKS 集群)

本主题旨在为所有成员账户启用运行时监控,因此以下步骤假定您在“运行时监控”部分选择了为所有账户启用

  1. 在 “自动代理配置” 部分为所有账户选择 “启用”。 GuardDuty 将为属于委派 GuardDuty 管理员账户的所有 EKS 集群以及属于组织中所有现有和可能的新成员账户的所有 EKS 集群部署和管理安全代理。

  2. 选择保存

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

从以下过程中,选择一种适合您的场景。

在未将 EKS 集群部署到该集群上时将 GuardDuty 该集群排除在监控范围之外

  1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  4. 在导航窗格中,选择运行时监控

    注意

    在为您的账户启用自动代理之前,请务必将排除标签添加到您的 EKS 集群;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。

  5. 配置选项卡的运行时监控配置部分中,选择编辑

  6. 在“自动代理配置”部分中选择为所有账户启用。对于未被排除在监控范围之外的 EKS 集群, GuardDuty 将管理 GuardDuty安全代理的部署和更新。

  7. 选择保存

在 EKS 集群上部署 GuardDuty 安全代理后,将该集群排除在监控范围之外

  1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

  2. 如果您为此 EKS 集群启用了自动代理配置,则在此步骤之后, GuardDuty将不会更新此集群的安全代理。但是,安全代理将保持部署状态, GuardDuty 并将继续接收来自此 EKS 集群的运行时事件。这可能会影响您的使用情况统计数据。

    要停止接收来自该集群的运行时事件,必须从该 EKS 集群删除已部署的安全代理。有关删除已部署的安全代理的更多信息,请参阅 在运行时监控中禁用、卸载和清理资源

  3. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. 如果您是手动管理此 EKS 集群 GuardDuty 的安全代理,请参阅在运行时监控中禁用、卸载和清理资源

使用包含标签监控选择性 EKS 集群

无论您选择通过哪种方式启用运行时监控,以下步骤都将有助您监控组织中所有成员账户的选定 EKS 集群:

  1. 请勿启用“自动代理配置”部分中的任何配置。确保运行时监控配置与上一步的配置相同。

  2. 选择保存

  3. 向 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 true

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

    GuardDuty 将为您要监控的精选 EKS 集群管理安全代理的部署和更新。

  4. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

手动管理 GuardDuty 安全代理

无论您选择通过哪种方式启用运行时监控,都可以手动管理 EKS 集群的安全代理。

  1. 请勿启用“自动代理配置”部分中的任何配置。确保运行时监控配置与上一步的配置相同。

  2. 选择保存

  3. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

为所有现有活动成员账户启用自动代理

注意

更新成员账户的配置可能最长需要 24 小时。

管理组织中现有活跃成员账户 GuardDuty 的安全代理

  • GuardDuty 要从属于组织中现有活跃成员账户的 EKS 集群接收运行时事件,必须选择首选方法来管理这些 EKS 集群 GuardDuty 的安全代理。有关每种方法的更多信息,请参阅 在 Amazon EKS 集群中管理 GuardDuty安全代理的方法

    管理 GuardDuty 安全代理的首选方法

    步骤

    通过以下方式管理安全代理 GuardDuty

    (监控所有 EKS 集群)
    要监控所有现有活跃成员账户的所有 EKS 集群

    1. 在“运行时监控”页面的配置选项卡下,您可以查看自动代理配置的当前状态。

    2. 自动代理配置窗格中的活动成员账户部分下,选择操作

    3. 操作中,选择为所有现有活跃成员账户启用

    4. 选择确认

    监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

    从以下过程中,选择一种适合您的场景。

    在未将 EKS 集群部署到该集群上时将 GuardDuty 该集群排除在监控范围之外

    1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

      有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

    2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

      • ec2:CreateTags替换为 eks:TagResource

      • ec2:DeleteTags替换为 eks:UntagResource

      • access-project 替换为 GuardDutyManaged

      • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

        如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    4. 在导航窗格中,选择运行时监控

      注意

      在为您的账户启用自动代理配置之前,请务必将排除标签添加到您的 EKS 集群;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。

    5. 自动代理配置窗格的配置选项卡中,选择活动成员账户下的操作

    6. 操作中,选择为所有活跃成员账户启用

    7. 选择确认

    在 EKS 集群上部署 GuardDuty 安全代理后,将该集群排除在监控范围之外

    1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

      有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

      完成此步骤后, GuardDuty 将不会更新此群集的安全代理。但是,安全代理将保持部署状态, GuardDuty 并将继续接收来自此 EKS 集群的运行时事件。这可能会影响您的使用情况统计数据。

    2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

      • ec2:CreateTags替换为 eks:TagResource

      • ec2:DeleteTags替换为 eks:UntagResource

      • access-project 替换为 GuardDutyManaged

      • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

        如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. 无论您如何管理安全代理(通过 GuardDuty 还是手动),要停止接收来自该集群的运行时事件,都必须从此 EKS 集群中移除已部署的安全代理。有关删除已部署的安全代理的更多信息,请参阅 在运行时监控中禁用、卸载和清理资源

    使用包含标签监控选择性 EKS 集群

    1. 在“账户”页面上启用运行时监控后,请勿启用运行时监控 – 自动管理代理配置

    2. 向属于您要监控的选定账户的 EKS 集群添加标签。标签的键值对必须是 GuardDutyManaged-true

      有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

      GuardDuty 将为您要监控的精选 EKS 集群管理安全代理的部署和更新。

    3. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

      • ec2:CreateTags替换为 eks:TagResource

      • ec2:DeleteTags替换为 eks:UntagResource

      • access-project 替换为 GuardDutyManaged

      • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

        如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    手动管理 GuardDuty 安全代理

    1. 务必不要选择自动代理配置部分中的启用。保持运行时监控处于启用状态。

    2. 选择保存

    3. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

为新成员自动启用自动代理配置

管理 GuardDuty 安全代理的首选方法

步骤

通过以下方式管理安全代理 GuardDuty

(监控所有 EKS 集群)

  1. 在“运行时监控”页面上,选择编辑以更新现有配置。

  2. 在“自动代理配置”部分中选择为新成员账户自动启用

  3. 选择保存

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

从以下过程中,选择一种适合您的场景。

在未将 EKS 集群部署到该集群上时将 GuardDuty 该集群排除在监控范围之外

  1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  4. 在导航窗格中,选择运行时监控

    注意

    在为您的账户启用自动代理配置之前,请务必将排除标签添加到您的 EKS 集群;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。

  5. 在 “配置” 选项卡下,在 “GuardDuty 代理管理” 部分中,选择 “自动为新成员帐户启用”。

    对于未被排除在监控范围之外的 EKS 集群, GuardDuty 将管理 GuardDuty 安全代理的部署和更新。

  6. 选择保存

在 EKS 集群上部署 GuardDuty 安全代理后,将该集群排除在监控范围之外

  1. 无论您是通过 GuardDuty 还是手动管理 GuardDuty安全代理,都要向此 EKS 集群添加一个标签,其密钥为GuardDutyManaged,其值为false

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

    如果您为此 EKS 集群启用了自动代理,则在此步骤之后, GuardDuty 将不会更新此集群的安全代理。但是,安全代理将保持部署状态, GuardDuty 并将继续接收来自此 EKS 集群的运行时事件。这可能会影响您的使用情况统计数据。

    要停止接收来自该集群的运行时事件,必须从该 EKS 集群删除已部署的安全代理。有关删除已部署的安全代理的更多信息,请参阅 在运行时监控中禁用、卸载和清理资源

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 如果您是手动管理此 EKS 集群 GuardDuty 的安全代理,请参阅在运行时监控中禁用、卸载和清理资源

使用包含标签监控选择性 EKS 集群

无论您选择通过哪种方式启用运行时监控,以下步骤都将有助您监控组织中新成员账户的选定 EKS 集群。

  1. 务必在“自动代理配置”部分中清除为新成员账户自动启用。确保运行时监控配置与上一步的配置相同。

  2. 选择保存

  3. 向 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 true

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

    GuardDuty 将为您要监控的精选 EKS 集群管理安全代理的部署和更新。

  4. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

手动管理 GuardDuty 安全代理

无论您选择通过哪种方式启用运行时监控,都可以手动管理 EKS 集群的安全代理。

  1. 务必在“自动代理配置”部分中清除为新成员账户自动启用复选框。确保运行时监控配置与上一步的配置相同。

  2. 选择保存

  3. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

有选择地为活动成员账户配置自动代理

管理 GuardDuty 安全代理的首选方法

步骤

通过以下方式管理安全代理 GuardDuty

(监控所有 EKS 集群)

  1. 在“账户”页面上,选择要为其启用自动代理配置的账户。您可以一次选择多个账户。确保您在此步骤中选择的账户已启用 EKS 运行时监控。

  2. 编辑防护计划中选择相应的选项,以启用运行时监控 – 自动代理配置

  3. 选择确认

监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

从以下过程中,选择一种适合您的场景。

在未将 EKS 集群部署到该集群上时将 GuardDuty 该集群排除在监控范围之外

  1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    注意

    在为您的账户启用自动代理配置之前,请务必将排除标签添加到您的 EKS 集群;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。

  4. 在“账户”页面上,选择要为其启用自动管理代理的账户。您可以一次选择多个账户。

  5. 编辑防护计划中选择相应的选项,为选定账户启用运行时监控 – 自动代理配置

    对于未被排除在监控范围之外的 EKS 集群, GuardDuty 将管理 GuardDuty 安全代理的部署和更新。

  6. 选择保存

在 EKS 集群上部署 GuardDuty 安全代理后,将该集群排除在监控范围之外

  1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

    如果您之前为此 EKS 集群启用了自动代理配置,则在此步骤之后, GuardDuty 将不会更新此集群的安全代理。但是,安全代理将保持部署状态, GuardDuty 并将继续接收来自此 EKS 集群的运行时事件。这可能会影响您的使用情况统计数据。

    要停止接收来自该集群的运行时事件,必须从该 EKS 集群删除已部署的安全代理。有关删除已部署的安全代理的更多信息,请参阅 在运行时监控中禁用、卸载和清理资源

  2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. 如果您手动管理此 EKS 集群 GuardDuty 的安全代理,则必须将其删除。有关更多信息,请参阅 在运行时监控中禁用、卸载和清理资源

使用包含标签监控选择性 EKS 集群

无论您选择通过哪种方式启用运行时监控,以下步骤都将有助您监控属于选定账户的选定 EKS 集群:

  1. 对于包含要监控的 EKS 集群的选定账户,确保您没有为这些账户启用运行时监控 – 自动代理配置

  2. 向 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 true

    有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

    添加标签后, GuardDuty 将为您要监控的精选 EKS 集群管理安全代理的部署和更新。

  3. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

    • ec2:CreateTags替换为 eks:TagResource

    • ec2:DeleteTags替换为 eks:UntagResource

    • access-project 替换为 GuardDutyManaged

    • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

      如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

手动管理 GuardDuty 安全代理

  1. 确保运行时监控配置与上一步的配置相同。确保您没有为任何选定账户启用运行时监控 – 自动代理配置

  2. 选择确认

  3. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理

独立账户拥有在特定账户中启用或禁用保护计划的决定 Amazon Web Services 区域。 Amazon Web Services 账户

如果您的账户通过或通过 Amazon Organizations邀请方式与 GuardDuty 管理员帐户关联,则此部分不适用于您的账户。有关更多信息,请参阅 为多账户环境启用运行时监控

启用运行时监控后,请确保通过自动配置或手动部署来安装 GuardDuty 安全代理。在完成以下过程中列出的所有步骤时,务必要安装安全代理。

根据您是要监控全部还是部分 Amazon EKS 资源的偏好,选择一种您偏好的方法并按照下表中的步骤进行操作。

  1. 登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择运行时监控

  3. 配置选项卡下选择启用,以为您的账户启用自动代理配置。

    部署 GuardDuty 安全代理的首选方法

    步骤

    通过以下方式管理安全代理 GuardDuty

    (监控所有 EKS 集群)

    1. 在 “自动代理配置” 部分中选择 “启用”。 GuardDuty 将管理您账户中所有现有和可能新的 EKS 集群的安全代理的部署和更新。

    2. 选择保存

    监控所有 EKS 集群,但排除其中一些集群(使用排除标签)

    从以下过程中,选择一种适合您的场景。

    在未将 EKS 集群部署到该集群上时将 GuardDuty 该集群排除在监控范围之外

    1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

      有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

    2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

      • ec2:CreateTags替换为 eks:TagResource

      • ec2:DeleteTags替换为 eks:UntagResource

      • access-project 替换为 GuardDutyManaged

      • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

        如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    4. 在导航窗格中,选择运行时监控

      注意

      在为您的账户启用 GuardDuty 代理自动管理之前,请务必将排除标签添加到您的 EKS 集群;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。

    5. 在 “配置” 选项卡下,在 “GuardDuty 代理管理” 部分选择 “启用”。

      对于未被排除在监控范围之外的 EKS 集群, GuardDuty 将管理 GuardDuty 安全代理的部署和更新。

    6. 选择保存

    在 EKS 集群上部署 GuardDuty 安全代理后,将该集群排除在监控范围之外

    1. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 false

      有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

      完成此步骤后, GuardDuty 将不会更新此群集的安全代理。但是,安全代理将保持部署状态, GuardDuty 并将继续接收来自此 EKS 集群的运行时事件。这可能会影响您的使用情况统计数据。

    2. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

      • ec2:CreateTags替换为 eks:TagResource

      • ec2:DeleteTags替换为 eks:UntagResource

      • access-project 替换为 GuardDutyManaged

      • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

        如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. 要停止接收来自该集群的运行时事件,必须从该 EKS 集群删除已部署的安全代理。有关删除已部署的安全代理的更多信息,请参阅 在运行时监控中禁用、卸载和清理资源

    使用包含标签监控选择性 EKS 集群

    1. 务必要选择自动代理配置部分中的禁用。保持运行时监控处于启用状态。

    2. 选择保存

    3. 向此 EKS 集群添加一个标签,键为 GuardDutyManaged,值为 true

      有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签

      GuardDuty 将为您要监控的精选 EKS 集群管理安全代理的部署和更新。

    4. 要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:

      • ec2:CreateTags替换为 eks:TagResource

      • ec2:DeleteTags替换为 eks:UntagResource

      • access-project 替换为 GuardDutyManaged

      • 123456789012替换为可信实体的 Amazon Web Services 账户 ID。

        如果您有多个可信实体,请使用以下示例添加多个 PrincipalArn

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    手动管理代理

    1. 务必要选择自动代理配置部分中的禁用。保持运行时监控处于启用状态。

    2. 选择保存

    3. 要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理