本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自动管理 Amazon EKS 集群的安全代理
为独立账户配置自动代理
登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择 “运行时监控”。
-
在 “配置” 选项卡下,选择 “启用”,为您的账户启用自动代理配置。
部署 GuardDuty 安全代理的首选方法
步骤
通过以下方式管理安全代理 GuardDuty
(监控所有 EKS 集群)
-
在 “自动代理配置” 部分中选择 “启用”。 GuardDuty 将管理您账户中所有现有和可能新的 EKS 集群的安全代理的部署和更新。
-
选择保存。
监控所有 EKS 集群,但排除其中一些集群(使用排除标签)
从以下过程中,选择一种适合您的场景。
在未将 EKS 集群部署到该集群上时将 GuardDuty 该集群排除在监控范围之外
-
向此 EKS 集群添加一个标签,键为
GuardDutyManaged
,值为false
。有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签。
要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》中防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:
-
将
ec2: CreateTags
替换为eks:TagResource
。 -
将
ec2: DeleteTags
替换为eks:UntagResource
。 -
将
access-project
替换为GuardDutyManaged
-
将
123456789012 替换为可信实体
的 ID。 Amazon Web Services 账户如果您有多个可信实体,请使用以下示例添加多个
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择 “运行时监控”。
注意
在为您的账户启用 GuardDuty 代理自动管理之前,请务必将排除标签添加到您的 EKS 集群;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。
-
在 “配置” 选项卡下,在 “GuardDuty 代理管理” 部分选择 “启用”。
对于未被排除在监控范围之外的 EKS 集群, GuardDuty 将管理 GuardDuty 安全代理的部署和更新。
-
选择保存。
在 EKS 集群上部署 GuardDuty 安全代理后,将该集群排除在监控范围之外
-
向此 EKS 集群添加一个标签,键为
GuardDutyManaged
,值为false
。有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签。
完成此步骤后, GuardDuty 将不会更新此群集的安全代理。但是,安全代理将保持部署状态, GuardDuty 并将继续接收来自此 EKS 集群的运行时事件。这可能会影响您的使用情况统计数据。
要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》中防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:
-
将
ec2: CreateTags
替换为eks:TagResource
。 -
将
ec2: DeleteTags
替换为eks:UntagResource
。 -
将
access-project
替换为GuardDutyManaged
-
将
123456789012 替换为可信实体
的 ID。 Amazon Web Services 账户如果您有多个可信实体,请使用以下示例添加多个
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
要停止接收来自该集群的运行时事件,必须从该 EKS 集群删除已部署的安全代理。有关删除已部署的安全代理的更多信息,请参阅 禁用和清理资源的影响。
使用包含标签监控选择性 EKS 集群
-
确保在 “自动代理配置” 部分中选择 “禁用”。保持运行时监控处于启用状态。
-
选择保存
-
向此 EKS 集群添加一个标签,键为
GuardDutyManaged
,值为true
。有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签。
GuardDuty 将为您要监控的精选 EKS 集群管理安全代理的部署和更新。
要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》中防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:
-
将
ec2: CreateTags
替换为eks:TagResource
。 -
将
ec2: DeleteTags
替换为eks:UntagResource
。 -
将
access-project
替换为GuardDutyManaged
-
将
123456789012 替换为可信实体
的 ID。 Amazon Web Services 账户如果您有多个可信实体,请使用以下示例添加多个
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
手动管理代理
-
确保在 “自动代理配置” 部分中选择 “禁用”。保持运行时监控处于启用状态。
-
选择保存。
-
要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理。
-
为多账户环境配置自动代理
在多账户环境中,只有委派的 GuardDuty 管理员账户才能启用或禁用成员账户的自动代理配置,以及管理属于其组织中成员账户的 EKS 集群的自动代理。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户账户使用管理其成员账户 Amazon Organizations。有关多账户环境的更多信息,请参阅管理多个账户。
为委派的 GuardDuty 管理员账户配置自动代理配置
管理 GuardDuty安全代理的首选方法 |
步骤 |
---|---|
通过以下方式管理安全代理 GuardDuty (监控所有 EKS 集群) |
如果您在 “运行时监控” 部分为所有帐户选择 “启用”,则有以下选项:
如果您在 “运行时监控” 部分选择了 “手动配置帐户”,请执行以下操作:
选择保存。 |
监控所有 EKS 集群,但排除其中一些集群(使用排除标签) |
从以下过程中,选择一种适合您的场景。 在未将 EKS 集群部署到该集群上时将 GuardDuty该集群排除在监控范围之外
在 EKS 集群上部署 GuardDuty安全代理后,将该集群排除在监控范围之外
|
使用包含标签监控选择性 EKS 集群 |
无论您选择如何启用运行时监控,以下步骤都将帮助您监控账户中的精选 EKS 集群:
|
手动管理 GuardDuty 安全代理 |
无论您选择如何启用运行时监控,都可以手动管理 EKS 集群的安全代理。
|
自动启用所有成员账户的自动代理
注意
更新成员账户的配置可能最长需要 24 小时。
管理 GuardDuty安全代理的首选方法 |
步骤 |
---|---|
通过以下方式管理安全代理 GuardDuty (监控所有 EKS 集群) |
本主题旨在为所有成员账户启用运行时监控,因此,以下步骤假设您必须在 “运行时监控” 部分为所有账户选择 “启用”。
|
监控所有 EKS 集群,但排除其中一些集群(使用排除标签) |
从以下过程中,选择一种适合您的场景。 在未将 EKS 集群部署到该集群上时将 GuardDuty该集群排除在监控范围之外
在 EKS 集群上部署 GuardDuty安全代理后,将该集群排除在监控范围之外
|
使用包含标签监控选择性 EKS 集群 |
无论您选择如何启用运行时监控,以下步骤都将帮助您监控组织中所有成员账户的精选 EKS 集群:
|
手动管理 GuardDuty 安全代理 |
无论您选择如何启用运行时监控,都可以手动管理 EKS 集群的安全代理。
|
为所有现有活跃成员账户启用自动代理
注意
更新成员账户的配置可能最长需要 24 小时。
管理组织中现有活跃成员账户 GuardDuty 的安全代理
-
GuardDuty 要从属于组织中现有活跃成员账户的 EKS 集群接收运行时事件,您必须选择首选方法来管理这些 EKS 集群 GuardDuty 的安全代理。有关每种方法的更多信息,请参阅 管理 GuardDuty安全代理的方法。
管理 GuardDuty 安全代理的首选方法
步骤
通过以下方式管理安全代理 GuardDuty
(监控所有 EKS 集群)
要监控所有现有活跃成员账户的所有 EKS 集群
-
在 “运行时监控” 页面的 “配置” 选项卡下,您可以查看自动代理配置的当前状态。
-
在自动代理配置窗格中,在 “活跃成员帐户” 部分下,选择操作。
-
在操作中,选择为所有现有活跃成员账户启用。
-
选择确认。
监控所有 EKS 集群,但排除其中一些集群(使用排除标签)
从以下过程中,选择一种适合您的场景。
在未将 EKS 集群部署到该集群上时将 GuardDuty 该集群排除在监控范围之外
-
向此 EKS 集群添加一个标签,键为
GuardDutyManaged
,值为false
。有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签。
要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》中防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:
-
将
ec2: CreateTags
替换为eks:TagResource
。 -
将
ec2: DeleteTags
替换为eks:UntagResource
。 -
将
access-project
替换为GuardDutyManaged
-
将
123456789012 替换为可信实体
的 ID。 Amazon Web Services 账户如果您有多个可信实体,请使用以下示例添加多个
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择 “运行时监控”。
注意
在为您的账户启用自动代理配置之前,请务必将排除标签添加到您的 EKS 集群;否则, GuardDuty 安全代理将部署在您账户中的所有 EKS 集群上。
-
在 “配置” 选项卡下,在 “自动代理配置” 窗格的 “活跃成员帐户” 下,选择 “操作”。
-
在操作中,选择为所有活跃成员账户启用。
-
选择确认。
在 EKS 集群上部署 GuardDuty 安全代理后,将该集群排除在监控范围之外
-
向此 EKS 集群添加一个标签,键为
GuardDutyManaged
,值为false
。有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签。
完成此步骤后, GuardDuty 将不会更新此群集的安全代理。但是,安全代理将保持部署状态, GuardDuty 并将继续接收来自此 EKS 集群的运行时事件。这可能会影响您的使用情况统计数据。
要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》中防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:
-
将
ec2: CreateTags
替换为eks:TagResource
。 -
将
ec2: DeleteTags
替换为eks:UntagResource
。 -
将
access-project
替换为GuardDutyManaged
-
将
123456789012 替换为可信实体
的 ID。 Amazon Web Services 账户如果您有多个可信实体,请使用以下示例添加多个
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
-
无论您如何管理安全代理(通过 GuardDuty 还是手动),要停止接收来自该集群的运行时事件,都必须从此 EKS 集群中移除已部署的安全代理。有关删除已部署的安全代理的更多信息,请参阅 禁用和清理资源的影响。
使用包含标签监控选择性 EKS 集群
-
在 “帐户” 页面上,启用运行时监控后,不要启用 “运行时监控-自动代理配置”。
-
向属于您要监控的选定账户的 EKS 集群添加标签。标签的键值对必须是
GuardDutyManaged
-true
。有关标记 Amazon EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的通过控制台使用标签。
GuardDuty 将为您要监控的精选 EKS 集群管理安全代理的部署和更新。
要防止修改标签(可信实体除外),请使用《Amazon Organizations 用户指南》中防止标签被修改,除非由授权主体修改中的策略。在该策略中,替换以下详细信息:
-
将
ec2: CreateTags
替换为eks:TagResource
。 -
将
ec2: DeleteTags
替换为eks:UntagResource
。 -
将
access-project
替换为GuardDutyManaged
-
将
123456789012 替换为可信实体
的 ID。 Amazon Web Services 账户如果您有多个可信实体,请使用以下示例添加多个
PrincipalArn
:"aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]
-
手动管理 GuardDuty 安全代理
-
确保没有在 “自动代理配置” 部分中选择 “启用”。保持运行时监控处于启用状态。
-
选择保存。
-
要管理安全代理,请参阅 手动管理 Amazon EKS 集群的安全代理。
-
为新成员自动启用代理配置
管理 GuardDuty安全代理的首选方法 |
步骤 |
---|---|
通过以下方式管理安全代理 GuardDuty (监控所有 EKS 集群) |
|
监控所有 EKS 集群,但排除其中一些集群(使用排除标签) |
从以下过程中,选择一种适合您的场景。 在未将 EKS 集群部署到该集群上时将 GuardDuty该集群排除在监控范围之外
在 EKS 集群上部署 GuardDuty安全代理后,将该集群排除在监控范围之外
|
使用包含标签监控选择性 EKS 集群 |
无论您选择如何启用运行时监控,以下步骤都将帮助您监控组织中新成员帐户的精选 EKS 集群。
|
手动管理 GuardDuty 安全代理 |
无论您选择如何启用运行时监控,都可以手动管理 EKS 集群的安全代理。
|
有选择地为活跃成员账户配置自动代理
管理 GuardDuty安全代理的首选方法 |
步骤 |
---|---|
通过以下方式管理安全代理 GuardDuty (监控所有 EKS 集群) |
|
监控所有 EKS 集群,但排除其中一些集群(使用排除标签) |
从以下过程中,选择一种适合您的场景。 在未将 EKS 集群部署到该集群上时将 GuardDuty该集群排除在监控范围之外
在 EKS 集群上部署 GuardDuty安全代理后,将该集群排除在监控范围之外
|
使用包含标签监控选择性 EKS 集群 |
无论您选择如何启用运行时监控,以下步骤都将帮助您监控属于所选账户的精选 EKS 集群:
|
手动管理 GuardDuty 安全代理 |
|