Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administrar manualmente el agente de seguridad para el clúster de Amazon EKS
<a name="managing-gdu-agent-eks-manually"></a>

En esta sección se describe cómo puede gestionar su agente complementario (GuardDuty agente) de Amazon EKS después de activar Runtime Monitoring (o EKS Runtime Monitoring). Para utilizar la Supervisión en tiempo de ejecución, debe habilitarla y configurar el complemento de Amazon EKS, `aws-guardduty-agent`. Debe realizar los dos pasos GuardDuty para detectar posibles amenazas y generarlas[GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md).

Para administrar el agente manualmente, es necesario crear un punto de conexión de VPC como requisito previo. Esto ayuda a GuardDuty recibir los eventos en tiempo de ejecución. Después de esto, puede instalar el agente de seguridad para que GuardDuty comience a recibir los eventos de tiempo de ejecución de los recursos de Amazon EKS. Cuando GuardDuty publique una nueva versión del agente para este recurso, podrá actualizar la versión del agente en su cuenta.

**Topics**
+ [Requisito previo: crear un punto de conexión de Amazon VPC](eksrunmon-prereq-deploy-security-agent.md)
+ [Instalación manual GuardDuty del agente de seguridad en los recursos de Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Actualizar manualmente el agente de seguridad para los recursos de Amazon EKS](eksrunmon-update-security-agent.md)

# Requisito previo: crear un punto de conexión de Amazon VPC
<a name="eksrunmon-prereq-deploy-security-agent"></a>

Antes de poder instalar el agente GuardDuty de seguridad, debe crear un punto final de Amazon Virtual Private Cloud (Amazon VPC). Esto le ayudará a GuardDuty recibir los eventos de tiempo de ejecución de sus recursos de Amazon EKS.

**nota**  
El uso del punto de conexión de VPC no conlleva ningún costo adicional.

Elija el método de acceso que prefiera para crear un punto de conexión de Amazon VPC.

------
#### [ Console ]

**Para crear un punto de conexión de VPC**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, en **Nube virtual privada**, seleccione **Puntos de conexión**.

1. Seleccione **Crear punto de conexión**.

1. En la página **Crear punto de conexión**, en **Categoría de servicio**, elija **Otros servicios de punto de conexión**. 

1. En **Nombre del servicio**, escriba **com.amazonaws.*us-east-1*.guardduty-data**.

   Asegúrese de *us-east-1* reemplazarla por la región correcta. Debe ser la misma región que el clúster de EKS que pertenece a su Cuenta de AWS ID. 

1. Elija **Verificar el servicio**. 

1. Una vez que el nombre del servicio se haya verificado correctamente, elija la **VPC** en la que reside el clúster. Agregue la siguiente política para restringir el uso de los puntos de conexión de VPC únicamente a la cuenta especificada. Con el valor de `Condition` de la organización que se indica debajo de esta política, puede actualizar la siguiente política para restringir el acceso a su punto de conexión. Para proporcionar soporte de punto final de VPC a una cuenta específica IDs de su organización, consulte. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   El ID de cuenta de `aws:PrincipalAccount` debe coincidir con la cuenta que contiene la VPC y el punto de conexión de VPC. En la siguiente lista se muestra cómo compartir el punto final de la VPC con otros: Cuenta de AWS IDs

**Condición de la organización para restringir el acceso a su punto de conexión**
   + Si quiere especificar varias cuentas para acceder al punto de conexión de VPC, sustituya `"aws:PrincipalAccount": "111122223333"` por lo siguiente:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]
     ```
   + Para permitir que todos los miembros de una organización accedan al punto de conexión de VPC, sustituya `"aws:PrincipalAccount": "111122223333"` por lo siguiente:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```
   + Para restringir el acceso a un recurso a un ID de organización, agregue su `ResourceOrgID` a la política.

     Para obtener más información, consulte [ResourceOrgID.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. En **Configuración adicional**, seleccione **Habilitar nombre de DNS**.

1. En **Subredes**, elija las subredes en las que reside el clúster.

1. En **Grupos de seguridad**, elija un grupo de seguridad que tenga el puerto de entrada 443 habilitado desde su VPC (o su clúster de EKS). Si aún no tiene ningún grupo de seguridad que tenga habilitado el puerto de entrada 443, [cree un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).

   Si se produce un problema al restringir los permisos de entrada a la VPC (o instancia), puede utilizar el puerto de entrada 443 desde cualquier dirección IP `(0.0.0.0/0)`. Sin embargo, GuardDuty recomienda utilizar direcciones IP que coincidan con el bloque CIDR de la VPC. Para obtener más información, consulte [Bloques de CIDR de VPC](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.

------
#### [ API/CLI ]

**Para crear un punto de conexión de VPC**
+ Invoca. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)
+ Utilice los siguientes valores para los parámetros:
  + En **Nombre del servicio**, escriba **com.amazonaws.*us-east-1*.guardduty-data**.

    Asegúrese de reemplazarla por *us-east-1* la región correcta. Debe ser la misma región que el clúster de EKS que pertenece a su Cuenta de AWS ID. 
  + Para ello [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), habilite la opción de DNS privado configurándola en`true`. 
+ Para AWS Command Line Interface, consulte [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).

------

Una vez que haya seguido los pasos, consulte [Validar la configuración del punto de conexión de VPC](validate-vpc-endpoint-config-runtime-monitoring.md) para asegurarse de que el punto de conexión de VPC se configuró correctamente.

# Instalación manual GuardDuty del agente de seguridad en los recursos de Amazon EKS
<a name="eksrunmon-deploy-security-agent"></a>

En esta sección se describe cómo puede implementar el agente GuardDuty de seguridad por primera vez en clústeres de EKS específicos. Antes de continuar con esta sección, asegúrese de que ya ha configurado los requisitos previos y habilitado la Supervisión en tiempo de ejecución para las cuentas. El agente GuardDuty de seguridad (complemento EKS) no funcionará si no habilita Runtime Monitoring. 

Elija el método de acceso que prefiera para implementar el agente de GuardDuty seguridad por primera vez.

------
#### [ Console ]

1. Abra la consola Amazon EKS en [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Elija un **nombre para el clúster**.

1. Elija la pestaña **Complementos**.

1. Escoja **Obtener más complementos**.

1. En la página **Seleccionar complementos**, elija **Amazon GuardDuty EKS Runtime Monitoring**.

1. GuardDuty recomienda elegir la **versión** más reciente y predeterminada del agente.

1. En la página **Definir configuración del complemento seleccionado**, utilice la configuración predeterminada. Si el **estado** de su complemento de EKS es **Requiere activación**, seleccione **Activar GuardDuty**. Esta acción abrirá la GuardDuty consola para configurar Runtime Monitoring para sus cuentas.

1. Una vez que haya configurado la Supervisión en tiempo de ejecución para las cuentas, vuelva a la consola de Amazon EKS. El **estado** de su complemento de EKS debería haber cambiado a **Listo para instalar**. 

1. 

**(Opcional) Proporcionar esquema de configuración del complemento de EKS**

   Para la **versión** complementaria, si elige la **versión 1.5.0** o superior, Runtime Monitoring permite configurar parámetros específicos del GuardDuty agente. Para obtener información sobre los rangos de parámetros, consulte [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Amplíe **Ajustes de configuración opcionales** para ver los parámetros que se pueden configurar y su valor y formato previstos.

   1. Establezca los parámetros. Los valores deben estar en el rango proporcionado en [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Elija **Guardar cambios** para crear el complemento según la configuración avanzada.

   1. En **Método de resolución de conflictos**, la opción que elija se utilizará para resolver conflictos en caso de que actualice el valor de un parámetro a un valor que no sea el predeterminado. Para obtener más información sobre las opciones enumeradas, consulte [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) en la *Referencia de la API de Amazon EKS*.

1. Elija **Siguiente**.

1. En la página **Revisar y crear**, compruebe todos los detalles y elija **Crear**.

1. Vuelva a los detalles del clúster y elija la pestaña **Recursos**. 

1. Puede ver los nuevos pods con el prefijo. **aws-guardduty-agent** 

------
#### [ API/CLI ]

Puede configurar el agente del complemento de Amazon EKS (`aws-guardduty-agent`) mediante una de las siguientes opciones:
+ Dirígete [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)a tu cuenta.
+ 
**nota**  
En el caso del complemento`version`, si elige la **versión 1.5.0 o superior**, Runtime Monitoring permite configurar parámetros específicos del GuardDuty agente. Para obtener más información, consulte [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

  Utilice los siguientes valores para los parámetros de la solicitud:
  + En `addonName`, introduzca `aws-guardduty-agent`.

    Puede utilizar el siguiente AWS CLI ejemplo cuando utilice valores configurables compatibles con las versiones complementarias `v1.5.0` o superiores. Asegúrese de sustituir los valores del marcador de posición resaltados en rojo y el `Example.json` asociado por los valores configurados.

    ```
    aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
    ```  
**Example.json**  

    ```
    {
    	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
    	"dnsPolicy": "Default",
    	"resources": {
    		"requests": {
    			"cpu": "237m",
    			"memory": "512Mi"
    		},
    		"limits": {
    			"cpu": "2000m",
    			"memory": "2048Mi"
    		}
    	}	
    }
    ```
  + Para obtener más información sobre los valores de `addonVersion` admitidos, consulte [Versiones de Kubernetes compatibles con el agente de seguridad GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ Como alternativa, puede utilizar AWS CLI. Para obtener más información, consulte [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).

------

**Nombres de DNS privados para el punto de conexión de VPC**  
De forma predeterminada, el agente de seguridad resuelve el nombre de DNS privado del punto de conexión de VPC y se conecta a este. En el caso de un punto de conexión que no sea FIPS, su DNS privado aparecerá en el siguiente formato:  
Punto de conexión no FIPS: `guardduty-data.us-east-1.amazonaws.com`  
El Región de AWS,*us-east-1*, cambiará en función de su región.

# Actualizar manualmente el agente de seguridad para los recursos de Amazon EKS
<a name="eksrunmon-update-security-agent"></a>

Si administra el agente GuardDuty de seguridad manualmente, es responsable de actualizarlo para su cuenta. Para recibir notificaciones sobre nuevas versiones del agente, puede suscribirse a una fuente RSS en [GuardDuty versiones de lanzamiento del agente de seguridad](runtime-monitoring-agent-release-history.md).

Puede actualizar el agente de seguridad a la versión más reciente para aprovechar la compatibilidad y las mejoras introducidas. Si la compatibilidad estándar de la versión actual del agente está a punto de finalizar, para continuar con el uso de Runtime Monitoring (o Runtime Monitoring de EKS), deberá actualizar a la versión siguiente disponible o la más reciente del agente. 

**Requisito previo**  
Antes de actualizar la versión del agente de seguridad, asegúrese de que la versión del agente que tiene previsto utilizar ahora sea compatible con la versión de Kubernetes. Para obtener más información, consulte [Versiones de Kubernetes compatibles con el agente de seguridad GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).

------
#### [ Console ]

1. Abra la consola Amazon EKS en [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Elija un **nombre para el clúster**.

1. En la **información del clúster**, seleccione la pestaña **Complementos**.

1. En la pestaña **Complementos**, seleccione **GuardDutyEKS** Runtime Monitoring.

1. Elija **Editar** para actualizar los detalles del agente.

1. En la página **Configurar la monitorización del tiempo de ejecución de GuardDuty EKS**, actualice los detalles.

1. 

**(Opcional) Actualizar los valores de configuración opcionales**

   Si la **versión** del complemento de EKS es la *1.5.0* o una posterior, también puede actualizar el esquema de configuración del complemento.

   1. Amplíe los **Ajustes de configuración opcionales** para ver el esquema de configuración.

   1. Actualice los valores del parámetro en función del rango proporcionado en [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Elija **Guardar cambios** para iniciar la actualización.

   1. En **Método de resolución de conflictos**, la opción que elija se utilizará para resolver conflictos en caso de que actualice el valor de un parámetro a un valor que no sea el predeterminado. Para obtener más información sobre las opciones enumeradas, consulte [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) en la *Referencia de la API de Amazon EKS*.

------
#### [ API/CLI ]

Para actualizar el agente GuardDuty de seguridad de sus clústeres de Amazon EKS, consulte [Actualización de un complemento](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on). 

**nota**  
Para el complemento`version`, si elige la **versión 1.5.0 o superior**, Runtime Monitoring permite configurar parámetros específicos del GuardDuty agente. Para obtener información sobre los rangos de parámetros, consulte [Configurar los parámetros del complemento de EKS](guardduty-configure-security-agent-eks-addon.md).

Puede usar el siguiente AWS CLI ejemplo cuando utilice valores configurables compatibles con las versiones *1.5.0 y* posteriores del complemento. Asegúrese de sustituir los valores del marcador de posición resaltados en rojo y el `Example.json` asociado por los valores configurados.

```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```

**Example.json**  

```
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}
```

------

Si la versión del complemento de Amazon EKS es 1.5.0 o posterior y ha configurado el esquema del complemento, puede comprobar si los valores aparecen correctamente para el clúster. Para obtener más información, consulte [Verificar las actualizaciones del esquema de configuración](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).