Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS
<a name="managing-gdu-agent-eks-manually"></a>

Cette section décrit comment vous pouvez gérer votre agent complémentaire Amazon EKS (GuardDuty agent) après avoir activé Runtime Monitoring (ou EKS Runtime Monitoring). Pour utiliser Runtime Monitoring, vous devez activer Runtime Monitoring et configurer le module complémentaire Amazon EKS,`aws-guardduty-agent`. Vous devez effectuer les deux étapes pour GuardDuty détecter les menaces potentielles et générer[GuardDuty Types de recherche liés à la surveillance du temps](findings-runtime-monitoring.md).

Pour gérer l'agent manuellement, vous devez créer un point de terminaison VPC comme condition préalable. Cela permet de GuardDuty recevoir les événements d'exécution. Ensuite, vous pouvez installer l'agent de sécurité afin qu'il commence à GuardDuty recevoir les événements d'exécution provenant des ressources Amazon EKS. Lorsque vous GuardDuty publiez une nouvelle version d'agent pour cette ressource, vous pouvez mettre à jour la version de l'agent dans votre compte.

**Topics**
+ [Prérequis — Création d'un point de terminaison Amazon VPC](eksrunmon-prereq-deploy-security-agent.md)
+ [Installation manuelle GuardDuty de l'agent de sécurité sur les ressources Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Mise à jour manuelle de l'agent de sécurité pour les ressources Amazon EKS](eksrunmon-update-security-agent.md)

# Prérequis — Création d'un point de terminaison Amazon VPC
<a name="eksrunmon-prereq-deploy-security-agent"></a>

Avant de pouvoir installer l'agent GuardDuty de sécurité, vous devez créer un point de terminaison Amazon Virtual Private Cloud (Amazon VPC). Cela vous aidera à GuardDuty recevoir les événements d'exécution de vos ressources Amazon EKS.

**Note**  
L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.

Choisissez une méthode d'accès préférée pour créer un point de terminaison Amazon VPC.

------
#### [ Console ]

**Pour créer un point de terminaison VPC**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, sous **Cloud privé virtuel**, choisissez **Points de terminaison**.

1. Choisissez **Créer un point de terminaison**.

1. Sur la page **Créer un point de terminaison**, pour **Catégorie de services**, choisissez **Autres services de points de terminaison**. 

1. Pour **Nom du service**, entrez **com.amazonaws.*us-east-1*.guardduty-data**.

   Assurez-vous de le remplacer *us-east-1* par la bonne région. Il doit s'agir de la même région que le cluster EKS qui appartient à votre Compte AWS identifiant. 

1. Choisissez **Vérifier le service**. 

1. Une fois le nom du service vérifié, choisissez le **VPC** dans lequel réside votre cluster. Ajoutez la stratégie suivante pour limiter l'utilisation de point de terminaison d'un VPC au compte spécifié uniquement. Avec l'organisation `Condition` indiquée sous cette stratégie, vous pouvez mettre à jour la stratégie suivante pour restreindre l'accès à votre point de terminaison. Pour fournir un support de point de terminaison VPC à un compte spécifique IDs de votre organisation, consultez. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   L'ID de compte `aws:PrincipalAccount` doit correspondre au compte contenant le VPC et le point de terminaison d'un VPC. La liste suivante indique comment partager le point de terminaison VPC avec d'autres personnes : Compte AWS IDs

**Condition d'organisation pour restreindre l'accès à votre point de terminaison**
   + Pour spécifier plusieurs comptes afin d'accéder au point de terminaison d'un VPC, remplacez `"aws:PrincipalAccount": "111122223333"` par ce qui suit :

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]
     ```
   + Pour autoriser tous les membres d'une organisation à accéder au point de terminaison d'un VPC, remplacez `"aws:PrincipalAccount": "111122223333"` par ce qui suit :

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```
   + Pour restreindre l'accès à une ressource à un ID d'organisation, ajoutez votre `ResourceOrgID` à la stratégie.

     Pour plus d'informations, voir [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid).

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. Sous **Paramètres supplémentaires**, choisissez **Activer le nom DNS**.

1. Sous **Sous-réseaux**, choisissez les sous-réseaux dans lesquels réside votre cluster.

1. Sous **Groupes de sécurité**, choisissez un groupe de sécurité dont le port entrant 443 est activé depuis votre VPC (ou votre cluster EKS). Si vous ne possédez pas encore de groupe de sécurité dont le port entrant 443 est activé, [créez un groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).

   En cas de problème lors de la restriction des autorisations entrantes sur votre VPC (ou instance), vous pouvez accéder au port 443 entrant depuis n'importe quelle adresse IP. `(0.0.0.0/0)` Il GuardDuty recommande toutefois d'utiliser des adresses IP correspondant au bloc CIDR de votre VPC. Pour plus d'informations, consultez la section [Blocs d'adresse CIDR VPC dans le guide](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) de l'utilisateur Amazon *VPC.*

------
#### [ API/CLI ]

**Pour créer un point de terminaison VPC**
+ Invoquer [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html).
+ Utilisez les valeurs suivantes pour les paramètres :
  + Pour **Nom du service**, entrez **com.amazonaws.*us-east-1*.guardduty-data**.

    Assurez-vous de le remplacer *us-east-1* par la bonne région. Il doit s'agir de la même région que le cluster EKS qui appartient à votre Compte AWS identifiant. 
  + Pour [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html)activer l'option DNS privé en la définissant sur`true`. 
+ Pour AWS Command Line Interface, voir [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).

------

Après avoir suivi les étapes, consultez [Validation de la configuration des points de terminaison VPC](validate-vpc-endpoint-config-runtime-monitoring.md) pour vous assurer que le point de terminaison VPC a été correctement configuré.

# Installation manuelle GuardDuty de l'agent de sécurité sur les ressources Amazon EKS
<a name="eksrunmon-deploy-security-agent"></a>

Cette section décrit comment déployer l'agent de GuardDuty sécurité pour la première fois pour des clusters EKS spécifiques. Avant de passer à cette section, assurez-vous d'avoir déjà configuré les prérequis et activé la surveillance du temps d'exécution pour vos comptes. L'agent GuardDuty de sécurité (module complémentaire EKS) ne fonctionnera pas si vous n'activez pas la surveillance du temps d'exécution. 

Choisissez votre méthode d'accès préférée pour déployer l'agent GuardDuty de sécurité pour la première fois.

------
#### [ Console ]

1. Ouvrez la console Amazon EKS à l'adresse [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Choisissez le **nom de votre cluster**.

1. Choisissez l’onglet **Modules complémentaires**.

1. Choisissez **Obtenez plus de modules complémentaires**.

1. Sur la page **Sélectionner les modules complémentaires**, choisissez **Amazon GuardDuty EKS Runtime Monitoring**.

1. GuardDuty recommande de choisir la dernière **version** de l'agent par défaut.

1. Sur la page **Configurer les paramètres du module complémentaire sélectionné**, utilisez les paramètres par défaut. Si le **statut** de votre module complémentaire EKS est **Nécessite une activation**, choisissez **Activer GuardDuty**. Cette action ouvre la GuardDuty console pour configurer la surveillance du temps d'exécution pour vos comptes.

1. Après avoir configuré la surveillance du temps d'exécution pour vos comptes, revenez à la console Amazon EKS. L'**état** de votre module complémentaire EKS doit être passé à **Prêt à installer**. 

1. 

**(Facultatif) Fourniture du schéma de configuration du module complémentaire EKS**

   Pour la **version** complémentaire, si vous choisissez la version **v1.5.0** ou supérieure, Runtime Monitoring prend en charge la configuration de paramètres spécifiques de l' GuardDuty agent. Pour plus d'informations sur les plages de paramètres, consultez[Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Développez **les paramètres de configuration facultatifs** pour afficher les paramètres configurables ainsi que leur valeur et leur format attendus.

   1. Définissez les paramètres. Les valeurs doivent être comprises dans la plage indiquée dans[Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Choisissez **Enregistrer les modifications** pour créer le module complémentaire en fonction de la configuration avancée.

   1. Pour la **méthode de résolution des conflits**, l'option que vous choisissez sera utilisée pour résoudre un conflit lorsque vous mettez à jour la valeur d'un paramètre à une valeur autre que celle par défaut. Pour plus d'informations sur les options répertoriées, consultez [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) dans le manuel *Amazon EKS API Reference*.

1. Choisissez **Suivant**.

1. Dans la page **Vérifier et créer**, vérifiez tous les détails, puis choisissez **Créer**.

1. Revenez aux détails du cluster et choisissez l'onglet **Ressources**. 

1. Vous pouvez afficher les nouveaux modules avec le préfixe **aws-guardduty-agent**. 

------
#### [ API/CLI ]

Vous pouvez configurer l'agent de module complémentaire Amazon EKS (`aws-guardduty-agent`) à l'aide de l'une des options suivantes :
+ Courez [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)pour votre compte.
+ 
**Note**  
Pour le module complémentaire`version`, si vous choisissez la **version v1.5.0 ou supérieure**, Runtime Monitoring prend en charge la configuration de paramètres spécifiques de l' GuardDuty agent. Pour de plus amples informations, veuillez consulter [Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).

  Utilisez les valeurs suivantes pour les paramètres de demande :
  + Pour `addonName`, saisissez `aws-guardduty-agent`.

    Vous pouvez utiliser l' AWS CLI exemple suivant lorsque vous utilisez des valeurs configurables prises en charge pour les versions complémentaires `v1.5.0` ou supérieures. Assurez-vous de remplacer les valeurs d'espace réservé surlignées en rouge et celles `Example.json` associées aux valeurs configurées.

    ```
    aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
    ```  
**Example Exemple.json**  

    ```
    {
    	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
    	"dnsPolicy": "Default",
    	"resources": {
    		"requests": {
    			"cpu": "237m",
    			"memory": "512Mi"
    		},
    		"limits": {
    			"cpu": "2000m",
    			"memory": "2048Mi"
    		}
    	}	
    }
    ```
  + Pour plus d'informations sur les `addonVersion` pris en charge, veuillez consulter [Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ Vous pouvez également utiliser AWS CLI. Pour plus d'informations, consultez [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).

------

**Noms DNS privés pour le point de terminaison VPC**  
Par défaut, l'agent de sécurité résout et se connecte au nom DNS privé du point de terminaison VPC. Pour un point de terminaison non FIPS, votre DNS privé apparaîtra au format suivant :  
Point de terminaison non FIPS — `guardduty-data.us-east-1.amazonaws.com`  
Le Région AWS*us-east-1*, changera en fonction de votre région.

# Mise à jour manuelle de l'agent de sécurité pour les ressources Amazon EKS
<a name="eksrunmon-update-security-agent"></a>

Lorsque vous gérez l'agent GuardDuty de sécurité manuellement, il vous incombe de le mettre à jour pour votre compte. Pour être informé des nouvelles versions de l'agent, vous pouvez vous abonner à un flux RSS sur[GuardDuty versions publiées de l'agent de sécurité](runtime-monitoring-agent-release-history.md).

Vous pouvez mettre à jour l'agent de sécurité vers la dernière version pour bénéficier du support et des améliorations supplémentaires. Si le support standard de la version actuelle de votre agent touche à sa fin, pour continuer à utiliser Runtime Monitoring (ou EKS Runtime Monitoring), vous devez passer à la prochaine version disponible ou à la dernière version de l'agent. 

**Prérequis**  
Avant de mettre à jour la version de l'agent de sécurité, assurez-vous que la version de l'agent que vous prévoyez d'utiliser maintenant est compatible avec votre version de Kubernetes. Pour de plus amples informations, veuillez consulter [Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).

------
#### [ Console ]

1. Ouvrez la console Amazon EKS à l'adresse [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Choisissez le **nom de votre cluster**.

1. Sous les **informations du cluster**, choisissez l'onglet **Modules complémentaires**.

1. Dans l'onglet **Modules complémentaires**, sélectionnez **GuardDutyEKS Runtime Monitoring**.

1. Choisissez **Modifier** pour mettre à jour les informations de l'agent.

1. Sur la page **Configurer la surveillance du temps d'exécution GuardDuty EKS**, mettez à jour les détails.

1. 

**(Facultatif) Mise à jour des paramètres de configuration facultatifs**

   Si la **version** de votre module complémentaire EKS est *1.5.0* ou supérieure, vous pouvez également mettre à jour le schéma de configuration du module complémentaire.

   1. Développez **les paramètres de configuration facultatifs** pour afficher le schéma de configuration.

   1. Mettez à jour les valeurs des paramètres en fonction de la plage fournie dans[Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Choisissez **Enregistrer les modifications** pour démarrer la mise à jour.

   1. Pour la **méthode de résolution des conflits**, l'option que vous choisissez sera utilisée pour résoudre un conflit lorsque vous mettez à jour la valeur d'un paramètre à une valeur autre que celle par défaut. Pour plus d'informations sur les options répertoriées, consultez [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) dans le manuel *Amazon EKS API Reference*.

------
#### [ API/CLI ]

Pour mettre à jour l'agent GuardDuty de sécurité pour vos clusters Amazon EKS, consultez la section [Mise à jour d'un module complémentaire](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on). 

**Note**  
Pour le module complémentaire`version`, si vous choisissez la **version 1.5.0 ou une version ultérieure**, Runtime Monitoring prend en charge la configuration de paramètres spécifiques de l' GuardDuty agent. Pour plus d'informations sur les plages de paramètres, consultez[Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).

Vous pouvez utiliser l' AWS CLI exemple suivant lorsque vous utilisez des valeurs configurables prises en charge pour les versions complémentaires *1.5.0 et supérieures*. Assurez-vous de remplacer les valeurs d'espace réservé surlignées en rouge et celles `Example.json` associées aux valeurs configurées.

```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```

**Example Exemple.json**  

```
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}
```

------

Si la version de votre module complémentaire Amazon EKS est 1.5.0 ou supérieure et que vous avez configuré le schéma du module complémentaire, vous pouvez vérifier si les valeurs apparaissent correctement pour votre cluster. Pour de plus amples informations, veuillez consulter [Vérification des mises à jour du schéma de configuration](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).