Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengelola agen keamanan secara manual untuk klaster Amazon EKS
<a name="managing-gdu-agent-eks-manually"></a>

Bagian ini menjelaskan bagaimana Anda dapat mengelola agen add-on Amazon EKS (GuardDuty agen) setelah Anda mengaktifkan Runtime Monitoring (atau EKS Runtime Monitoring). Untuk menggunakan Runtime Monitoring, Anda harus mengaktifkan Runtime Monitoring dan mengonfigurasi add-on Amazon EKS,. `aws-guardduty-agent` Anda perlu melakukan kedua langkah GuardDuty untuk mendeteksi potensi ancaman dan menghasilkan[GuardDuty Jenis penemuan Runtime Monitoring](findings-runtime-monitoring.md).

Untuk mengelola agen secara manual, Anda perlu membuat titik akhir VPC sebagai prasyarat. Ini membantu GuardDuty menerima acara runtime. Setelah ini, Anda dapat menginstal agen keamanan sehingga GuardDuty akan mulai menerima peristiwa runtime dari sumber daya Amazon EKS. Saat GuardDuty merilis versi agen baru untuk sumber daya ini, Anda dapat memperbarui versi agen di akun Anda.

**Topics**
+ [Prasyarat - Membuat titik akhir VPC Amazon](eksrunmon-prereq-deploy-security-agent.md)
+ [Menginstal agen GuardDuty keamanan secara manual di sumber daya Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Memperbarui agen keamanan secara manual untuk sumber daya Amazon EKS](eksrunmon-update-security-agent.md)

# Prasyarat - Membuat titik akhir VPC Amazon
<a name="eksrunmon-prereq-deploy-security-agent"></a>

Sebelum Anda dapat menginstal agen GuardDuty keamanan, Anda harus membuat titik akhir Amazon Virtual Private Cloud (Amazon VPC). Ini akan membantu GuardDuty menerima peristiwa runtime dari sumber daya Amazon EKS Anda.

**catatan**  
Tidak ada biaya tambahan untuk penggunaan titik akhir VPC.

Pilih metode akses yang disukai untuk membuat titik akhir VPC Amazon.

------
#### [ Console ]

**Untuk membuat titik akhir VPC**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, di bawah **Virtual Private Cloud**, pilih **Endpoints**.

1. Pilih **Buat Titik Akhir**.

1. Pada halaman **Buat titik akhir**, untuk **kategori Layanan**, pilih Layanan **titik akhir lainnya**. 

1. Untuk **nama Layanan**, masukkan**com.amazonaws.*us-east-1*.guardduty-data**.

   Pastikan untuk mengganti *us-east-1* dengan Region yang benar. Ini harus Region yang sama dengan cluster EKS milik Akun AWS ID Anda. 

1. Pilih **Verifikasi layanan**. 

1. Setelah nama layanan berhasil diverifikasi, pilih **VPC** tempat klaster Anda berada. Tambahkan kebijakan berikut untuk membatasi penggunaan titik akhir VPC hanya ke akun tertentu. Dengan organisasi yang `Condition` disediakan di bawah kebijakan ini, Anda dapat memperbarui kebijakan berikut untuk membatasi akses ke titik akhir Anda. Untuk memberikan dukungan titik akhir VPC ke akun tertentu IDs di organisasi Anda, lihat. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   ID `aws:PrincipalAccount` akun harus cocok dengan akun yang berisi titik akhir VPC dan VPC. Daftar berikut menunjukkan cara berbagi titik akhir VPC dengan yang lain: Akun AWS IDs

**Kondisi organisasi untuk membatasi akses ke titik akhir Anda**
   + Untuk menentukan beberapa akun untuk mengakses titik akhir VPC, ganti `"aws:PrincipalAccount": "111122223333"` dengan yang berikut:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]
     ```
   + Untuk mengizinkan semua anggota dari organisasi mengakses titik akhir VPC, ganti `"aws:PrincipalAccount": "111122223333"` dengan yang berikut ini:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```
   + Untuk membatasi akses sumber daya ke ID organisasi, tambahkan `ResourceOrgID` ke kebijakan.

     Untuk informasi selengkapnya, lihat [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid).

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. Di bawah **Pengaturan tambahan**, pilih **Aktifkan nama DNS**.

1. Di bawah **Subnet**, pilih subnet tempat klaster Anda berada.

1. Di bawah **Grup keamanan**, pilih grup keamanan yang mengaktifkan port 443 in-bound dari VPC Anda (atau kluster EKS Anda). Jika Anda belum memiliki grup keamanan yang mengaktifkan port 443 dalam terikat, [Buat grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).

   Jika ada masalah saat membatasi izin masuk ke VPC (atau instance), Anda dapat menggunakan port 443 yang di-bound dari alamat IP apa pun. `(0.0.0.0/0)` Namun, GuardDuty rekomendasikan untuk menggunakan alamat IP yang cocok dengan blok CIDR untuk VPC Anda. Untuk informasi selengkapnya, lihat [blok CIDR VPC di Panduan](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) Pengguna Amazon *VPC*.

------
#### [ API/CLI ]

**Untuk membuat titik akhir VPC**
+ Memohon. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)
+ Gunakan nilai berikut untuk parameter:
  + Untuk **nama Layanan**, masukkan**com.amazonaws.*us-east-1*.guardduty-data**.

    Pastikan untuk mengganti *us-east-1* dengan Region yang benar. Ini harus Region yang sama dengan cluster EKS milik Akun AWS ID Anda. 
  + Untuk [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), aktifkan opsi DNS pribadi dengan menyetelnya ke`true`. 
+ Untuk AWS Command Line Interface, lihat [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).

------

Setelah Anda mengikuti langkah-langkahnya, lihat [Memvalidasi konfigurasi titik akhir VPC](validate-vpc-endpoint-config-runtime-monitoring.md) untuk memastikan bahwa titik akhir VPC telah diatur dengan benar.

# Menginstal agen GuardDuty keamanan secara manual di sumber daya Amazon EKS
<a name="eksrunmon-deploy-security-agent"></a>

Bagian ini menjelaskan bagaimana Anda dapat menyebarkan agen GuardDuty keamanan untuk pertama kalinya untuk kluster EKS tertentu. Sebelum Anda melanjutkan dengan bagian ini, pastikan Anda telah menyiapkan prasyarat dan mengaktifkan Runtime Monitoring untuk akun Anda. Agen GuardDuty keamanan (add-on EKS) tidak akan berfungsi jika Anda tidak mengaktifkan Runtime Monitoring. 

Pilih metode akses pilihan Anda untuk menyebarkan agen GuardDuty keamanan untuk pertama kalinya.

------
#### [ Console ]

1. Buka konsol Amazon EKS di [https://console.aws.amazon.com/eks/rumah\$1/cluster](https://console.aws.amazon.com/eks/home#/clusters).

1. Pilih **nama Cluster** Anda.

1. Pilih tab **Add-ons**.

1. Pilih **Get more add-ons**

1. Pada halaman **Pilih add-on**, pilih **Amazon GuardDuty EKS Runtime Monitoring**.

1. GuardDuty merekomendasikan memilih **Versi** agen terbaru dan default.

1. Pada halaman **Konfigurasi pengaturan add-on yang dipilih**, gunakan pengaturan default. Jika **Status** add-on EKS Anda **Memerlukan aktivasi**, pilih **Aktifkan GuardDuty**. Tindakan ini akan membuka GuardDuty konsol untuk mengonfigurasi Runtime Monitoring untuk akun Anda.

1. Setelah mengonfigurasi Runtime Monitoring untuk akun Anda, beralih kembali ke konsol Amazon EKS. **Status** add-on EKS Anda seharusnya telah berubah menjadi **Siap untuk menginstal**. 

1. 

**(Opsional) Menyediakan skema konfigurasi add-on EKS**

   Untuk **Versi** add-on, jika Anda memilih **v1.5.0 atau lebih tinggi**, Runtime Monitoring mendukung konfigurasi parameter spesifik agen. GuardDuty Untuk informasi tentang rentang parameter, lihat[Konfigurasikan parameter add-on EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Perluas **Pengaturan konfigurasi opsional** untuk melihat parameter yang dapat dikonfigurasi serta nilai serta format yang diharapkan.

   1. Atur parameternya. Nilai-nilai harus dalam kisaran yang disediakan di[Konfigurasikan parameter add-on EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Pilih **Simpan perubahan** untuk membuat add-on berdasarkan konfigurasi lanjutan.

   1. Untuk **metode Resolusi konflik**, opsi yang Anda pilih akan digunakan untuk menyelesaikan konflik saat Anda memperbarui nilai parameter ke nilai non-default. *Untuk informasi selengkapnya tentang opsi yang tercantum, lihat [ResolveConflicts di Referensi API Amazon EKS](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts).*

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, verifikasi semua detail, dan pilih **Buat**.

1. Arahkan kembali ke detail cluster dan pilih tab **Resources**. 

1. Anda dapat melihat pod baru dengan awalan **aws-guardduty-agent**. 

------
#### [ API/CLI ]

Anda dapat mengonfigurasi agen add-on Amazon EKS (`aws-guardduty-agent`) menggunakan salah satu opsi berikut:
+ Jalankan [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)untuk akun Anda.
+ 
**catatan**  
Untuk add-on`version`, jika Anda memilih **v1.5.0 atau lebih tinggi**, Runtime Monitoring mendukung konfigurasi parameter spesifik agen. GuardDuty Untuk informasi selengkapnya, lihat [Konfigurasikan parameter add-on EKS](guardduty-configure-security-agent-eks-addon.md).

  Gunakan nilai berikut untuk parameter permintaan:
  + Untuk `addonName`, masukkan `aws-guardduty-agent`.

    Anda dapat menggunakan AWS CLI contoh berikut saat menggunakan nilai yang dapat dikonfigurasi yang didukung untuk versi add-on `v1.5.0` atau yang lebih baru. Pastikan untuk mengganti nilai placeholder yang disorot dengan warna merah dan yang terkait `Example.json` dengan nilai yang dikonfigurasi.

    ```
    aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
    ```  
**Example Contoh.json**  

    ```
    {
    	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
    	"dnsPolicy": "Default",
    	"resources": {
    		"requests": {
    			"cpu": "237m",
    			"memory": "512Mi"
    		},
    		"limits": {
    			"cpu": "2000m",
    			"memory": "2048Mi"
    		}
    	}	
    }
    ```
  + Untuk informasi tentang didukung`addonVersion` , Lihat[Versi Kubernetes didukung oleh agen keamanan GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version) .
+ Atau, Anda dapat menggunakan AWS CLI. Untuk informasi selengkapnya, lihat [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).

------

**Nama DNS pribadi untuk titik akhir VPC**  
Secara default, agen keamanan menyelesaikan dan menghubungkan ke nama DNS pribadi dari titik akhir VPC. Untuk endpoint non-FIPS, DNS pribadi Anda akan muncul dalam format berikut:  
Titik akhir non-FIPS — `guardduty-data.us-east-1.amazonaws.com`  
Itu Wilayah AWS,*us-east-1*, akan berubah berdasarkan Wilayah Anda.

# Memperbarui agen keamanan secara manual untuk sumber daya Amazon EKS
<a name="eksrunmon-update-security-agent"></a>

Ketika Anda mengelola agen GuardDuty keamanan secara manual, Anda bertanggung jawab untuk memperbaruinya untuk akun Anda. Untuk pemberitahuan tentang versi agen baru, Anda dapat berlangganan umpan RSS. [GuardDuty versi rilis agen keamanan](runtime-monitoring-agent-release-history.md)

Anda dapat memperbarui agen keamanan ke versi terbaru untuk mendapatkan manfaat dari dukungan dan peningkatan yang ditambahkan. Jika versi agen Anda saat ini mencapai akhir dukungan standar, maka untuk terus menggunakan Runtime Monitoring (atau EKS Runtime Monitoring), Anda harus memperbarui ke versi agen berikutnya yang tersedia atau terbaru. 

**Prasyarat**  
Sebelum Anda memperbarui versi agen keamanan, pastikan bahwa versi agen yang Anda rencanakan untuk digunakan sekarang, kompatibel dengan versi Kubernetes Anda. Untuk informasi selengkapnya, lihat [Versi Kubernetes didukung oleh agen keamanan GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).

------
#### [ Console ]

1. Buka konsol Amazon EKS di [https://console.aws.amazon.com/eks/rumah\$1/cluster](https://console.aws.amazon.com/eks/home#/clusters).

1. Pilih **nama Cluster** Anda.

1. Di bawah **Info cluster**, pilih tab **Add-ons**.

1. Di bawah tab **Add-ons**, pilih **GuardDutyEKS Runtime Monitoring**.

1. Pilih **Edit** untuk memperbarui detail agen.

1. Pada halaman **Configure GuardDuty EKS Runtime Monitoring**, perbarui detailnya.

1. 

**(Opsional) Memperbarui pengaturan konfigurasi opsional**

   Jika **versi** add-on EKS Anda adalah *1.5.0 atau lebih tinggi*, Anda juga dapat memperbarui skema konfigurasi add-on.

   1. Perluas **pengaturan konfigurasi opsional** untuk melihat skema konfigurasi.

   1. Perbarui nilai parameter berdasarkan rentang yang disediakan di[Konfigurasikan parameter add-on EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Pilih **Simpan perubahan** untuk memulai pembaruan.

   1. Untuk **metode Resolusi konflik**, opsi yang Anda pilih akan digunakan untuk menyelesaikan konflik saat Anda memperbarui nilai parameter ke nilai non-default. *Untuk informasi selengkapnya tentang opsi yang tercantum, lihat [ResolveConflicts di Referensi API Amazon EKS](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts).*

------
#### [ API/CLI ]

Untuk memperbarui agen GuardDuty keamanan untuk kluster Amazon EKS Anda, lihat [Memperbarui add-on](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on). 

**catatan**  
Untuk add-on`version`, jika Anda memilih **1.5.0 atau lebih tinggi**, Runtime Monitoring mendukung konfigurasi parameter spesifik agen. GuardDuty Untuk informasi tentang rentang parameter, lihat[Konfigurasikan parameter add-on EKS](guardduty-configure-security-agent-eks-addon.md).

Anda dapat menggunakan AWS CLI contoh berikut saat menggunakan nilai yang dapat dikonfigurasi yang didukung untuk versi add-on *1.5.0* dan yang lebih baru. Pastikan untuk mengganti nilai placeholder yang disorot dengan warna merah dan yang terkait `Example.json` dengan nilai yang dikonfigurasi.

```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```

**Example Contoh.json**  

```
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}
```

------

Jika versi add-on Amazon EKS Anda 1.5.0 atau lebih tinggi, dan Anda telah mengonfigurasi skema add-on, Anda dapat memverifikasi apakah nilai muncul dengan benar untuk klaster Anda atau tidak. Untuk informasi selengkapnya, lihat [Memverifikasi pembaruan skema konfigurasi](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).