Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione manuale dell'agente di sicurezza per il cluster Amazon EKS
<a name="managing-gdu-agent-eks-manually"></a>

Questa sezione descrive come gestire il tuo agente aggiuntivo Amazon EKS (GuardDuty agente) dopo aver abilitato Runtime Monitoring (o EKS Runtime Monitoring). Per utilizzare Runtime Monitoring, devi abilitare Runtime Monitoring e configurare il componente aggiuntivo Amazon EKS,`aws-guardduty-agent`. È necessario eseguire entrambi i passaggi per GuardDuty rilevare e generare [GuardDuty Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md) potenziali minacce.

Per gestire l'agente manualmente, è necessario creare un endpoint VPC come prerequisito. Questo aiuta a GuardDuty ricevere gli eventi di runtime. Successivamente, puoi installare il security agent in modo che inizi GuardDuty a ricevere gli eventi di runtime dalle risorse Amazon EKS. Quando GuardDuty rilascia una nuova versione dell'agente per questa risorsa, puoi aggiornare la versione dell'agente nel tuo account.

**Topics**
+ [Prerequisito: creazione di un endpoint Amazon VPC](eksrunmon-prereq-deploy-security-agent.md)
+ [Installazione manuale dell'agente di GuardDuty sicurezza sulle risorse Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Aggiornamento manuale dell'agente di sicurezza per le risorse Amazon EKS](eksrunmon-update-security-agent.md)

# Prerequisito: creazione di un endpoint Amazon VPC
<a name="eksrunmon-prereq-deploy-security-agent"></a>

Prima di poter installare il GuardDuty security agent, devi creare un endpoint Amazon Virtual Private Cloud (Amazon VPC). Questo ti aiuterà a GuardDuty ricevere gli eventi di runtime delle tue risorse Amazon EKS.

**Nota**  
Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC.

Scegli un metodo di accesso preferito per creare un endpoint Amazon VPC.

------
#### [ Console ]

**Per creare un endpoint VPC**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dal riquadro di navigazione, in **Cloud privato virtuale**, scegli **Endpoint**.

1. Scegliere **Create Endpoint** (Crea endpoint).

1. Nella pagina **Crea endpoint** per **Categoria servizio**, scegli **Altri servizi endpoint**. 

1. Per **Nome servizio**, inserisci **com.amazonaws.*us-east-1*.guardduty-data**.

   Assicurati di sostituirlo *us-east-1* con la regione corretta. Questa deve essere la stessa regione del cluster EKS che appartiene al tuo Account AWS ID. 

1. Scegli **Verifica del servizio**. 

1. Dopo aver verificato correttamente il nome del servizio, scegli il **VPC** in cui risiede il cluster. Aggiungi la policy seguente per limitare l'utilizzo degli endpoint VPC solo all'account specificato. Con la `Condition` dell'organizzazione fornita sotto a questa policy, puoi aggiornare la policy seguente per limitare l'accesso all'endpoint. Per fornire il supporto degli endpoint VPC a un account IDs specifico della tua organizzazione, consulta. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   L'ID account di `aws:PrincipalAccount` deve corrispondere all'account contenente il VPC e l'endpoint VPC. L'elenco seguente mostra come condividere l'endpoint VPC con altri: Account AWS IDs

**Condizione dell'organizzazione per limitare l'accesso all'endpoint**
   + Per specificare più account per accedere all'endpoint VPC, sostituisci `"aws:PrincipalAccount": "111122223333"` con quanto segue:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]
     ```
   + Per consentire a tutti i membri di un'organizzazione di accedere all'endpoint VPC, sostituisci `"aws:PrincipalAccount": "111122223333"` con quanto segue:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```
   + Per limitare l'accesso a una risorsa da parte di un ID organizzazione, aggiungi il tuo `ResourceOrgID` alla policy.

     [Per ulteriori informazioni, consulta ResourceOrg ID.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. In **Impostazioni aggiuntive**, scegli **Abilita nome DNS**.

1. In **Sottoreti**, scegli le sottoreti in cui risiede il cluster.

1. In **Gruppi di sicurezza**, scegli un gruppo di sicurezza con la porta 443 in ingresso abilitata dal tuo VPC (o dal cluster EKS). Se non disponi già di un gruppo di sicurezza con una porta 443 in ingresso abilitata, [Crea un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).

   Se c'è un problema durante la limitazione delle autorizzazioni in ingresso al tuo VPC (o istanza), puoi utilizzare la porta 443 in ingresso da qualsiasi indirizzo IP. `(0.0.0.0/0)` Tuttavia, GuardDuty consiglia di utilizzare indirizzi IP che corrispondano al blocco CIDR per il VPC. Per ulteriori informazioni, consulta i [blocchi VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) nella Amazon *VPC* User Guide.

------
#### [ API/CLI ]

**Per creare un endpoint VPC**
+ Invoca. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)
+ Utilizza i seguenti valori per i parametri:
  + Per **Nome servizio**, inserisci **com.amazonaws.*us-east-1*.guardduty-data**.

    Assicurati di sostituirlo *us-east-1* con la regione corretta. Questa deve essere la stessa regione del cluster EKS che appartiene al tuo Account AWS ID. 
  + Per [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), abilita l'opzione DNS privato impostandola su`true`. 
+ Per AWS Command Line Interface, vedi [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).

------

Dopo aver seguito i passaggi, verifica [Convalida della configurazione degli endpoint VPC](validate-vpc-endpoint-config-runtime-monitoring.md) che l'endpoint VPC sia stato configurato correttamente.

# Installazione manuale dell'agente di GuardDuty sicurezza sulle risorse Amazon EKS
<a name="eksrunmon-deploy-security-agent"></a>

Questa sezione descrive come implementare il GuardDuty security agent per la prima volta per cluster EKS specifici. Prima di procedere con questa sezione, assicuratevi di aver già impostato i prerequisiti e abilitato il Runtime Monitoring per i vostri account. Il GuardDuty security agent (componente aggiuntivo EKS) non funzionerà se non abilitate il Runtime Monitoring. 

Scegliete il metodo di accesso preferito per implementare il GuardDuty security agent per la prima volta.

------
#### [ Console ]

1. Apri la console Amazon EKS a [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Scegli il **Nome cluster**.

1. Selezionare la scheda **Componenti aggiuntivi**.

1. Scegli **Ottieni altri componenti aggiuntivi**.

1. Nella pagina **Seleziona componenti aggiuntivi**, scegli **Amazon GuardDuty EKS Runtime Monitoring**.

1. GuardDuty consiglia di scegliere la **versione** più recente e predefinita dell'agente.

1. Nella pagina **Configura le impostazioni dei componenti aggiuntivi selezionati**, utilizza le impostazioni predefinite. Se lo **stato** del componente aggiuntivo EKS è **Richiede attivazione**, scegli **Attiva GuardDuty**. Questa azione aprirà la GuardDuty console per configurare il monitoraggio del runtime per i tuoi account.

1. Dopo aver configurato il Runtime Monitoring per i tuoi account, torna alla console Amazon EKS. Lo **Stato** del componente aggiuntivo EKS dovrebbe essere stato modificato in **Pronto per l'installazione**. 

1. 

**(Facoltativo) Fornitura dello schema di configurazione aggiuntivo EKS**

   Per la versione aggiuntiva, se si sceglie la **versione** **1.5.0 o successiva**, Runtime Monitoring supporta la configurazione di parametri specifici dell'agente. GuardDuty Per informazioni sugli intervalli di parametri, vedere. [Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md)

   1. Espandi **le impostazioni di configurazione opzionali** per visualizzare i parametri configurabili e il valore e il formato previsti.

   1. Imposta i parametri. I valori devono essere compresi nell'intervallo fornito in[Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Scegli **Salva modifiche** per creare il componente aggiuntivo in base alla configurazione avanzata.

   1. Per il **metodo di risoluzione dei conflitti**, l'opzione scelta verrà utilizzata per risolvere un conflitto quando si aggiorna il valore di un parametro a un valore non predefinito. Per ulteriori informazioni sulle opzioni elencate, consulta [ResolveConflicts nell'*Amazon* EKS API Reference](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts).

1. Scegli **Next (Successivo)**.

1. Nella pagina **Rivedi e crea**, verifica tutti i dettagli, quindi scegli **Crea**.

1. Torna ai dettagli del cluster e scegli la scheda **Risorse**. 

1. Puoi visualizzare i nuovi pod con il prefisso. **aws-guardduty-agent** 

------
#### [ API/CLI ]

È possibile configurare il componente aggiuntivo di Amazon EKS (`aws-guardduty-agent`) utilizzando una delle opzioni seguenti:
+ Corri [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)per il tuo account.
+ 
**Nota**  
Per il componente aggiuntivo`version`, se scegli la **versione 1.5.0 o successiva**, Runtime Monitoring supporta la configurazione di parametri specifici dell'agente. GuardDuty Per ulteriori informazioni, consulta [Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md).

  Utilizza i valori seguenti per i parametri della richiesta:
  + In `addonName`, immettere `aws-guardduty-agent`.

    È possibile utilizzare il seguente AWS CLI esempio quando si utilizzano valori configurabili supportati per versioni aggiuntive o successive. `v1.5.0` Assicurati di sostituire i valori segnaposto evidenziati in rosso e quelli `Example.json` associati ai valori configurati.

    ```
    aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
    ```  
**Example Esempio.json**  

    ```
    {
    	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
    	"dnsPolicy": "Default",
    	"resources": {
    		"requests": {
    			"cpu": "237m",
    			"memory": "512Mi"
    		},
    		"limits": {
    			"cpu": "2000m",
    			"memory": "2048Mi"
    		}
    	}	
    }
    ```
  + Per informazioni sulle `addonVersion` supportate, consulta [Versioni di Kubernetes supportate dal security agent GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ In alternativa, puoi usare. AWS CLI Per ulteriori informazioni, consulta [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).

------

**Nomi DNS privati per endpoint VPC**  
Per impostazione predefinita, il security agent si risolve e si connette al nome DNS privato dell'endpoint VPC. Per un endpoint non FIPS, il DNS privato verrà visualizzato nel seguente formato:  
Endpoint non FIPS: `guardduty-data.us-east-1.amazonaws.com`  
Il Regione AWS,*us-east-1*, cambierà in base alla tua regione.

# Aggiornamento manuale dell'agente di sicurezza per le risorse Amazon EKS
<a name="eksrunmon-update-security-agent"></a>

Quando gestisci manualmente il GuardDuty security agent, hai la responsabilità di aggiornarlo per il tuo account. Per ricevere notifiche sulle nuove versioni degli agenti, puoi abbonarti a un feed RSS a[GuardDuty versioni di rilascio di Security Agent](runtime-monitoring-agent-release-history.md).

È possibile aggiornare il Security Agent alla versione più recente per beneficiare del supporto e dei miglioramenti aggiuntivi. Se la versione corrente dell'agente sta per terminare il supporto standard, per continuare a utilizzare Runtime Monitoring (o EKS Runtime Monitoring), è necessario eseguire l'aggiornamento a una versione dell'agente successiva disponibile o all'ultima versione dell'agente. 

**Prerequisito**  
Prima di aggiornare la versione del Security Agent, assicurati che la versione dell'agente che intendi utilizzare ora sia compatibile con la tua versione di Kubernetes. Per ulteriori informazioni, consulta [Versioni di Kubernetes supportate dal security agent GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).

------
#### [ Console ]

1. Apri la console Amazon EKS a [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Scegli il **Nome cluster**.

1. **Nella sezione **Informazioni sul cluster**, scegli la scheda Componenti aggiuntivi.**

1. Nella scheda **Componenti aggiuntivi**, seleziona **GuardDutyEKS Runtime** Monitoring.

1. Scegli **Modifica** per aggiornare i dettagli dell'agente.

1. Nella pagina **Configure GuardDuty EKS Runtime Monitoring**, aggiorna i dettagli.

1. 

**(Facoltativo) Aggiornamento delle impostazioni di configurazione opzionali**

   Se la **versione** del componente aggiuntivo EKS è *1.5.0* o superiore, puoi anche aggiornare lo schema di configurazione del componente aggiuntivo.

   1. Espandi **Impostazioni di configurazione opzionali** per visualizzare lo schema di configurazione.

   1. Aggiorna i valori dei parametri in base all'intervallo fornito in[Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Scegli **Salva modifiche** per avviare l'aggiornamento.

   1. Per il **metodo di risoluzione dei conflitti**, l'opzione scelta verrà utilizzata per risolvere un conflitto quando si aggiorna il valore di un parametro a un valore non predefinito. Per ulteriori informazioni sulle opzioni elencate, consulta [ResolveConflicts nell'*Amazon* EKS API Reference](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts).

------
#### [ API/CLI ]

Per aggiornare l'agente GuardDuty di sicurezza per i tuoi cluster Amazon EKS, consulta [Aggiornamento di un componente aggiuntivo](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on). 

**Nota**  
Per il componente aggiuntivo`version`, se scegli la **versione 1.5.0 o una versione successiva**, Runtime Monitoring supporta la configurazione di parametri specifici dell'agente. GuardDuty Per informazioni sugli intervalli di parametri, vedere. [Configura i parametri aggiuntivi EKS](guardduty-configure-security-agent-eks-addon.md)

È possibile utilizzare l' AWS CLI esempio seguente quando si utilizzano valori configurabili supportati per le versioni aggiuntive *1.5.0* e successive. Assicurati di sostituire i valori segnaposto evidenziati in rosso e quelli associati ai `Example.json` valori configurati.

```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```

**Example Esempio.json**  

```
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}
```

------

Se la tua versione del componente aggiuntivo Amazon EKS è 1.5.0 o successiva e hai configurato lo schema del componente aggiuntivo, puoi verificare se i valori vengono visualizzati correttamente per il tuo cluster. Per ulteriori informazioni, consulta [Verifica degli aggiornamenti dello schema di configurazione](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).