翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチアカウント環境の EKS Runtime Monitoring の設定 (API)
<a name="eks-runtime-monitoring-configuration-multiple-accounts"></a>

マルチアカウント環境では、委任 GuardDuty 管理者アカウントのみが、メンバーアカウントの EKS Runtime Monitoring を有効または無効にすることや、組織内のメンバーアカウントに属する EKS クラスターの GuardDuty エージェント管理を管理することができます。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。マルチアカウント環境の詳細については、「[複数のアカウントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)」を参照してください。

## 委任 GuardDuty 管理者アカウントでの EKS Runtime Monitoring の設定
<a name="eks-protection-configure-delegated-admin"></a>

このセクションでは、EKS Runtime Monitoring を設定し、委任 GuardDuty 管理者アカウントに属する EKS クラスターの GuardDuty セキュリティエージェントを管理するステップを説明します。

「[Amazon EKS クラスターの GuardDuty セキュリティエージェントを管理するためのアプローチ](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters)」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。


|  **GuardDuty セキュリティエージェントを管理するための推奨アプローチ**  | **ステップ** | 
| --- | --- | 
|  GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング)  |  ユーザー独自のリージョンレベルのディテクター ID を使用し、`features` オブジェクト名を `EKS_RUNTIME_MONITORING` として、ステータスを `ENABLED` として渡して、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API を実行します。 `EKS_ADDON_MANAGEMENT` のステータスを `ENABLED` に設定します。 GuardDuty は、アカウント内のすべての Amazon EKS クラスターのセキュリティエージェントのデプロイと更新を管理します。 または、独自のリージョンディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。 次の例では、`EKS_RUNTIME_MONITORING` と `EKS_ADDON_MANAGEMENT` の両方を有効にします。 <pre>aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'</pre>  | 
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| 選択的な EKS クラスターのモニタリング (包含タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  セキュリティエージェントの手動管理  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

## すべてのメンバーアカウントのために EKS Runtime Monitoring を自動的に有効にする
<a name="auto-enable-eksrunmon-existing-memberaccounts"></a>

このセクションでは、すべてのメンバーアカウントで EKS Runtime Monitoring を有効にし、セキュリティエージェントを管理するステップについて説明します。これには、委任 GuardDuty 管理者アカウント、既存のメンバーアカウント、および組織に参加する新しいアカウントが含まれます。

「[Amazon EKS クラスターの GuardDuty セキュリティエージェントを管理するためのアプローチ](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters)」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。


|  **GuardDuty セキュリティエージェントを管理するための推奨アプローチ**  | **ステップ** | 
| --- | --- | 
|  GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング)  |  メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、自分の*ディテクター ID* を使用し、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API オペレーションを実行します。 `EKS_ADDON_MANAGEMENT` のステータスを `ENABLED` に設定します。 GuardDuty は、アカウント内のすべての Amazon EKS クラスターのセキュリティエージェントのデプロイと更新を管理します。 または、独自のリージョンディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。 次の例では、`EKS_RUNTIME_MONITORING` と `EKS_ADDON_MANAGEMENT` の両方を有効にします。 <pre>aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'</pre>  スペースで区切られたアカウント ID のリストを渡すこともできます。  コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。  | 
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| 選択的な EKS クラスターのモニタリング (包含タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  セキュリティエージェントの手動管理  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

## すべての既存のアクティブなメンバーアカウントの EKS Runtime Monitoring の設定
<a name="eks-protection-configure-active-members"></a>

このセクションでは、EKS Runtime Monitoring を有効にし、組織内の既存のアクティブなメンバーアカウントの GuardDuty セキュリティエージェントを管理するステップについて説明します。

「[Amazon EKS クラスターの GuardDuty セキュリティエージェントを管理するためのアプローチ](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters)」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。


|  **GuardDuty セキュリティエージェントを管理するための推奨アプローチ**  |  **ステップ**  | 
| --- | --- | 
|  GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング)  |  メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、自分の*ディテクター ID* を使用し、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API オペレーションを実行します。 `EKS_ADDON_MANAGEMENT` のステータスを `ENABLED` に設定します。 GuardDuty は、アカウント内のすべての Amazon EKS クラスターのセキュリティエージェントのデプロイと更新を管理します。 または、独自のリージョンディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。 次の例では、`EKS_RUNTIME_MONITORING` と `EKS_ADDON_MANAGEMENT` の両方を有効にします。 <pre>aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'</pre>  スペースで区切られたアカウント ID のリストを渡すこともできます。  コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。  | 
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| 選択的な EKS クラスターのモニタリング (包含タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  セキュリティエージェントの手動管理  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

## 新規メンバーの EKS Runtime Monitoring を自動有効化
<a name="eks-protection-configure-auto-enable-new-members"></a>

委任 GuardDuty 管理者アカウントは、組織に参加する新しいアカウントの EKS Runtime Monitoring を自動的に有効にし、GuardDuty セキュリティエージェントを管理する方法のアプローチを選択することができます。

「[Amazon EKS クラスターの GuardDuty セキュリティエージェントを管理するためのアプローチ](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters)」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。


|  **GuardDuty セキュリティエージェントを管理するための推奨アプローチ**  |  **ステップ**  | 
| --- | --- | 
|  GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング)  |  新しいアカウントの EKS Runtime Monitoring を選択的に有効にするには、自身の*ディテクター ID* を使用し、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) API オペレーションを実行します。 `EKS_ADDON_MANAGEMENT` のステータスを `ENABLED` に設定します。 GuardDuty は、アカウント内のすべての Amazon EKS クラスターのセキュリティエージェントのデプロイと更新を管理します。 または、独自のリージョンディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。 次の例では、1 つのアカウントで `EKS_RUNTIME_MONITORING` と `EKS_ADDON_MANAGEMENT` の両方を有効にします。スペースで区切られたアカウント ID のリストを渡すこともできます。 アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。 <pre>aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable  --features '[{"Name" : "EKS_RUNTIME_MONITORING", "AutoEnable": "NEW", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "AutoEnable": "NEW"}] }]'</pre> コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。  | 
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| 選択的な EKS クラスターのモニタリング (包含タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  セキュリティエージェントの手動管理  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 

## 個々のアクティブなメンバーアカウントの EKS Runtime Monitoring の有効化
<a name="eks-protection-configure-selectively-member-accounts"></a>

このセクションでは、個々のアクティブメンバーアカウントの EKS Runtime Monitoring を設定し、セキュリティエージェントを管理するステップについて説明します。

「[Amazon EKS クラスターの GuardDuty セキュリティエージェントを管理するためのアプローチ](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters)」に基づいて、推奨アプローチを選択し、次の表に示すステップに従うことができます。


|  **GuardDuty セキュリティエージェントを管理するための推奨アプローチ**  |  **ステップ**  | 
| --- | --- | 
|  GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング)  |  メンバーアカウントの EKS Runtime Monitoring を選択的に有効にするには、自分の*ディテクター ID* を使用し、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API オペレーションを実行します。 `EKS_ADDON_MANAGEMENT` のステータスを `ENABLED` に設定します。 GuardDuty は、アカウント内のすべての Amazon EKS クラスターのセキュリティエージェントのデプロイと更新を管理します。 または、独自のリージョンディテクター ID を使用して AWS CLI コマンドを使用することもできます。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。 次の例では、`EKS_RUNTIME_MONITORING` と `EKS_ADDON_MANAGEMENT` の両方を有効にします。 <pre>aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "ENABLED", "AdditionalConfiguration" : [{"Name" : "EKS_ADDON_MANAGEMENT", "Status" : "ENABLED"}] }]'</pre>  スペースで区切られたアカウント ID のリストを渡すこともできます。  コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。  | 
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
| 選択的な EKS クラスターのモニタリング (包含タグの使用) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  | 
|  セキュリティエージェントの手動管理  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/eks-runtime-monitoring-configuration-multiple-accounts.html)  |