翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EKS クラスターでの Runtime Monitoring の仕組み
Runtime Monitoring は、GuardDuty セキュリティエージェントとも呼ばれる「[EKS アドオン `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks)」を使用します。GuardDuty が EKS クラスターにデプロイされると、GuardDuty セキュリティエージェントはこれらの EKS クラスターのランタイムイベントを受信できます。
**注意事項**
Runtime Monitoring は、Amazon EC2 インスタンスと Amazon EKS Auto Mode で実行されている Amazon EKS クラスターを**サポートします**。
Runtime Monitoring は、Amazon EKS Hybrid Nodes を使用する Amazon EKS クラスター、および AWS Fargateで実行されているクラスターを**サポートしていません**。
これらの Amazon EKS の詳細については、「**Amazon EKS ユーザーガイド**」の「[Amazon EKS とは](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html)」を参照してください。
この機能は、Amazon EKS クラスターのランタイムイベントをアカウントレベルまたはクラスターレベルで監視できます。GuardDuty セキュリティエージェントを管理できるのは、監視して脅威を検出したい Amazon EKS クラスターに対してのみです。GuardDuty セキュリティエージェントは、手動で管理することも、自動エージェント設定を使用してユーザーに代わって GuardDuty に管理させることもできます。
自動エージェント設定アプローチを使用して、GuardDuty がユーザーに代わってセキュリティエージェントのデプロイを管理できるようにすると、自動的に **Amazon Virtual Private Cloud (Amazon VPC) エンドポイントが作成**されます。セキュリティエージェントは、この Amazon VPC エンドポイントを使用してランタイムイベントを GuardDuty に配信します。
VPC エンドポイントと共に、GuardDuty は新しいセキュリティグループも作成します。インバウンド (Ingress) ルールは、セキュリティグループに関連付けられたリソースに到達することが許可されたトラフィックを制御します。GuardDuty は、リソースの VPC CIDR 範囲に一致するインバウンドルールを追加し、CIDR 範囲が変更されたときにそれに適応します。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC CIDR range](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)」を参照してください。
**注意事項**
VPC エンドポイントの使用に追加コストはかかりません。
自動エージェントによる一元化された VPC の使用 – リソースタイプに GuardDuty 自動エージェント設定を使用する場合、GuardDuty はすべての VPC に対してユーザーに代わって VPC エンドポイントを作成します。これには、一元化された VPC とスポーク VPC が含まれます。GuardDuty は、一元化された VPC のみの VPC エンドポイントの作成をサポートしていません。一元化された VPC の仕組みの詳細については、ホワイトペーパーの[「インターフェイス VPC エンドポイント](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) - スケーラブルで安全なマルチ VPC ネットワークインフラストラクチャの構築」を参照してください。 *AWS AWS *
## Amazon EKS クラスターの GuardDuty セキュリティエージェントを管理するためのアプローチ
2023 年 9 月 13 日より前は、セキュリティエージェントをアカウントレベルで管理するように GuardDuty を設定できました。つまり、デフォルトでは GuardDuty が、 AWS アカウントに属するすべての EKS クラスター上のセキュリティエージェントを管理していました。現在は、GuardDuty でセキュリティエージェントを管理する EKS クラスターについて、きめ細かな選択機能が提供されています。
「[GuardDuty セキュリティエージェントの手動管理](#eks-runtime-using-gdu-agent-manually)」を選択した場合も、モニタリングする EKS クラスターを選択できます。ただし、エージェントを手動で管理するには、 の Amazon VPC エンドポイントを作成することが前提条件 AWS アカウント です。
**注記**
GuardDuty セキュリティエージェントの管理に使用するアプローチに関係なく、EKS Runtime Monitoring は常にアカウントレベルで有効になります。
**Topics**
+ [GuardDuty によるセキュリティエージェントの管理](#eks-runtime-using-gdu-agent-management-auto)
+ [GuardDuty セキュリティエージェントの手動管理](#eks-runtime-using-gdu-agent-manually)
### GuardDuty によるセキュリティエージェントの管理
GuardDuty は、ユーザーに代わってセキュリティエージェントをデプロイおよび管理します。次のいずれかのアプローチを使用して、アカウント内の EKS クラスターをいつでもモニタリングできます。
**Topics**
+ [すべての EKS クラスターをモニタリングする](#gdu-security-agent-all-eks-custers)
+ [選択的な EKS クラスターを除外する](#eks-runtime-using-exclusion-tags)
+ [選択的な EKS クラスターを含める](#eks-runtime-using-inclusion-tags)
#### すべての EKS クラスターをモニタリングする
アカウント内のすべての EKS クラスターのセキュリティエージェントを GuardDuty でデプロイおよび管理する場合は、このアプローチを使用します。デフォルトでは、GuardDuty はアカウント内で作成される可能性のある新しい EKS クラスターにもセキュリティエージェントをデプロイします。
**このアプローチを使用した場合の影響**
+ GuardDuty が Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成します。GuardDuty セキュリティエージェントは、このエンドポイントを通じてランタイムイベントを GuardDuty に配信します。GuardDuty を使用してセキュリティエージェントを管理する場合、Amazon VPC エンドポイントの作成に追加コストはかかりません。
+ ワーカーノードにアクティブな `guardduty-data` VPC エンドポイントへの有効なネットワークパスが必要です。GuardDuty が EKS クラスターにセキュリティエージェントをデプロイします。Amazon Elastic Kubernetes Service (Amazon EKS) が、EKS クラスター内のノードでのセキュリティエージェントのデプロイを調整します。
+ GuardDuty は IP の可用性に基づいてサブネットを選択し、VPC エンドポイントを作成します。高度なネットワークトポロジを使用する場合は、接続が可能であることを検証する必要があります。
#### 選択的な EKS クラスターを除外する
GuardDuty でアカウント内のすべての EKS クラスターのセキュリティエージェントを管理し、選択的な EKS クラスターを除外する場合は、このアプローチを使用します。この方法では、ランタイムイベントを受信しない EKS クラスターにタグを付けることができる、タグベース[1](#eks-runtime-inclusion-exclusion-tags)のアプローチを使用します。事前定義されたタグには、キーと値のペアとして `GuardDutyManaged`-`false` が必要です。
**このアプローチを使用した場合の影響**
このアプローチでは、モニタリングから除外する EKS クラスターにタグを追加してから、GuardDuty エージェントの自動管理を有効にする必要があります。
そのため、「[GuardDuty によるセキュリティエージェントの管理](#eks-runtime-using-gdu-agent-management-auto)」の場合の影響がこのアプローチにも適用されます。GuardDuty エージェントの自動管理を有効にする前にタグを追加すると、GuardDuty はモニタリングから除外された EKS クラスターのセキュリティエージェントのデプロイと管理を行いません。
**考慮事項**
+ GuardDuty エージェントの自動管理を有効にする前に、選択する EKS クラスターのタグのキーと値のペアを `GuardDutyManaged`:`false` として追加する必要があります。追加しない場合、タグを使用するまで GuardDuty セキュリティエージェントがすべての EKS クラスターにデプロイされます。
+ 信頼できる ID 以外により、タグが変更されないようにする必要があります。
**重要**
サービスコントロールポリシーまたは IAM ポリシーを使用して、EKS クラスターの `GuardDutyManaged` タグの値を変更する権限を管理します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」または「*IAM ユーザーガイド*」の「[AWS のリソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。
+ モニタリングする必要のない、潜在的な新しい EKS クラスターについては、その EKS クラスターの作成時に必ず `GuardDutyManaged`-`false` のキーと値のペアを追加してください。
+ このアプローチには、「[すべての EKS クラスターをモニタリングする](#gdu-security-agent-all-eks-custers)」で指定されているものと同じ考慮事項があります。
#### 選択的な EKS クラスターを含める
アカウント内の選択的な EKS クラスターに対してのみ、GuardDuty でセキュリティエージェントのデプロイと更新の管理を行う場合は、このアプローチを使用します。この方法では、ランタイムイベントを受信する EKS クラスターにタグを付けることができる、タグベース[1](#eks-runtime-inclusion-exclusion-tags)のアプローチを使用します。
**このアプローチを使用した場合の影響**
+ 包含タグを使用することで、GuardDuty は、キーバリューのペアとして `GuardDutyManaged`-`true` でタグ付けされた選択する EKS クラスターに対してのみ、セキュリティエージェントを自動的にデプロイおよび管理します。
+ このアプローチを使用した場合も、「[すべての EKS クラスターをモニタリングする](#gdu-security-agent-all-eks-custers)」で指定されているものと同じ影響があります。
**考慮事項**
+ `GuardDutyManaged` タグの値が `true` に設定されていないと、包含タグが期待どおりに機能せず、EKS クラスターのモニタリングに影響する可能性があります。
+ 選択的な EKS クラスターを確実にモニタリングするには、信頼できる ID 以外によりタグが変更されないようにする必要があります。
**重要**
サービスコントロールポリシーまたは IAM ポリシーを使用して、EKS クラスターの `GuardDutyManaged` タグの値を変更する権限を管理します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」または「*IAM ユーザーガイド*」の「[AWS のリソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。
+ モニタリングする必要のない、潜在的な新しい EKS クラスターについては、その EKS クラスターの作成時に必ず `GuardDutyManaged`-`false` のキーと値のペアを追加してください。
+ このアプローチには、「[すべての EKS クラスターをモニタリングする](#gdu-security-agent-all-eks-custers)」で指定されているものと同じ考慮事項があります。
1 選択的な EKS クラスターのタグ付けの詳細については、「**Amazon EKS ユーザーガイド**」の「[Amazon EKS リソースのタグ付け](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)」を参照してください。
### GuardDuty セキュリティエージェントの手動管理
すべての EKS クラスターで GuardDuty セキュリティエージェントを手動でデプロイおよび管理する場合は、このアプローチを使用します。アカウントで EKS Runtime Monitoring が有効になっていることを確認してください。EKS Runtime Monitoring を有効にしないと、GuardDuty セキュリティエージェントが期待どおりに動作しないことがあります。
**このアプローチを使用した場合の影響**
EKS クラスター内の GuardDuty セキュリティエージェントのデプロイを、すべてのアカウントおよびこの機能が利用可能な AWS リージョン 場所で調整する必要があります。また、GuardDuty がエージェントバージョンをリリースしたときに、エージェントバージョンを更新する必要があります。EKS のエージェントバージョンの詳細については、「[Amazon EKS リソースの GuardDuty セキュリティエージェントバージョン](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)」を参照してください。
**考慮事項**
新しいクラスターやワークロードが継続的にデプロイされるにつれて、カバレッジのギャップをモニタリングして対処しながら、安全なデータフローをサポートする必要があります。