翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EKS クラスターのセキュリティエージェントの手動管理
<a name="managing-gdu-agent-eks-manually"></a>

このセクションでは、Runtime Monitoring (または EKS Runtime Monitoring) を有効にした後に Amazon EKS アドオンエージェント (GuardDuty エージェント) を管理する方法について説明します。Runtime Monitoring を使用するには、Runtime Monitoring を有効にして Amazon EKS アドオン `aws-guardduty-agent` を設定する必要があります。GuardDuty が潜在的な脅威を検出し、「[GuardDuty Runtime Monitoring の検出結果タイプ](findings-runtime-monitoring.md)」を生成するには、両方のステップを実行する必要があります。

エージェントを手動で管理するには、前提条件として VPC エンドポイントを作成する必要があります。これは、GuardDuty がランタイムイベントを受信するのに役立ちます。その後、GuardDuty が Amazon EKS リソースからランタイムイベントを受信し始めるように、セキュリティエージェントをインストールできます。GuardDuty がこのリソースの新しいエージェントバージョンをリリースすると、アカウントでエージェントバージョンを更新できます。

**Topics**
+ [前提条件 – Amazon VPC エンドポイントの作成](eksrunmon-prereq-deploy-security-agent.md)
+ [Amazon EKS リソースへの GuardDuty セキュリティエージェントの手動インストール](eksrunmon-deploy-security-agent.md)
+ [Amazon EKS リソースのセキュリティエージェントの手動更新](eksrunmon-update-security-agent.md)

# 前提条件 – Amazon VPC エンドポイントの作成
<a name="eksrunmon-prereq-deploy-security-agent"></a>

GuardDuty セキュリティエージェントをインストールする前に、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成する必要があります。これにより、GuardDuty は Amazon EKS リソースのランタイムイベントを受信できるようになります。

**注記**  
VPC エンドポイントの使用に追加コストはかかりません。

任意のアクセス方法を選択して、Amazon VPC エンドポイントを作成します。

------
#### [ Console ]

**VPC エンドポイントを作成するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインの **[仮想プライベートクラウド]** で、**[VPC]** を選択します。

1. **[エンドポイントの作成]** を選択します。

1. **[エンドポイントの作成]** ページの **[サービスカテゴリ]** で **[その他のエンドポイントサービス**] を選択します。

1. **[サービス名]** に **com.amazonaws.*us-east-1*.guardduty-data** と入力します。

   必ず *us-east-1* を正しいリージョンに置き換えてください。これは、 AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。

1. **[サービスの確認]** を選択します。

1. サービス名が正常に確認されたら、クラスターが置かれている **[VPC]** を選択します。次のポリシーを追加して、VPC エンドポイントの使用を指定されたアカウントのみに制限します。このポリシー下で提供されている組織 `Condition` を使用して、次のポリシーを更新してエンドポイントへのアクセスを制限できます。組織内の特定のアカウント ID に VPC エンドポイントサポートを提供するには、「[Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)」を参照してください。

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   `aws:PrincipalAccount` アカウント ID は、VPC と VPC エンドポイントを含むアカウントと一致する必要があります。次のリストは、VPC エンドポイントを他の AWS アカウント ID と共有する方法を示しています。

**エンドポイントへのアクセスを制限する組織の条件**
   + VPC エンドポイントにアクセスする複数のアカウントを指定するには、`"aws:PrincipalAccount": "111122223333"`を以下に置き換えます。

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]
     ```
   + 組織のすべてのメンバーが VPC エンドポイントにアクセスできるようにするには、`"aws:PrincipalAccount": "111122223333"` を以下に置き換えます。

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```
   + リソースへのアクセスを組織 ID に制限するには、`ResourceOrgID` をポリシーに追加します。

     詳細については、「[ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)」を参照してください。

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. **[追加設定]** で **[DNS 名を有効にする]** を選択します。

1. **[サブネット]** で、クラスターが存在するサブネットを選択します。

1. **[セキュリティグループ]** で、VPC (または EKS クラスター) からのインバウンドポート 443 が有効になっているセキュリティグループを選択します。インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、[セキュリティグループを作成](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)します。

   VPC (またはインスタンス) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス `(0.0.0.0/0)` からのインバウンド 443 ポートをサポートできます。ただし、GuardDuty では、VPC の CIDR ブロックに一致する IP アドレスを使用することをお勧めします。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC CIDR ブロック](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)」を参照してください。

------
#### [ API/CLI ]

**VPC エンドポイントを作成するには**
+ [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) を呼び出します。
+ パラメータで以下の値を使用します。
  + **[サービス名]** に **com.amazonaws.*us-east-1*.guardduty-data** と入力します。

    必ず *us-east-1* を正しいリージョンに置き換えてください。これは、 AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。
  + [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html) には、プライベート DNS オプションを `true` に設定して有効にします。
+ 詳細については AWS Command Line Interface、「[create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)」を参照してください。

------

ステップに従った後、「[VPC エンドポイント設定の検証](validate-vpc-endpoint-config-runtime-monitoring.md)」を参照して、VPC エンドポイントが正しく設定されていることを確認します。

# Amazon EKS リソースへの GuardDuty セキュリティエージェントの手動インストール
<a name="eksrunmon-deploy-security-agent"></a>

このセクションでは、特定の EKS クラスターに GuardDuty セキュリティエージェントを初めてデプロイする方法について説明します。このセクションに進む前に、アカウントの前提条件をセットアップし、Runtime Monitoring を有効にしていることを確認してください。Runtime Monitoring を有効にしないと、GuardDuty セキュリティエージェント (EKS アドオン) は動作しません。

任意のアクセス方法を選択して、GuardDuty セキュリティエージェントを初めてデプロイします。

------
#### [ Console ]

1. [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters) で Amazon EKS コンソールを開きます。

1. **[クラスター名]** を選択します。

1. **[アドオン]** タブを選択してください。

1. **[その他のアドオンを入手]** を選択します。

1. **[アドオンの選択]** ページで、**[Amazon GuardDuty EKS Runtime Monitoring]** を選択します。

1. GuardDuty では、最新およびデフォルトのエージェント**バージョン**を選択することをお勧めします。

1. **[選択したアドオン設定の設定]** ページで、デフォルトの設定を使用します。EKS アドオンの **[ステータス]** は、**[アクティベーションが必要]** の場合は、**[GuardDuty を有効化]** を選択します。このアクションにより、GuardDuty コンソールが開き、アカウントの Runtime Monitoring を設定できます。

1. アカウントに Runtime Monitoring を設定したら、Amazon EKS コンソールに戻ってください。EKS アドオンの **[ステータス]** は、**[インストール準備完了]** に変わっているはずです。

1. 

**(オプション) EKS アドオン設定スキーマの提供**

   アドオン **[バージョン]** で **[v1.5.0]** 以上を選択した場合、Runtime Monitoring は GuardDuty エージェントの特定のパラメータの設定をサポートします。パラメータ範囲の詳細については、「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」を参照してください。

   1. **[オプションの構成設定]** を展開して、設定可能なパラメータとその期待値と形式を表示します。

   1. パラメータを設定します。値は、「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」に記載されたされた範囲内である必要があります。

   1. 詳細設定に基づいてアドオンを作成するには、**[変更の保存]** を選択します。

   1. **[競合解決方法]** で選択したオプションが、パラメータの値をデフォルト値以外の値に更新する際の競合を解決するために使用されます。記載されたオプションの詳細については、「*Amazon EKS API リファレンス*」の「[resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts)」を参照してください。

1. [**次へ**] を選択します。

1. **[確認と作成]** ページで、すべての詳細を確認し、**[作成]** を選択します。

1. クラスターの詳細に戻り、**[リソース]** タブを選択します。

1. **[aws-guardduty-agent]** というプレフィックスが付いた新しいポッドを表示できます。

------
#### [ API/CLI ]

Amazon EKS アドオンエージェント (`aws-guardduty-agent`) は、次のオプションのいずれかを使用して設定できます。
+ アカウントの [[CreateAddon]](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html) を実行します。
+ 
**注記**  
アドオン `version` で **[v1.5.0 以上]** を選択した場合、Runtime Monitoring は GuardDuty エージェントの特定のパラメータの設定をサポートします。詳細については、「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」を参照してください。

  リクエストパラメータに以下の値を使用します。
  + `addonName` に「`aws-guardduty-agent`」と入力します。

    アドオンバージョン `v1.5.0`以降でサポートされている設定可能な値を使用する場合は、次の AWS CLI 例を使用できます。赤で強調表示されたプレースホルダー値と、設定済みの値に関連付けられた `Example.json` を必ず置き換えてください。

    ```
    aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
    ```  
**Example.json**  

    ```
    {
    	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
    	"dnsPolicy": "Default",
    	"resources": {
    		"requests": {
    			"cpu": "237m",
    			"memory": "512Mi"
    		},
    		"limits": {
    			"cpu": "2000m",
    			"memory": "2048Mi"
    		}
    	}	
    }
    ```
  + サポートされている `addonVersion` については、「[GuardDuty セキュリティエージェントでサポートされている Kubernetes のバージョン](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version)」を参照してください。
+ または、 を使用することもできます AWS CLI。詳細については、「[create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html)」を参照してください。

------

**VPC エンドポイントのプライベート DNS 名**  
デフォルトでは、セキュリティエージェントは VPC エンドポイントのプライベート DNS 名を解決して接続します。FIPS 以外のエンドポイントの場合、プライベート DNS は以下の形式で表示されます。  
FIPS 以外のエンドポイント – `guardduty-data.us-east-1.amazonaws.com`  
us AWS リージョン*-east-1* の は、リージョンに応じて変わります。

# Amazon EKS リソースのセキュリティエージェントの手動更新
<a name="eksrunmon-update-security-agent"></a>

GuardDuty セキュリティエージェントを手動で管理する場合、アカウントのセキュリティエージェントを更新する責任がユーザーにあります。新しいエージェントバージョンに関する通知については、「[GuardDuty セキュリティエージェントのリリースバージョン](runtime-monitoring-agent-release-history.md)」の RSS フィードにサブスクライブできます。

セキュリティエージェントを最新バージョンに更新して、追加されたサポートと改善を活用できます。現在のエージェントバージョンが標準サポートを終了していて、引き続き Runtime Monitoring (または EKS Runtime Monitoring) を使用する場合は、利用可能な次のバージョンまたは現在のエージェントバージョンに更新する必要があります。

**前提条件**  
セキュリティエージェントのバージョンを更新する前に、現在使用する予定のエージェントのバージョンが Kubernetes バージョンと互換性があることを確認してください。詳細については、「[GuardDuty セキュリティエージェントでサポートされている Kubernetes のバージョン](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version)」を参照してください。

------
#### [ Console ]

1. [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters) で Amazon EKS コンソールを開きます。

1. **[クラスター名]** を選択します。

1. **[クラスター情報]** で、**[アドオン]** タブを選択します。

1. **[アドオン]** タブで、**[GuardDuty Runtime Monitoring]** を選択します。

1. **[編集]** を選択してエージェントの詳細を更新します。

1. **[GuardDuty EKS Runtime Monitoring の設定]** ページで、詳細を更新します。

1. 

**(オプション) オプションの設定の更新**

   EKS アドオン **[バージョン]** が *1.5.0* 以降の場合は、アドオン設定スキーマを更新することもできます。

   1. **[オプションの構成設定]** を展開して、設定スキーマを表示します。

   1. 「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」に記載された範囲に基づいてパラメータ値を更新します。

   1. **[変更を保存]** を選択して更新を開始します。

   1. **[競合解決方法]** で選択したオプションが、パラメータの値をデフォルト値以外の値に更新する際の競合を解決するために使用されます。記載されたオプションの詳細については、「*Amazon EKS API リファレンス*」の「[resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts)」を参照してください。

------
#### [ API/CLI ]

Amazon EKS クラスターの GuardDuty セキュリティエージェントを更新するには、「[アドオンの更新](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on)」を参照してください。

**注記**  
アドオン `version` で **[1.5.0]** 以降を選択した場合、Runtime Monitoring は GuardDuty エージェントの特定のパラメータの設定をサポートします。パラメータ範囲の詳細については、「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」を参照してください。

アドオンバージョン *1.5.0 以降*でサポートされている設定可能な値を使用する場合は、次の AWS CLI 例を使用できます。赤で強調表示されたプレースホルダー値と、設定済みの値に関連付けられた `Example.json` を必ず置き換えてください。

```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```

**Example.json**  

```
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}
```

------

Amazon EKS アドオンバージョンが 1.5.0 以降で、アドオンスキーマを設定している場合は、クラスターに値が正しく表示されるかどうかを確認できます。詳細については、「[設定スキーマの更新の検証](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param)」を参照してください。