翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EKS クラスターサポートの前提条件
このセクションでは、Amazon EKS リソースのランタイム動作をモニタリングするための前提条件について説明します。これらの前提条件は、GuardDuty エージェントが期待どおりに機能するために不可欠です。これらの前提条件が満たされたら、「[GuardDuty Runtime Monitoring の有効化](runtime-monitoring-configuration.md)」を参照してリソースのモニタリングを開始します。
## Amazon EKS 機能のサポート
Runtime Monitoring は、Amazon EC2 インスタンスと Amazon EKS Auto Mode で実行されている Amazon EKS クラスターを**サポートします**。
Runtime Monitoring は、Amazon EKS Hybrid Nodes を使用する Amazon EKS クラスター、および AWS Fargateで実行されているクラスターを**サポートしていません**。
これらの Amazon EKS の詳細については、「**Amazon EKS ユーザーガイド**」の「[Amazon EKS とは](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html)」を参照してください。
## アーキテクチャ要件の検証
使用するプラットフォームは、EKS クラスターからランタイムイベントを受信する際に GuardDuty セキュリティエージェントが GuardDuty をサポートする方法に影響を与える可能性があります。検証済みのプラットフォームのいずれかを使用していることを検証する必要があります。GuardDuty エージェントを手動で管理している場合は、現在使用している GuardDuty エージェントのバージョンが、Kubernetes のバージョンでサポートされていることを確認します。
### 検証済みプラットフォーム
OS ディストリビューション、カーネルバージョン、CPU アーキテクチャは、GuardDuty セキュリティエージェントが提供するサポートに影響します。カーネルのサポートには、`eBPF`、`Tracepoints`、`Kprobe` が含まれます。CPU アーキテクチャの場合、Runtime Monitoring は AMD64 (`x64`) と ARM64 (Graviton2 以降) をサポートしています[1](#runtime-monitoring-eks-graviton-2-support)。
次の表は、GuardDuty セキュリティエージェントをデプロイし、EKS Runtime Monitoring を設定するための検証済み設定を示しています。
| OS ディストリビューション**[2](#runtime-monitoring-eks-os-support)** | カーネルバージョン**[3](#runtime-monitoring-eks-kernel-version-required-flag)** | サポートされている Kubernetes バージョン |
| --- | --- | --- |
| Bottlerocket | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.23 - v1.35 |
| Ubuntu | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| Amazon Linux 2 | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| Amazon Linux 2023*[5](#runtime-eks-al2023-support-v1.6.0)* | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| RedHat 9.4 | 5.14[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| フェドラ 34 | 5.11~5.17 | v1.21 - v1.35 |
| フェドラ 40 | 6.8 | v1.28 - v1.35 |
| フェドラ 41 | 6.12 | v1.28 - v1.35 |
| CentOS Stream 9 | 5.14 | v1.21 - v1.35 |
1. Amazon EKS クラスターの Runtime Monitoring は、A1 インスタンスタイプなどの第 1 世代 Graviton インスタンスをサポートしていません。
1. さまざまなオペレーティングシステムのサポート - GuardDuty は、前の表に記載されたオペレーティングディストリビューションでの Runtime Monitoring のサポートを検証しました。GuardDuty セキュリティエージェントは、前の表に記載されていないオペレーティングシステムでも実行できますが、GuardDuty チームは予想されるセキュリティ値を保証できません。
1. カーネルバージョンについては、 `CONFIG_DEBUG_INFO_BTF`フラグを `y` (*true* を意味する) に設定する必要があります。これは、GuardDuty セキュリティエージェントが想定どおりに実行できるようにするために必要です。
1. 現在、カーネルバージョン `6.1` では、GuardDuty は[ドメインネームシステム (DNS) イベント](runtime-monitoring-collected-events.md#eks-runtime-dns-events)に関連する[GuardDuty Runtime Monitoring の検出結果タイプ](findings-runtime-monitoring.md)を生成できません。
1. Runtime Monitoring は、GuardDuty セキュリティエージェント v1.6.0 以降のリリースで AL2023 をサポートします。詳細については、「[Amazon EKS リソースの GuardDuty セキュリティエージェントバージョン](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)」を参照してください。
#### GuardDuty セキュリティエージェントでサポートされている Kubernetes のバージョン
次の表は、GuardDuty セキュリティエージェントでサポートされている EKS クラスターの Kubernetes のバージョンを示しています。
| Amazon EKS アドオン GuardDuty セキュリティエージェントバージョン | Kubernetes バージョン |
| --- | --- |
| v1.12.1 (最新 - v1.12.1-eksbuild.2) | 1.28~1.35 |
| v1.11.0 (最新 - v1.11.0-eksbuild.4) | 1.28~1.34 |
| v1.10.0 (最新 - v1.10.0-eksbuild.2) | 1.21~1.33 |
| v1.9.0 (最新 - v1.9.0-eksbuild.2) v1.8.1 (最新 - v1.8.1-eksbuild.2) | 1.21~1.32 |
| v1.7.1 v1.7.0 v1.6.1 | 1.21~1.31 |
| v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1 | 1.21~1.29 |
| v1.3.0 v1.2.0 | 1.21~1.28 |
| v1.1.0 | 1.21~1.26 |
| v1.0.0 | 1.21 - 1.25 |
一部の GuardDuty セキュリティエージェントバージョンでは、標準サポートが終了します。
エージェントリリースバージョンの詳細については、「[Amazon EKS リソースの GuardDuty セキュリティエージェントバージョン](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)」を参照してください。
### CPU とメモリの制限
次の表は、GuardDuty 向け Amazon EKS アドオンの CPU とメモリの制限を示しています (`aws-guardduty-agent`)。
| パラメータ | 最小限度 | 最大限度 |
| --- | --- | --- |
| CPU | 200m | 1000m |
| メモリ | 256 Mi | 1024 Mi |
Amazon EKS アドオンバージョン 1.5.0 以降を使用する場合、GuardDuty は CPU とメモリ値にアドオンスキーマを設定する機能を提供します。設定可能な範囲については、「[設定可能なパラメータと値](guardduty-configure-security-agent-eks-addon.md#gdu-eks-addon-configure-parameters-values)」を参照してください。
EKS Runtime Monitoring を有効にして、EKS クラスターのカバレッジステータスを評価すると、コンテナインサイトメトリクスを設定および表示できます。詳細については、「[CPU とメモリモニタリングの設定](runtime-monitoring-setting-cpu-mem-monitoring.md)」を参照してください。
## 組織サービスコントロールポリシーの検証
組織内のアクセス許可を管理するようにサービスコントロールポリシー (SCP) を設定している場合は、アクセス許可の境界が `guardduty:SendSecurityTelemetry` を制限していないことを確認します。GuardDuty がさまざまなリソースタイプで Runtime Monitoring をサポートする必要があります。
メンバーアカウントの場合は、関連する委任管理者に接続します。組織の SCP の管理については、「[Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。