기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon EKS 클러스터의 런타임 범위 및 문제 해결
런타임 모니터링을 사용 설정하고 수동 또는 자동 에이전트 구성을 통해 EKS용 GuardDuty 보안 에이전트(애드온)를 설치한 후, EKS 클러스터에 대한 적용 범위 평가를 시작할 수 있습니다.
**Topics**
+ [적용 범위 통계 검토](#reviewing-coverage-statistics-eks-runtime-monitoring)
+ [EventBridge 알림을 통한 적용 범위 상태 변경](#eks-runtime-monitoring-coverage-status-change)
+ [Amazon EKS 런타임 적용 범위 문제 해결](#eks-runtime-monitoring-coverage-issues-troubleshoot)
## 적용 범위 통계 검토
자체 계정 또는 멤버 계정과 연결된 EKS 클러스터의 적용 범위 통계는 선택한 AWS 리전의 모든 EKS 클러스터에 대한 정상 EKS 클러스터 비율입니다. 다음 등식은 이를 다음과 같이 나타냅니다.
(정상 클러스터/모든 클러스터)\$1100**
액세스 방법 중 하나를 선택하여 계정의 적용 범위 통계를 검토합니다.
------
#### [ Console ]
+ 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
+ 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
+ **EKS 클러스터 실행 시간 적용 범위** 탭을 선택합니다.
+ **EKS 클러스터 실행 시간 적용 범위** 탭에서 **클러스터 목록** 테이블에 제공된 적용 범위 상태별로 집계된 적용 범위 통계를 볼 수 있습니다.
+ 다음 열을 기준으로 **클러스터 목록** 테이블을 필터링할 수 있습니다.
+ **클러스터 이름**
+ **계정 ID**
+ **에이전트 관리 유형**
+ **적용 범위 상태**
+ **추가 기능 버전**
+ **적용 범위 상태**가 **비정상**인 EKS 클러스터가 있는 경우 **문제** 열에 **비정상** 상태의 이유에 대한 추가 정보가 포함될 수 있습니다.
------
#### [ API/CLI ]
+ 자체 유효한 탐지기 ID, 리전 및 서비스 엔드포인트를 사용하여 [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html) API를 실행합니다. 이 API를 사용하여 클러스터 목록을 필터링 및 정렬할 수 있습니다.
+ `CriterionKey`에 대한 다음 옵션 중 하나를 사용하여 예시 `filter-criteria`를 변경할 수 있습니다.
+ `ACCOUNT_ID`
+ `CLUSTER_NAME`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `ADDON_VERSION`
+ `MANAGEMENT_TYPE`
+ 다음 옵션을 사용하여 `sort-criteria`에서 예시 `AttributeName`을 변경할 수 있습니다.
+ `ACCOUNT_ID`
+ `CLUSTER_NAME`
+ `COVERAGE_STATUS`
+ `ISSUE`
+ `ADDON_VERSION`
+ `UPDATED_AT`
+ *max-results*를 변경할 수 있습니다(최대 50개).
+ 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
```
aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
```
+ [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html) API를 실행하여 `statisticsType`을 기반으로 적용 범위 집계 통계를 검색합니다.
+ 다음 옵션 중 하나를 사용하여 예시 `statisticsType`을 변경할 수 있습니다.
+ `COUNT_BY_COVERAGE_STATUS` - 적용 범위 상태별로 집계된 EKS 클러스터의 적용 범위 통계를 나타냅니다.
+ `COUNT_BY_RESOURCE_TYPE` - 목록의 AWS 리소스 유형에 따라 집계된 적용 범위 통계입니다.
+ 명령에서 예시 `filter-criteria`를 변경할 수 있습니다. `CriterionKey`에 대해 다음 옵션을 사용할 수 있습니다.
+ `ACCOUNT_ID`
+ `CLUSTER_NAME`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `ADDON_VERSION`
+ `MANAGEMENT_TYPE`
+ 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
```
aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
------
EKS 클러스터의 적용 범위 상태가 **비정상**인 경우 [Amazon EKS 런타임 적용 범위 문제 해결](#eks-runtime-monitoring-coverage-issues-troubleshoot) 섹션을 참조하세요.
## EventBridge 알림을 통한 적용 범위 상태 변경
계정에 있는 EKS 클러스터의 적용 범위 상태가 **비정상**으로 표시될 수 있습니다. 적용 범위 상태가 **비정상**이 된 시점을 탐지하려면 주기적으로 적용 범위 상태를 모니터링하고 상태가 **비정상**인 경우 문제를 해결하는 것이 좋습니다. 또는 Amazon EventBridge 규칙을 생성하여 적용 범위 상태가 `Unhealthy`에서 `Healthy` 등으로 변경될 때 알림을 받을 수 있습니다. 기본적으로 GuardDuty는 알림을 계정의 [EventBridge 버스](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html)에 게시합니다.
### 샘플 알림 스키마
EventBridge 규칙에서 사전 정의된 샘플 이벤트 및 이벤트 패턴을 사용하여 적용 범위 상태 알림을 받을 수 있습니다. EventBridge 규칙 생성에 대한 자세한 내용은 Amazon EventBridge 사용 설명서**의 [규칙 생성](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule)을 참조하세요.
또한 다음 예시 알림 스키마를 사용하여 사용자 지정 이벤트 패턴을 생성할 수 있습니다. 계정에 대한 값을 바꿔야 합니다. Amazon EKS 클러스터의 적용 범위 상태가 `Healthy`에서 `Unhealthy`로 변경될 때 알림을 받으려면 `detail-type`이 *GuardDuty Runtime Protection Unhealthy*여야 합니다. 적용 범위 상태가 `Unhealthy`에서 `Healthy`로 변경될 때 알림을 받으려면 `detail-type`을 *GuardDuty Runtime Protection Healthy*로 바꿉니다.
```
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy",
"source": "aws.guardduty",
"account": "AWS 계정 ID",
"time": "event timestamp (string)",
"region": "AWS 리전",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "EKS",
"eksClusterDetails": {
"clusterName": "string",
"availableNodes": "string",
"desiredNodes": "string",
"addonVersion": "string"
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
```
## Amazon EKS 런타임 적용 범위 문제 해결
EKS 클러스터의 적용 범위 상태가 `Unhealthy`인 경우 GuardDuty 콘솔의 **문제** 열에서 또는 [CoverageResource](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CoverageResource.html) 데이터 유형을 사용하여 해당되는 오류를 확인할 수 있습니다.
EKS 클러스터를 선택적으로 모니터링하기 위해 포함 또는 제외 태그를 사용하는 경우 태그 동기화에 시간이 걸릴 수 있습니다. 이는 연결된 EKS 클러스터의 적용 범위 상태에 영향을 미칠 수 있습니다. 해당 태그(포함 또는 제외)를 제거하고 다시 추가할 수 있습니다. 자세한 내용은 Amazon EKS 사용 설명서****의 [Amazon EKS 리소스 태깅](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)을 참조하세요.
적용 범위 문제의 구조는 `Issue type:Extra information`입니다. 일반적으로 문제에는 선택 사항으로 추가 정보**가 있으며, 특정 클라이언트 측 예외 또는 문제에 대한 설명이 포함될 수 있습니다. *추가 정보*에 따라 다음 표에서는 EKS 클러스터의 적용 범위 문제를 해결하기 위한 권장 단계를 제공합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)
**애드온 문제 코드를 사용한 애드온 생성/업데이트 오류 문제 해결 단계**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)