Habilitando a Proteção do EKS em ambientes de várias contas

Em um ambiente de várias contas, somente a conta do GuardDuty administrador delegado tem a opção de ativar ou desativar o recurso EKS Protection; para as contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Essa conta de GuardDuty administrador delegado pode optar por ativar automaticamente a Proteção EKS para todas as novas contas à medida que elas ingressam na organização. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciamento de várias contas na Amazon. GuardDuty

Escolha seu método de acesso preferido para configurar o EKS Audit Log Monitoring para a conta do GuardDuty administrador delegado.

Console

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
No painel de navegação, escolha Planos de proteção.
Escolha Configurar todas as habilitações. Em EKS Audit Logs, você pode ver o status atual da configuração do EKS Audit Log Monitoring.
Execute um destes procedimentos:
Como usar a opção Habilitar para todas as contas
- Escolha Habilitar para todas as contas. Isso habilitará o plano de proteção para todas as GuardDuty contas ativas em sua AWS organização, incluindo as novas contas que ingressam na organização.
- Escolha Salvar.
Como usar a opção Configurar contas manualmente
- Para habilitar o plano de proteção somente para a conta de GuardDuty administrador delegado, escolha Configurar contas manualmente.
- Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).
- Escolha Salvar.

API/CLI

Execute a operação da API updateDetector usando seu próprio ID de detector regional e transmitindo o name do objeto features como EKS_AUDIT_LOGS e status como ENABLED ou DISABLED.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

Você pode ativar ou desativar o Monitoramento do Registro de Auditoria do EKS executando o AWS CLI comando a seguir. Certifique-se de usar a conta de GuardDuty administrador delegado válidadetector ID.

nota

O código de exemplo a seguir habilita o Monitoramento de logs de auditoria do EKS. Certifique-se de 12abc34d567e8fa901bc2d34e56789f0 substituir pela conta detector-id do GuardDuty administrador delegado e 555555555555 pela conta Conta da AWS do GuardDuty administrador delegado.


aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

Para desabilitar o Monitoramento de logs de auditoria do EKS, substitua ENABLED por DISABLED.

Escolha seu método de acesso preferido para habilitar o Monitoramento de logs de auditoria do EKS para contas-membro existentes em sua organização.

Console

Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.
Execute um destes procedimentos:
Usando a página Planos de Proteção
1. No painel de navegação, escolha Planos de proteção.
2. Escolha Configurar todas as habilitações. Em EKS Audit Logs, você pode ver o status atual do EKS Audit Log Monitoring para contas de membros ativos em sua organização.
3. Escolha Habilitar para todas as contas. Essa ação habilita automaticamente o Monitoramento de logs de auditoria do EKS para as contas existentes e novas na organização.
4. Escolha Salvar tudo e, em seguida, escolha Confirmar e salvar.
  
  nota
  Pode levar até 24 horas para atualizar a configuração das contas-membro.
Como usar a página Contas
1. No painel de navegação, selecione Contas.
2. Na página Contas, escolha Auto-enableas preferências antes de Adicionar contas por convite.
3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Monitoramento de logs de auditoria do EKS.
4. Escolha Salvar.
Se você não puder usar a opção Habilitar para todas as contas e quiser personalizar a configuração do Monitoramento de logs de auditoria do EKS para contas específicas em sua organização, consulte Habilitar ou desabilitar seletivamente o Monitoramento de logs de auditoria do EKS para contas-membro.

API/CLI

Para ativar ou desativar seletivamente o EKS Audit Log Monitoring para suas contas de membros, execute a operação da updateMemberDetectorsAPI usando a sua própriadetector ID.
O exemplo a seguir mostra como você pode habilitar o Monitoramento de logs de auditoria do EKS para uma única conta-membro. Para desabilitá-la, substitua ENABLED por DISABLED.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
```
nota
Também é possível passar uma lista de IDs de conta separados por um espaço.
Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar o Monitoramento de logs de auditoria do EKS para todas as contas-membro ativas existentes na organização.

As contas de membros recém-adicionadas devem ser ativadas GuardDuty antes de selecionar a configuração da verificação de GuardDuty-initiated malware. As contas dos membros gerenciadas por convite podem configurar manualmente a verificação de GuardDuty-initiated malware em suas contas. Para obter mais informações, consulte Step 3 - Accept an invitation.

Escolha seu método de acesso preferido para habilitar o Monitoramento de logs de auditoria do EKS para novas contas que ingressam na sua organização.

Console

A conta de GuardDuty administrador delegado pode ativar o Monitoramento do Registro de Auditoria do EKS para novas contas membros em uma organização, usando o Monitoramento do Registro de Auditoria do EKS ou a página Contas.

Para habilitar automaticamente o Monitoramento de logs de auditoria do EKS para novas contas-membro

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.
Execute um destes procedimentos:
- Usando a página Planos de Proteção:
  1. No painel de navegação, escolha Planos de proteção.
  2. Escolha Configurar todas as habilitações. Em Registros de auditoria do EKS, defina a configuração de ativação automática.
  3. Escolha Configurar contas manualmente.
  4. Selecione Habilitar automaticamente para novas contas-membro. Essa etapa garante que sempre que uma nova conta ingressar em sua organização, o Monitoramento de logs de auditoria do EKS seja habilitado automaticamente para sua conta. Somente a conta do GuardDuty administrador delegado da organização pode modificar essa configuração.
  5. Escolha Salvar.
- Como usar a página Contas:
  1. No painel de navegação, selecione Contas.
  2. Na página Contas, escolha Auto-enablepreferências.
  3. Na janela Gerenciar preferências de habilitação automática, selecione Habilitar para novas contas em Monitoramento de logs de auditoria do EKS.
  4. Escolha Salvar.

API/CLI

Para ativar ou desativar seletivamente o EKS Audit Log Monitoring para suas novas contas, execute a operação da UpdateOrganizationConfigurationAPI usando a sua própriadetector ID.
O exemplo a seguir mostra como você pode habilitar o Monitoramento de logs de auditoria do EKS para os novos membros que ingressarem na sua organização. Também é possível passar uma lista de IDs de conta separados por um espaço.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.
```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'
```

Escolha seu método de acesso preferido para habilitar ou desabilitar o Monitoramento de logs de auditoria do EKS para contas-membro seletivas em sua organização.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Proteção do EKS

Ativando a Proteção do EKS para uma conta independente

Habilitando a Proteção do EKS em ambientes de várias contas

Como usar a opção Habilitar para todas as contas

Como usar a opção Configurar contas manualmente

nota

Usando a página Planos de Proteção

nota

Como usar a página Contas

nota

nota

Para habilitar automaticamente o Monitoramento de logs de auditoria do EKS para novas contas-membro

Para habilitar ou desabilitar o Monitoramento de logs de auditoria do EKS