As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como o Monitoramento de runtime funciona com clusters Amazon EKS
<a name="how-runtime-monitoring-works-eks"></a>

O Runtime Monitoring usa um [complemento EKS `aws-guardduty-agent`](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html#workloads-add-ons-available-eks), também chamado de agente GuardDuty de segurança. Depois que o agente de GuardDuty segurança é implantado em seus clusters EKS, GuardDuty é capaz de receber eventos de tempo de execução para esses clusters EKS. 

**Observações**  
O Monitoramento de Runtime **é compatível** com clusters do Amazon EKS em execução em instâncias do Amazon EC2 e do Amazon EKS Auto Mode.  
O Monitoramento de Runtime **não é compatível** com clusters do Amazon EKS com Amazon EKS Hybrid Nodes e aqueles em execução no AWS Fargate.  
Para ter mais informações sobre recursos do Amazon EKS, consulte [O que é o Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) no **Guia do usuário do Amazon EKS**.

Você pode monitorar os eventos de runtime de seus clusters do Amazon EKS no nível da conta ou do cluster. Você pode gerenciar o agente GuardDuty de segurança somente para os clusters do Amazon EKS que você deseja monitorar para detecção de ameaças. Você pode gerenciar o agente GuardDuty de segurança manualmente ou permitindo que GuardDuty ele seja gerenciado em seu nome, usando a configuração automatizada do agente.

Quando você usa a abordagem de configuração automática do agente GuardDuty para permitir o gerenciamento da implantação do agente de segurança em seu nome, ele **cria automaticamente um endpoint da Amazon Virtual Private Cloud (Amazon VPC)**. O agente de segurança entrega os eventos de tempo de execução GuardDuty usando esse endpoint da Amazon VPC. 

Junto com o VPC endpoint, GuardDuty também cria um novo grupo de segurança. As regras de entrada (entrada) controlam o tráfego que pode alcançar os recursos associados ao grupo de segurança. GuardDuty adiciona regras de entrada que correspondem ao intervalo CIDR da VPC para seu recurso e também se adapta a ele quando o intervalo CIDR muda. Para obter mais informações, consulte [Intervalo CIDR da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) no *Guia do Usuário da Amazon VPC*.

**Observações**  
Não há custo adicional para usar o endpoint da VPC.
Trabalhando com VPC centralizada com agente automatizado — Quando você GuardDuty usa a configuração automatizada de agente para um tipo de recurso GuardDuty , criará um VPC endpoint em seu nome para todos os. VPCs Isso inclui a VPC e o spoke centralizados. VPCs GuardDuty não oferece suporte à criação de um VPC endpoint somente para a VPC centralizada. Para obter mais informações sobre como a VPC centralizada funciona, consulte [Interface VPC](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) endpoints no *Whitepaper — Criando uma infraestrutura de rede AWS multi-VPC* escalável e segura. AWS 

## Abordagens para gerenciar agentes GuardDuty de segurança em clusters do Amazon EKS
<a name="eksrunmon-approach-to-monitor-eks-clusters"></a>

Antes de 13 de setembro de 2023, você podia configurar GuardDuty para gerenciar o agente de segurança no nível da conta. Esse comportamento indicou que, por padrão, GuardDuty gerenciará o agente de segurança em todos os clusters EKS que pertencem a um Conta da AWS. Agora, GuardDuty fornece um recurso granular para ajudá-lo a escolher os clusters EKS nos quais você GuardDuty deseja gerenciar o agente de segurança.

Ao escolher [Gerencie o agente de GuardDuty segurança manualmente](#eks-runtime-using-gdu-agent-manually), você ainda pode selecionar os clusters do EKS que deseja monitorar. No entanto, para gerenciar o agente manualmente, criar um endpoint da Amazon VPC para você Conta da AWS é um pré-requisito.

**nota**  
Independentemente da abordagem usada para gerenciar o agente de GuardDuty segurança, o EKS Runtime Monitoring está sempre ativado no nível da conta. 

**Topics**
+ [Gerencie o agente de segurança por meio de GuardDuty](#eks-runtime-using-gdu-agent-management-auto)
+ [Gerencie o agente de GuardDuty segurança manualmente](#eks-runtime-using-gdu-agent-manually)

### Gerencie o agente de segurança por meio de GuardDuty
<a name="eks-runtime-using-gdu-agent-management-auto"></a>

GuardDuty implanta e gerencia o agente de segurança em seu nome. A qualquer momento, você pode monitorar os clusters do EKS em sua conta usando uma das abordagens a seguir.

**Topics**
+ [Monitorar todos os clusters do EKS](#gdu-security-agent-all-eks-custers)
+ [Excluir clusters seletivos do EKS](#eks-runtime-using-exclusion-tags)
+ [Incluir clusters seletivos do EKS](#eks-runtime-using-inclusion-tags)

#### Monitorar todos os clusters do EKS
<a name="gdu-security-agent-all-eks-custers"></a>

Use essa abordagem quando quiser GuardDuty implantar e gerenciar o agente de segurança para todos os clusters EKS em sua conta. Por padrão, também GuardDuty implantará o agente de segurança em um cluster EKS potencialmente novo criado em sua conta.

**Impacto do uso dessa abordagem**  
+ GuardDuty cria um endpoint da Amazon Virtual Private Cloud (Amazon VPC) por meio do qual o agente de GuardDuty segurança entrega os eventos de tempo de execução. GuardDuty Não há custo adicional para a criação do endpoint Amazon VPC quando você gerencia o agente de segurança por meio de. GuardDuty
+ É necessário que seu nó de trabalho tenha um caminho de rede válido para um `guardduty-data` VPC endpoint ativo. GuardDuty implanta o agente de segurança em seus clusters EKS. O Amazon Elastic Kubernetes Service (Amazon EKS) coordenará a implantação do agente de segurança nos nós dos clusters do EKS.
+ Com base na disponibilidade de IP, GuardDuty seleciona a sub-rede para criar um VPC endpoint. Se você usa topologias de rede avançadas, deve validar se a conectividade é possível.

#### Excluir clusters seletivos do EKS
<a name="eks-runtime-using-exclusion-tags"></a>

Use essa abordagem quando quiser GuardDuty gerenciar o agente de segurança para todos os clusters EKS em sua conta, mas excluir clusters EKS seletivos. Esse método usa uma abordagem baseada em tags[1](#eks-runtime-inclusion-exclusion-tags) em que é possível marcar os clusters do EKS dos quais não deseja receber os eventos de runtime. A tag predefinida deve ter `GuardDutyManaged`-`false` como par de chave-valor.

**Impacto do uso dessa abordagem**  
Essa abordagem exige que você ative o gerenciamento automático do GuardDuty agente somente depois de adicionar tags aos clusters EKS que você deseja excluir do monitoramento.  
Portanto, o impacto ao [Gerencie o agente de segurança por meio de GuardDuty](#eks-runtime-using-gdu-agent-management-auto) também se aplica a essa abordagem. Quando você adiciona tags antes de ativar o gerenciamento automático do GuardDuty agente, não GuardDuty implantará nem gerenciará o agente de segurança dos clusters EKS que estão excluídos do monitoramento.

**Considerações**  
+ Você deve adicionar o par de chave-valor da tag como`GuardDutyManaged`: `false` para os clusters EKS seletivos antes de ativar a configuração automatizada do agente, caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS até que você use a tag.
+ Você deve evitar que as tags sejam modificadas, exceto por identidades confiáveis.
**Importante**  
Gerencie as permissões para modificar o valor da tag `GuardDutyManaged` para seu cluster do EKS usando políticas de controle de serviço ou políticas do IAM. Para obter mais informações, consulte [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia AWS Organizations do usuário* ou [Controle o acesso aos AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*.
+ Para um cluster do EKS possivelmente novo que você não deseja monitorar, certifique-se de adicionar o par de chave-valor `GuardDutyManaged`-`false` no momento da criação desse cluster do EKS.
+ Essa abordagem também terá a mesma consideração especificada para [Monitorar todos os clusters do EKS](#gdu-security-agent-all-eks-custers).

#### Incluir clusters seletivos do EKS
<a name="eks-runtime-using-inclusion-tags"></a>

Use essa abordagem quando quiser GuardDuty implantar e gerenciar as atualizações do agente de segurança somente para clusters EKS seletivos em sua conta. Esse método usa uma abordagem baseada em tags[1](#eks-runtime-inclusion-exclusion-tags) em que é possível marcar o cluster do EKS do qual deseja receber os eventos de runtime.

**Impacto do uso dessa abordagem**  
+ Ao usar tags de inclusão, GuardDuty implantará e gerenciará automaticamente o agente de segurança somente para os clusters EKS seletivos marcados com `GuardDutyManaged` - `true` como o par de valores-chave.
+ Essa abordagem também terá o mesmo impacto especificado para [Monitorar todos os clusters do EKS](#gdu-security-agent-all-eks-custers). 

**Considerações**  
+ Se o valor da tag `GuardDutyManaged` não estiver definido como `true`, a tag de inclusão não funcionará conforme o esperado e isso pode afetar o monitoramento do seu cluster do EKS.
+ Para garantir que seus clusters do EKS seletivos sejam monitorados, você precisa evitar que as tags sejam modificadas, exceto por identidades confiáveis.
**Importante**  
Gerencie as permissões para modificar o valor da tag `GuardDutyManaged` para seu cluster do EKS usando políticas de controle de serviço ou políticas do IAM. Para obter mais informações, consulte [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia AWS Organizations do usuário* ou [Controle o acesso aos AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*.
+ Para um cluster do EKS possivelmente novo que você não deseja monitorar, certifique-se de adicionar o par de chave-valor `GuardDutyManaged`-`false` no momento da criação desse cluster do EKS.
+ Essa abordagem também terá a mesma consideração especificada para [Monitorar todos os clusters do EKS](#gdu-security-agent-all-eks-custers).<a name="eks-runtime-inclusion-exclusion-tags"></a>

1Para obter mais informações sobre a marcação de clusters do EKS seletivos, consulte [Como marcar seus recursos do Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) no **Guia do usuário do Amazon EKS**.

### Gerencie o agente de GuardDuty segurança manualmente
<a name="eks-runtime-using-gdu-agent-manually"></a>

Use essa abordagem quando quiser implantar e gerenciar o agente GuardDuty de segurança em todos os seus clusters EKS manualmente. Certifique-se de que o Monitoramento de runtime do EKS esteja ativado para suas contas. O agente GuardDuty de segurança pode não funcionar conforme o esperado se você não ativar o EKS Runtime Monitoring.

**Impacto do uso dessa abordagem**  
Você precisará coordenar a implantação do agente de GuardDuty segurança em seus clusters EKS em todas as contas e Regiões da AWS onde esse recurso estiver disponível. Você também precisará atualizar a versão do agente ao GuardDuty lançá-la. Para obter mais informações sobre versões do agente no EKS, consulte [GuardDuty versões do agente de segurança para recursos do Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).

**Considerações**  
Você deve oferecer suporte ao fluxo de dados seguro enquanto monitora e aborda as lacunas de cobertura à medida que novos clusters e workloads são implantados continuamente.