As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS
<a name="managing-gdu-agent-eks-manually"></a>

Esta seção descreve como você pode gerenciar seu agente complementar (GuardDuty agente) do Amazon EKS depois de ativar o Runtime Monitoring (ou EKS Runtime Monitoring). Para usar o Monitoramento de runtime, você deve habilitar o Monitoramento de runtime e configurar o complemento do Amazon EKS, `aws-guardduty-agent`. Você precisa executar as duas etapas GuardDuty para detectar e gerar ameaças em potencial[GuardDuty Tipos de descoberta de monitoramento de tempo de execução](findings-runtime-monitoring.md).

Para gerenciar o agente manualmente, é preciso criar um endpoint da VPC como pré-requisito. Isso ajuda a GuardDuty receber os eventos de tempo de execução. Depois disso, você pode instalar o agente de segurança para que ele comece GuardDuty a receber os eventos de tempo de execução dos recursos do Amazon EKS. Ao GuardDuty lançar uma nova versão do agente para esse recurso, você pode atualizar a versão do agente em sua conta.

**Topics**
+ [Pré-requisito — Como criar um endpoint da VPC da Amazon](eksrunmon-prereq-deploy-security-agent.md)
+ [Instalação manual do agente de GuardDuty segurança nos recursos do Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Atualização manual do agente de segurança para recursos do Amazon EKS](eksrunmon-update-security-agent.md)

# Pré-requisito — Como criar um endpoint da VPC da Amazon
<a name="eksrunmon-prereq-deploy-security-agent"></a>

Antes de instalar o agente de GuardDuty segurança, você deve criar um endpoint da Amazon Virtual Private Cloud (Amazon VPC). Isso ajudará a GuardDuty receber os eventos de tempo de execução dos seus recursos do Amazon EKS.

**nota**  
Não há custo adicional para usar o endpoint da VPC.

Escolha um método de acesso preferido para criar um endpoint da Amazon VPC.

------
#### [ Console ]

**Para criar um endpoint da VPC**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No menu à de navegação, em **Nuvem privada virtual**, escolha **Endpoints**.

1. Escolha **Criar endpoint**.

1. Na página **Criar endpoint**, para a **Categoria de serviço**, escolha **Outros serviços de endpoint**. 

1. Em **Nome do serviço**, digite **com.amazonaws.*us-east-1*.guardduty-data**.

   Certifique-se de *us-east-1* substituir pela região correta. Essa deve ser a mesma região do cluster EKS que pertence ao seu Conta da AWS ID. 

1. Selecione **Verificar serviço**. 

1. Depois que o nome do serviço for verificado com sucesso, escolha a **VPC** em que reside o cluster. Adicione a política a seguir para restringir o uso do endpoint da VPC somente à conta especificada. Com a `Condition` da organização fornecida abaixo desta política, você pode atualizar a política a seguir para restringir o acesso ao seu endpoint. Para fornecer suporte de VPC endpoint para uma conta específica IDs em sua organização, consulte. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   O ID de conta `aws:PrincipalAccount` deve corresponder à conta que contém a VPC e o endpoint da VPC. A lista a seguir mostra como compartilhar o VPC endpoint com outros: Conta da AWS IDs

**Condição da organização para restringir o acesso ao endpoint**
   + Para especificar várias contas para acessar o endpoint da VPC, substitua `"aws:PrincipalAccount": "111122223333"` pelo seguinte:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]
     ```
   + Para permitir que todos os membros de uma organização acessem o endpoint da VPC, substitua `"aws:PrincipalAccount": "111122223333"` pelo seguinte:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```
   + Para restringir o acesso para um recurso a um ID de organização, adicione seu `ResourceOrgID` à política.

     Para obter mais informações, consulte [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid).

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. Em **Configurações adicionais**, selecione **Habilitar nome DNS**.

1. Em **Sub-redes**, escolha as sub-redes em que reside seu cluster.

1. Em **Grupos de segurança**, escolha um grupo de segurança que tenha a porta de entrada 443 habilitada em sua VPC (ou em seu cluster do EKS). [Crie um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) se ainda não tiver um com uma porta de entrada 443 habilitada.

   Se houver um problema ao restringir as permissões de entrada para sua VPC (ou instância), é possível usar a porta de entrada 443 de qualquer endereço IP `(0.0.0.0/0)`. No entanto, GuardDuty recomenda o uso de endereços IP que correspondam ao bloco CIDR da sua VPC. Para obter mais informações, consulte [Blocos VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) no *Guia do usuário da Amazon VPC*.

------
#### [ API/CLI ]

**Para criar um endpoint da VPC**
+ Invocar. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)
+ Use os valores a seguir para os parâmetros.
  + Em **Nome do serviço**, digite **com.amazonaws.*us-east-1*.guardduty-data**.

    Certifique-se de *us-east-1* substituir pela região correta. Essa deve ser a mesma região do cluster EKS que pertence ao seu Conta da AWS ID. 
  + Para [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), habilite a opção de DNS privado configurando-a como. `true` 
+ Para AWS Command Line Interface, veja [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).

------

Depois de seguir as etapas, verifique em [Validando a configuração do endpoint da VPC](validate-vpc-endpoint-config-runtime-monitoring.md) se o endpoint da VPC foi configurado corretamente.

# Instalação manual do agente de GuardDuty segurança nos recursos do Amazon EKS
<a name="eksrunmon-deploy-security-agent"></a>

Esta seção descreve como você pode implantar o agente GuardDuty de segurança pela primeira vez em clusters EKS específicos. Antes de prosseguir com esta seção, verifique se você já configurou os pré-requisitos e habilitou o Monitoramento de runtime para suas contas. O agente GuardDuty de segurança (complemento EKS) não funcionará se você não ativar o Runtime Monitoring. 

Escolha seu método de acesso preferido para implantar o agente de GuardDuty segurança pela primeira vez.

------
#### [ Console ]

1. Abra o console do Amazon EKS em [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Escolha o **Nome do cluster**.

1. Escolha a guia **Add-ons** (Complementos).

1. Escolha **Obter mais complementos**.

1. Na página **Selecionar complementos**, escolha **Amazon GuardDuty EKS Runtime Monitoring**.

1. GuardDuty recomenda escolher a **versão mais recente e padrão do** agente.

1. Use as configurações padrão na página **Definir configurações do complemento selecionado**. Se o **status** do seu complemento EKS for **Requer ativação**, escolha **Ativar GuardDuty**. Essa ação abrirá o GuardDuty console para configurar o Runtime Monitoring para suas contas.

1. Depois de configurar o Monitoramento de runtime para suas contas, volte para o console do Amazon EKS. O **Status** do seu complemento do EKS deveria ter mudado para **Pronto para instalar**. 

1. 

**(Opcional) Fornecendo o esquema de configuração do complemento do EKS**

   Para a versão complementar, se você escolher a **versão** **1.5.0 ou superior**, o Runtime Monitoring oferece suporte à configuração de parâmetros específicos do agente. GuardDuty Para obter informações sobre intervalos de parâmetros, consulte [Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Expanda as **Configurações opcionais** para visualizar os parâmetros configuráveis e seus valores e formato esperados.

   1. Defina os parâmetros. Os valores devem estar dentro do intervalo fornecido em[Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Escolha **Salvar alterações** para criar o complemento com base na configuração avançada.

   1. Para o **Método de resolução de conflitos**, a opção escolhida será usada para resolver um conflito quando você atualizar o valor de um parâmetro para um valor não padrão. Para obter mais informações sobre as opções listadas, consulte [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) na *Referência da API do Amazon EKS*.

1. Escolha **Próximo**.

1. Na página **Revisar e criar**, verifique as rotas e escolha **Criar rotas**.

1. Navegue de volta aos detalhes do cluster e selecione a guia **Recursos**. 

1. Você pode ver os novos pods com o prefixo **aws-guardduty-agent**. 

------
#### [ API/CLI ]

Você pode configurar o agente complementar do Amazon EKS (`aws-guardduty-agent`) usando uma das seguintes opções:
+ Corra [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)para sua conta.
+ 
**nota**  
Para o complemento`version`, se você escolher a **versão 1.5.0 ou superior**, o Runtime Monitoring oferece suporte à configuração de parâmetros específicos do agente. GuardDuty Para obter mais informações, consulte [Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

  Use os seguintes valores para os parâmetros de solicitação:
  + Em `addonName`, digite `aws-guardduty-agent`.

    Você pode usar o AWS CLI exemplo a seguir ao usar valores configuráveis compatíveis com versões complementares `v1.5.0` ou superiores. Certifique-se de substituir os valores do espaço reservado destacados em vermelho e os `Example.json` associados aos valores configurados.

    ```
    aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
    ```  
**Example.json**  

    ```
    {
    	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
    	"dnsPolicy": "Default",
    	"resources": {
    		"requests": {
    			"cpu": "237m",
    			"memory": "512Mi"
    		},
    		"limits": {
    			"cpu": "2000m",
    			"memory": "2048Mi"
    		}
    	}	
    }
    ```
  + Para obter informações sobre a `addonVersion` compatível, consulte [Versões do Kubernetes suportadas pelo agente de segurança GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ Como alternativa, você pode usar AWS CLI. Para obter mais informações, consulte [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).

------

**Nomes DNS privados para endpoint da VPC**  
Por padrão, o agente de segurança resolve e se conecta ao nome DNS privado do endpoint da VPC. Para um endpoint não FIPS, seu DNS privado aparecerá no seguinte formato:  
Endpoint não FIPS — `guardduty-data.us-east-1.amazonaws.com`  
O Região da AWS,*us-east-1*, mudará com base na sua região.

# Atualização manual do agente de segurança para recursos do Amazon EKS
<a name="eksrunmon-update-security-agent"></a>

Ao gerenciar o agente GuardDuty de segurança manualmente, você é responsável por atualizá-lo para sua conta. Para receber notificações sobre novas versões do agente, inscreva-se em um RSS feed para [GuardDuty versões de lançamento do agente de segurança](runtime-monitoring-agent-release-history.md).

Atualize o agente de segurança para a versão mais recente para se beneficiar do suporte e das melhorias adicionais. Se sua versão atual do agente estiver chegando ao fim do suporte padrão, para continuar usando o Monitoramento de Runtime (ou Monitoramento de Runtime do EKS), atualize para a seguinte versão disponível do agente ou para a mais recente. 

**Pré-requisito**  
Antes de atualizar a versão do agente de segurança, verifique se a versão do agente que planeja usar agora é compatível com sua versão do Kubernetes. Para obter mais informações, consulte [Versões do Kubernetes suportadas pelo agente de segurança GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).

------
#### [ Console ]

1. Abra o console do Amazon EKS em [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Escolha o **Nome do cluster**.

1. Em **Informações do cluster**, escolha a guia **Complementos**.

1. Na guia **Complementos**, selecione **Monitoramento de tempo de execução do GuardDuty EKS**.

1. Selecione **Editar** para atualizar os detalhes do agente.

1. Na página **Configurar o monitoramento de tempo de execução do GuardDuty EKS**, atualize os detalhes.

1. 

**(Opcional) Atualização das configurações opcionais**

   Se sua **versão** do complemento do EKS for *1.5.0* ou superior, você também pode atualizar o esquema de configurações do complemento.

   1. Expanda **Configurações opcionais** para ver o esquema de configuração.

   1. Atualize os valores dos parâmetros com base no intervalo fornecido em [Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Escolha **Salvar alterações** para iniciar a atualização.

   1. Para o **Método de resolução de conflitos**, a opção escolhida será usada para resolver um conflito quando você atualizar o valor de um parâmetro para um valor não padrão. Para obter mais informações sobre as opções listadas, consulte [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) na *Referência da API do Amazon EKS*.

------
#### [ API/CLI ]

Para atualizar o agente GuardDuty de segurança para seus clusters do Amazon EKS, consulte [Atualização de um complemento](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on). 

**nota**  
Para o complemento`version`, se você escolher a **versão 1.5.0 ou superior**, o Runtime Monitoring oferece suporte à configuração de parâmetros específicos do agente. GuardDuty Para obter informações sobre intervalos de parâmetros, consulte [Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

Você pode usar o AWS CLI exemplo a seguir ao usar valores configuráveis compatíveis com as versões complementares *1.5.0* e superiores. Certifique-se de substituir os valores do espaço reservado destacados em vermelho e os `Example.json` associados aos valores configurados.

```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```

**Example.json**  

```
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}
```

------

Se a versão do complemento Amazon EKS for 1.5.0 ou superior e você tiver configurado o esquema de complemento, poderá verificar se os valores aparecem corretamente ou não para o seu cluster. Para obter mais informações, consulte [Verificação das atualizações do esquema de configuração](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).