View a markdown version of this page

在多账户环境中启用 EKS 防护 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在多账户环境中启用 EKS 防护

在多账户环境中,只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 EKS Protection; 功能。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 AWS Organizations。这个委派的 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 EKS 保护。有关多账户环境的更多信息,请参阅在 A mazon 中管理多个账户。 GuardDuty

选择您的首选访问方式,为委派的 GuardDuty 管理员账户配置 EKS 审核日志监控。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择 “保护计划”。

  3. 选择 “配置所有启用”。EKS 审核日志下,您可以查看 EKS 审核日志监控的当前配置状态。

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 AWS 组织的新账户)启用保护计划。

    • 选择保存

    使用手动配置账户

    • 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户

    • 在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。

    • 选择保存

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作,并传递 nameEKS_AUDIT_LOGSstatusENABLEDDISABLEDfeatures 对象。

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

您可以通过运行以下 AWS CLI 命令来启用或禁用 EKS 审核日志监控。请务必使用有效的委托 GuardDuty 管理员账号detector ID

注意

以下示例代码可启用 EKS 审计日志监控。请务必12abc34d567e8fa901bc2d34e56789f0替换为委派 GuardDuty 管理员账号的,555555555555替换为 AWS 账户 委派 GuardDuty 管理员账号的。detector-id

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

要禁用 EKS 审计日志监控,请将 ENABLED 替换为 DISABLED

选择您的首选访问方式,为组织中的现有成员账户启用 EKS 审计日志监控。

Console

  1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    使用 “保护计划” 页面

    1. 在导航窗格中,选择 “保护计划”。

    2. 选择 “配置所有启用”。EKS 审核日志下,您可以查看组织中活跃成员账户的 EKS 审核日志监控的当前状态。

    3. 选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 EKS 审计日志监控。

    4. 选择 “全部保存”,然后选择 “确认并保存”

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 在 “帐户” 页面上,在 “通过邀请添加帐户 Auto-enable” 之前选择首选项。

    3. 管理自动启用首选项窗口中,在 EKS 审计日志监控下选择为所有账户启用

    4. 选择保存

    如果您无法使用为所有账户启用选项,并且想要为组织中的特定账户自定义 EKS 审计日志监控配置,请参阅 有选择地为成员账户启用或禁用 EKS 审计日志监控

API/CLI

  • 要有选择地为您的成员账户启用或禁用 EKS 审核日志监控,请使用您自己的detector ID账户运行 updateMemberDetectorsAPI 操作。

  • 以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用,请将 ENABLED 替换为 DISABLED

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方式,为组织中所有现有活跃成员账户启用 EKS 审计日志监控。

Console

  1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用委派的 GuardDuty 管理员账户凭据登录。

  2. 在导航窗格中,选择 “保护计划”。

  3. 选择 “配置所有启用”。EKS 审核日志下的 “活跃成员帐户” 部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择保存

API/CLI

  • 要有选择地为您的成员账户启用或禁用 EKS 审核日志监控,请使用您自己的detector ID账户运行 updateMemberDetectorsAPI 操作。

  • 以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用,请将 ENABLED 替换为 DISABLED

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

在选择配置 GuardDuty-initiated 恶意软件扫描 GuardDuty 之前,必须启用新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty-initiated 恶意软件扫描。有关更多信息,请参阅 Step 3 - Accept an invitation

选择您的首选访问方式,为加入您组织的新账户启用 EKS 审计日志监控。

Console

委派的 GuardDuty 管理员账户可以使用 EKS 审核日志监控或账户页面为组织中的新成员账户启用 EKS 审核日志监控

为新成员账户自动启用 EKS 审计日志监控

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    • 使用 “保护计划” 页面:

      1. 在导航窗格中,选择 “保护计划”。

      2. 选择 “配置所有启用”。EKS 审核日志下,配置自动启用设置。

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 EKS 审计日志监控。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 在 “帐户” 页面上,选择Auto-enable首选项。

      3. 管理自动启用首选项窗口中,在 EKS 审计日志监控下选择为新账户启用

      4. 选择保存

API/CLI

  • 要有选择地为您的新账户启用或禁用 EKS 审核日志监控,请使用您自己的detector ID账户运行 UpdateOrganizationConfigurationAPI 操作。

  • 以下示例说明如何为加入组织的新成员启用 EKS 审计日志监控。您还可以传递由空格分隔的账户 ID 列表。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'

选择您的首选访问方式,为组织中所选的部分成员账户启用或禁用 EKS 审计日志监控。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 在导航窗格中,选择账户

    账户页面上,查看 EKS 审计日志监控列,了解您成员账户的状态。

  3. 启用或禁用 EKS 审计日志监控

    选择要为 EKS 审计日志监控配置的账户。您可以一次选择多个账户。在编辑保护计划下拉列表中,选择 EKS 审计日志监控,然后选择相应的选项。

API/CLI

要有选择地为您的成员账户启用或禁用 EKS 审核日志监控,请使用您自己的detector ID账户调用 updateMemberDetectorsAPI 操作。

以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用,请将 ENABLED 替换为 DISABLED。您还可以传递由空格分隔的账户 ID 列表。

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'