Administración automática del agente de seguridad para los recursos de Amazon EKS - Amazon GuardDuty

Administración automática del agente de seguridad para los recursos de Amazon EKS

La Supervisión en tiempo de ejecución permite habilitar el agente de seguridad tanto mediante la configuración automatizada de GuardDuty como manualmente. En esta sección se indican los pasos necesarios para habilitar la configuración automatizada del agente para los clústeres de Amazon EKS.

Antes de continuar, asegúrese de haber cumplido con los Requisitos previos para la compatibilidad con clústeres de Amazon EKS.

Según el enfoque que prefiera para Administración del agente de seguridad a través de GuardDuty, elija los pasos a seguir en las próximas secciones en consecuencia.

En entornos de varias cuentas, solo la cuenta de administrador delegado de GuardDuty puede habilitar o desactivar la Configuración automatizada del agente para las cuentas de miembro, y administrar el agente automatizado para los clústeres de EKS que pertenezcan a las cuentas de miembro de la organización. Las cuentas de miembros de GuardDuty no pueden modificar esta configuración desde sus cuentas. La cuenta de administrador delegado de GuardDuty administra las cuentas de miembro a través de AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte Managing multiple accounts.

Ajustar la Configuración automatizada del agente para la cuenta de administrador delegado de GuardDuty

Enfoque preferido para administrar el agente de seguridad de GuardDuty

Pasos

Administración del agente de seguridad a través de GuardDuty

(Supervisión de todos los clústeres de EKS)

Si eligió Habilitar para todas las cuentas en la sección Supervisión en tiempo de ejecución, dispondrá de las siguientes opciones:

  • Elija Habilitar para todas las cuentas en la sección Configuración automatizada del agente. GuardDuty implementará y administrará el agente de seguridad para todos los clústeres de EKS que pertenezcan a la cuenta de administrador delegado de GuardDuty y también para todos los clústeres de EKS que pertenezcan a todas las cuentas de miembro existentes y potencialmente nuevas en la organización.

  • Elija Configurar cuentas manualmente.

Si ha elegido Configurar cuentas manualmente en la sección Supervisión en tiempo de ejecución, haga lo siguiente:

  1. Elija Configurar cuentas manualmente en la sección Configuración automatizada del agente.

  2. Elija Habilitar en la sección Cuenta de administrador delegado de GuardDuty (esta cuenta).

Seleccione Save.

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante etiquetas de exclusión)

De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación.

Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty no se ha implementado en este clúster

  1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  4. En el panel de navegación, elija Supervisión en tiempo de ejecución.

    nota

    Agregue siempre la etiqueta de exclusión a sus clústeres de EKS antes de habilitar la administración automática del agente de GuardDuty en su cuenta; de lo contrario, el agente de seguridad de GuardDuty se implementará en todos los clústeres de EKS de su cuenta.

  5. En la pestaña Configuración, elija Habilitar en la sección Administración del agente de GuardDuty.

    En el caso de los clústeres de EKS que no se hayan excluido de la supervisión, GuardDuty administrará la implementación y las actualizaciones del agente de seguridad de GuardDuty.

  6. Seleccione Save.

Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty se ha implementado en este clúster

  1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si tenía habilitado el agente automatizado para este clúster de EKS, después de este paso, GuardDuty no actualizará el agente de seguridad para este clúster. Sin embargo, el agente de seguridad seguirá implementado y GuardDuty seguirá recibiendo los eventos de tiempo de ejecución de este clúster de EKS. Esto puede afectar a sus estadísticas de uso.

    Para dejar de recibir eventos de tiempo de ejecución de este clúster, debe eliminar el agente de seguridad implementado de este clúster de EKS. Para obtener más información sobre la eliminación del agente de seguridad implementado, consulte . Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución

  4. Si administraba manualmente el agente de seguridad de GuardDuty para este clúster de EKS, consulte Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución.

Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión

Independientemente de cómo haya decidido habilitar la Supervisión en tiempo de ejecución, los siguientes pasos resultarán útiles a la hora de supervisar determinados clústeres de EKS en la cuenta:

  1. Asegúrese de elegir Desactivar para la cuenta de administrador delegado de GuardDuty (esta cuenta) en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que en el paso anterior.

  2. Seleccione Save.

  3. Agregue una etiqueta a su clúster de EKS con la clave como GuardDutyManaged y su valor como true.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

    GuardDuty administrará la implementación y las actualizaciones del agente de seguridad para determinados clústeres de EKS que desee supervisar.

  4. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Administración manual del agente de seguridad de GuardDuty

Independientemente de cómo haya decidido habilitar la supervisión en tiempo de ejecución, puede administrar el agente de seguridad manualmente para los clústeres de EKS.

  1. Asegúrese de elegir Desactivar para la cuenta de administrador delegado de GuardDuty (esta cuenta) en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que en el paso anterior.

  2. Seleccione Save.

  3. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

Habilitar automáticamente el agente automatizado para todas las cuentas de miembro

nota

La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

Enfoque preferido para administrar el agente de seguridad de GuardDuty

Pasos

Administración del agente de seguridad a través de GuardDuty

(Supervisión de todos los clústeres de EKS)

Este tema es para habilitar la Supervisión en tiempo de ejecución para todas las cuentas de miembro y, por lo tanto, los siguientes pasos suponen que la opción Habilitar para todas las cuentas se ha elegido en la sección Supervisión en tiempo de ejecución.

  1. Elija Habilitar para todas las cuentas en la sección Configuración automatizada del agente. GuardDuty implementará y administrará el agente de seguridad para todos los clústeres de EKS que pertenezcan a la cuenta de administrador delegado de GuardDuty y también para todos los clústeres de EKS que pertenezcan a todas las cuentas de miembro existentes y potencialmente nuevas en la organización.

  2. Seleccione Save.

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante etiquetas de exclusión)

De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación.

Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty no se ha implementado en este clúster

  1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  4. En el panel de navegación, elija Supervisión en tiempo de ejecución.

    nota

    Siempre agregue la etiqueta de exclusión a los clústeres de EKS antes de habilitar el agente automatizado para la cuenta; de lo contrario, el agente de seguridad de GuardDuty se implementará en todos los clústeres de EKS en la cuenta.

  5. En la pestaña Configuración, elija Editar en la sección Configuración de la supervisión en tiempo de ejecución.

  6. Elija Habilitar para todas las cuentas en la sección Configuración automatizada del agente. En el caso de los clústeres de EKS que no se hayan excluido de la supervisión, GuardDuty administrará la implementación y las actualizaciones del agente de seguridad de GuardDuty.

  7. Seleccione Save.

Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty se ha implementado en este clúster

  1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

  2. Si tenía habilitada la Configuración automatizada del agente para este clúster de EKS, después de este paso, GuardDuty no actualizará el agente de seguridad para este clúster. Sin embargo, el agente de seguridad seguirá implementado y GuardDuty seguirá recibiendo los eventos de tiempo de ejecución de este clúster de EKS. Esto puede afectar a sus estadísticas de uso.

    Para dejar de recibir eventos de tiempo de ejecución de este clúster, debe eliminar el agente de seguridad implementado de este clúster de EKS. Para obtener más información sobre la eliminación del agente de seguridad implementado, consulte . Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución

  3. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  4. Si administraba manualmente el agente de seguridad de GuardDuty para este clúster de EKS, consulte Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución.

Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión

Independientemente de cómo haya decidido habilitar la Supervisión en tiempo de ejecución, los siguientes pasos resultan útiles a la hora de supervisar determinados clústeres de EKS para todas las cuentas de miembros en la organización:

  1. No habilite ninguna configuración en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que en el paso anterior.

  2. Seleccione Save.

  3. Agregue una etiqueta a su clúster de EKS con la clave como GuardDutyManaged y su valor como true.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

    GuardDuty administrará la implementación y las actualizaciones del agente de seguridad para determinados clústeres de EKS que desee supervisar.

  4. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Administración manual del agente de seguridad de GuardDuty

Independientemente de cómo haya decidido habilitar la supervisión en tiempo de ejecución, puede administrar el agente de seguridad manualmente para los clústeres de EKS.

  1. No habilite ninguna configuración en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que en el paso anterior.

  2. Seleccione Save.

  3. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

Habilitar el agente automatizado para todas las cuentas de miembro activas existentes

nota

La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

Administración del agente de seguridad de GuardDuty para las cuentas de miembros activas existentes de la organización

  • Para que GuardDuty reciba los eventos de tiempo de ejecución de los clústeres de EKS que pertenecen a las cuentas de miembros activas existentes de la organización, debe elegir el enfoque que prefiera para administrar el agente de seguridad de GuardDuty para estos clústeres de EKS. Para obtener más información acerca de cada uno de estos métodos, consulte Enfoques para administrar el agente de seguridad de GuardDuty en clústeres de Amazon EKS.

    Enfoque preferido para administrar el agente de seguridad de GuardDuty

    Pasos

    Administración del agente de seguridad a través de GuardDuty

    (Supervisión de todos los clústeres de EKS)
    Supervisión de todos los clústeres de EKS para todas las cuentas de miembros activas existentes

    1. En la página Supervisión del tiempo de ejecución, en la pestaña Configuración, puede ver el estado actual de la configuración automatizada del agente.

    2. En el panel Configuración automatizada del agente, en la sección Cuentas de miembro activas, seleccione Acciones.

    3. En Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

    4. Elija Confirmar.

    Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión)

    De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación.

    Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty no se ha implementado en este clúster

    1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

      Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

    2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

      • Sustituya ec2:CreateTags por eks:TagResource.

      • Sustituya ec2:DeleteTags por eks:UntagResource.

      • Sustituya access-project por GuardDutyManaged.

      • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

        Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    4. En el panel de navegación, elija Supervisión en tiempo de ejecución.

      nota

      Siempre agregue la etiqueta de exclusión a los clústeres de EKS antes de habilitar la configuración automatizada del agente para la cuenta; de lo contrario, el agente de seguridad de GuardDuty se implementará en todos los clústeres de EKS en la cuenta.

    5. En la pestaña Configuración, en la sección Configuración automatizada del agente, en Cuentas de miembro activas, elija Acciones.

    6. En Acciones, seleccione Habilitar para todas las cuentas de miembros activas.

    7. Elija Confirmar.

    Exclusión de un clúster de EKS de la supervisión una vez implementado el agente de seguridad de GuardDuty en este clúster

    1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

      Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

      Tras este paso, GuardDuty no actualizará el agente de seguridad de este clúster. Sin embargo, el agente de seguridad seguirá implementado y GuardDuty seguirá recibiendo los eventos de tiempo de ejecución de este clúster de EKS. Esto puede afectar a sus estadísticas de uso.

    2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

      • Sustituya ec2:CreateTags por eks:TagResource.

      • Sustituya ec2:DeleteTags por eks:UntagResource.

      • Sustituya access-project por GuardDutyManaged.

      • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

        Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Independientemente de cómo administre el agente de seguridad (mediante GuardDuty o manualmente), para dejar de recibir los eventos de tiempo de ejecución de este clúster, debe eliminar el agente de seguridad implementado desde este clúster de EKS. Para obtener más información acerca de la eliminación del agente de seguridad implementado, consulte Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución.

    Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión

    1. En la página Cuentas, después de habilitar la Supervisión en tiempo de ejecución, no habilite Supervisión en tiempo de ejecución: configuración automatizada del agente.

    2. Agregue una etiqueta al clúster de EKS que pertenezca a la cuenta seleccionada que desee supervisar. El par de clave-valor de la etiqueta debe ser GuardDutyManaged-true.

      Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

      GuardDuty administrará la implementación y las actualizaciones del agente de seguridad para determinados clústeres de EKS que desee supervisar.

    3. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

      • Sustituya ec2:CreateTags por eks:TagResource.

      • Sustituya ec2:DeleteTags por eks:UntagResource.

      • Sustituya access-project por GuardDutyManaged.

      • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

        Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Administración manual del agente de seguridad de GuardDuty

    1. Asegúrese de no elegir Habilitar en la sección Configuración automatizada del agente. Mantenga habilitada la Supervisión en tiempo de ejecución.

    2. Seleccione Save.

    3. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

Habilitar automáticamente la configuración automatizada del agente para los nuevos miembros

Enfoque preferido para administrar el agente de seguridad de GuardDuty

Pasos

Administración del agente de seguridad a través de GuardDuty

(Supervisión de todos los clústeres de EKS)

  1. En la página Supervisión en tiempo de ejecución, elija Editar para actualizar la configuración existente.

  2. En la sección Configuración automatizada del agente, seleccione Habilitar automáticamente para nuevas cuentas de miembro.

  3. Seleccione Save.

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante etiquetas de exclusión)

De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación.

Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty no se ha implementado en este clúster

  1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  4. En el panel de navegación, elija Supervisión en tiempo de ejecución.

    nota

    Siempre agregue la etiqueta de exclusión a los clústeres de EKS antes de habilitar la configuración automatizada del agente para la cuenta; de lo contrario, el agente de seguridad de GuardDuty se implementará en todos los clústeres de EKS en la cuenta.

  5. En la pestaña Configuración, seleccione Habilitar automáticamente para las cuentas de nuevos miembros en la sección Administración del agente de GuardDuty.

    En el caso de los clústeres de EKS que no se hayan excluido de la supervisión, GuardDuty administrará la implementación y las actualizaciones del agente de seguridad de GuardDuty.

  6. Seleccione Save.

Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty se ha implementado en este clúster

  1. Independientemente de si administra el agente de seguridad de GuardDuty a través de GuardDuty o manualmente, agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

    Si tenía habilitado el agente automatizado para este clúster de EKS, después de este paso, GuardDuty no actualizará el agente de seguridad para este clúster. Sin embargo, el agente de seguridad seguirá implementado y GuardDuty seguirá recibiendo los eventos de tiempo de ejecución de este clúster de EKS. Esto puede afectar a sus estadísticas de uso.

    Para dejar de recibir eventos de tiempo de ejecución de este clúster, debe eliminar el agente de seguridad implementado de este clúster de EKS. Para obtener más información sobre la eliminación del agente de seguridad implementado, consulte . Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si administraba manualmente el agente de seguridad de GuardDuty para este clúster de EKS, consulte Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución.

Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión

Independientemente de cómo haya decidido habilitar la Supervisión en tiempo de ejecución, los siguientes pasos resultan útiles a la hora de supervisar determinados clústeres de EKS para las nuevas cuentas de miembro en la organización.

  1. Asegúrese de desmarcar Habilitar automáticamente para nuevas cuentas de miembro en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que en el paso anterior.

  2. Seleccione Save.

  3. Agregue una etiqueta a su clúster de EKS con la clave como GuardDutyManaged y su valor como true.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

    GuardDuty administrará la implementación y las actualizaciones del agente de seguridad para determinados clústeres de EKS que desee supervisar.

  4. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Administración manual del agente de seguridad de GuardDuty

Independientemente de cómo haya decidido habilitar la supervisión en tiempo de ejecución, puede administrar el agente de seguridad manualmente para los clústeres de EKS.

  1. Asegúrese de desmarcar la casilla Habilitar automáticamente para nuevas cuentas de miembro en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que en el paso anterior.

  2. Seleccione Save.

  3. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

Configurar el agente automatizado para cuentas de miembro activas de forma selectiva

Enfoque preferido para administrar el agente de seguridad de GuardDuty

Pasos

Administración del agente de seguridad a través de GuardDuty

(Supervisión de todos los clústeres de EKS)

  1. En la página Cuentas, seleccione las cuentas para las que desea activar la Configuración automatizada del agente. Puede seleccionar más de una cuenta a la vez. Asegúrese de que las cuentas que seleccione en este paso ya tengan habilitada la supervisión en tiempo de ejecución de EKS.

  2. En Editar planes de protección, elija la opción adecuada para habilitar la Supervisión en tiempo de ejecución: configuración automatizada del agente.

  3. Elija Confirmar.

Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante etiquetas de exclusión)

De los siguientes procedimientos, elija uno de los escenarios que se aplique a su situación.

Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty no se ha implementado en este clúster

  1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    nota

    Siempre agregue la etiqueta de exclusión a los clústeres de EKS antes de habilitar la configuración automatizada del agente para la cuenta; de lo contrario, el agente de seguridad de GuardDuty se implementará en todos los clústeres de EKS en la cuenta.

  4. En la página Cuentas, seleccione la cuenta para la que desee habilitar Administrar agente automáticamente. Puede seleccionar más de una cuenta a la vez.

  5. En Editar planes de protección, elija la opción adecuada para habilitar la Supervisión en tiempo de ejecución: configuración automatizada del agente para la cuenta seleccionada.

    En el caso de los clústeres de EKS que no se hayan excluido de la supervisión, GuardDuty administrará la implementación y las actualizaciones del agente de seguridad de GuardDuty.

  6. Seleccione Save.

Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty se ha implementado en este clúster

  1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

    Si previamente tenía habilitada la Configuración automatizada del agente para este clúster de EKS, después de este paso, GuardDuty no actualizará el agente de seguridad para este clúster. Sin embargo, el agente de seguridad seguirá implementado y GuardDuty seguirá recibiendo los eventos de tiempo de ejecución de este clúster de EKS. Esto puede afectar a sus estadísticas de uso.

    Para dejar de recibir eventos de tiempo de ejecución de este clúster, debe eliminar el agente de seguridad implementado de este clúster de EKS. Para obtener más información sobre la eliminación del agente de seguridad implementado, consulte . Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución

  2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

  3. Si administraba manualmente el agente de seguridad de GuardDuty para este clúster de EKS, debe eliminarlo. Para obtener más información, consulte Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución.

Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión

Independientemente de cómo haya decidido habilitar la Supervisión en tiempo de ejecución, los siguientes pasos resultan útiles a la hora de supervisar determinados clústeres de EKS que pertenecen a las cuentas seleccionadas:

  1. Asegúrese de no habilitar Supervisión en tiempo de ejecución: configuración automatizada del agente para las cuentas seleccionadas en las que se encuentran los clústeres de EKS que desea supervisar.

  2. Agregue una etiqueta a su clúster de EKS con la clave como GuardDutyManaged y su valor como true.

    Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

    Tras agregar la etiqueta, GuardDuty administrará la implementación y las actualizaciones del agente de seguridad para determinados clústeres de EKS que desee supervisar.

  3. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

    • Sustituya ec2:CreateTags por eks:TagResource.

    • Sustituya ec2:DeleteTags por eks:UntagResource.

    • Sustituya access-project por GuardDutyManaged.

    • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

      Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

      "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

Administración manual del agente de seguridad de GuardDuty

  1. Mantenga la misma configuración de Supervisión en tiempo de ejecución que en el paso anterior. Asegúrese de no habilitar Supervisión en tiempo de ejecución: configuración automatizada del agente para ninguna de las cuentas seleccionadas.

  2. Elija Confirmar.

  3. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.

Las cuentas independientes son las que toman la decisión de habilitar o desactivar un plan de protección en su Cuenta de AWS en una Región de AWS específica.

Si la cuenta está asociada a una cuenta de administrador de GuardDuty a través de AWS Organizations, o por el método de invitación, esta sección no se aplica a la cuenta. Para obtener más información, consulte Habilitar la Supervisión en tiempo de ejecución para entornos de múltiples cuentas.

Después de habilitar la Supervisión en tiempo de ejecución, asegúrese de instalar el agente de seguridad de GuardDuty mediante una configuración automática o una implementación manual. Como parte de completar todos los pasos que se indican en el siguiente procedimiento, asegúrese de instalar el agente de seguridad.

Según su preferencia de supervisar todos o algunos recursos de Amazon EKS, elija el método que prefiera y siga los pasos que se indican en la tabla siguiente.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Supervisión en tiempo de ejecución.

  3. En la pestaña Configuración, elija Habilitar para habilitar la configuración automatizada del agente para la cuenta.

    Método preferido para implementar el agente de seguridad de GuardDuty

    Pasos

    Administración del agente de seguridad a través de GuardDuty

    (Supervisión de todos los clústeres de EKS)

    1. Elija Habilitar en la sección Configuración automatizada del agente. GuardDuty administrará la implementación y las actualizaciones del agente de seguridad para todos los clústeres de EKS existentes y potencialmente nuevos de su cuenta.

    2. Seleccione Save.

    Supervisión de todos los clústeres de EKS con exclusión de algunos de ellos (mediante una etiqueta de exclusión)

    De los siguientes procedimientos, elija uno de los escenarios que le corresponda.

    Exclusión de un clúster de EKS de la supervisión cuando el agente de seguridad de GuardDuty no se ha implementado en este clúster

    1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

      Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

    2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

      • Sustituya ec2:CreateTags por eks:TagResource.

      • Sustituya ec2:DeleteTags por eks:UntagResource.

      • Sustituya access-project por GuardDutyManaged.

      • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

        Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    4. En el panel de navegación, elija Supervisión en tiempo de ejecución.

      nota

      Agregue siempre la etiqueta de exclusión a sus clústeres de EKS antes de habilitar la administración automática del agente de GuardDuty en su cuenta; de lo contrario, el agente de seguridad de GuardDuty se implementará en todos los clústeres de EKS de su cuenta.

    5. En la pestaña Configuración, elija Habilitar en la sección Administración del agente de GuardDuty.

      En el caso de los clústeres de EKS que no se hayan excluido de la supervisión, GuardDuty administrará la implementación y las actualizaciones del agente de seguridad de GuardDuty.

    6. Seleccione Save.

    Exclusión de un clúster de EKS de la supervisión una vez implementado el agente de seguridad de GuardDuty en este clúster

    1. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como false.

      Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

      Tras este paso, GuardDuty no actualizará el agente de seguridad de este clúster. Sin embargo, el agente de seguridad seguirá implementado y GuardDuty seguirá recibiendo los eventos de tiempo de ejecución de este clúster de EKS. Esto puede afectar a sus estadísticas de uso.

    2. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

      • Sustituya ec2:CreateTags por eks:TagResource.

      • Sustituya ec2:DeleteTags por eks:UntagResource.

      • Sustituya access-project por GuardDutyManaged.

      • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

        Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    3. Para dejar de recibir eventos de tiempo de ejecución de este clúster, debe eliminar el agente de seguridad implementado de este clúster de EKS. Para obtener más información acerca de la eliminación del agente de seguridad implementado, consulte Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución.

    Supervisión de determinados clústeres de EKS mediante etiquetas de inclusión

    1. Asegúrese de no elegir Desactivar en la sección Configuración automatizada del agente. Mantenga habilitada la Supervisión en tiempo de ejecución.

    2. Seleccione Guardar.

    3. Agregue una etiqueta a este clúster de EKS con la clave como GuardDutyManaged y su valor como true.

      Para obtener más información sobre el etiquetado del clúster de Amazon EKS, consulte Etiquetado de los recursos para facturación en la Guía del usuario de Amazon EKS.

      GuardDuty administrará la implementación y las actualizaciones del agente de seguridad para determinados clústeres de EKS que desee supervisar.

    4. Para evitar la modificación de las etiquetas, excepto por parte de entidades de confianza, utilice la política que se proporciona en Impedir que las etiquetas se modifiquen excepto por entidades autorizadas en la Guía del usuario de AWS Organizations. En esta política, sustituya los detalles siguientes:

      • Sustituya ec2:CreateTags por eks:TagResource.

      • Sustituya ec2:DeleteTags por eks:UntagResource.

      • Sustituya access-project por GuardDutyManaged.

      • Sustituya 123456789012 por el ID de la Cuenta de AWS de la entidad de confianza.

        Si tiene más de una entidad de confianza, utilice el siguiente ejemplo para agregar varios valores de PrincipalArn:

        "aws:PrincipalArn":["arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin", "arn:aws:iam::123456789012:role/org-admins/iam-admin"]

    Administración manual del agente

    1. Asegúrese de no elegir Desactivar en la sección Configuración automatizada del agente. Mantenga habilitada la Supervisión en tiempo de ejecución.

    2. Seleccione Save.

    3. Para administrar el agente de seguridad, consulte Administrar manualmente el agente de seguridad para el clúster de Amazon EKS.