

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# GuardDuty EKS Protection
<a name="kubernetes-protection"></a>

**注記**  
EKS Protection と他のすべての保護プランは、GuardDuty コンソールの 1 ページから設定できます。詳細については、「[保護プランの設定](protection-plans.md)」を参照してください。

EKS Protection は、 AWS 環境内の Amazon Elastic Kubernetes Service (Amazon EKS) クラスターで潜在的なセキュリティリスクを検出するのに役立ちます。例えば、クラスターからシークレットまたは AWS 認証情報を収集しようとする認証されていないアクターによって、誤って設定された EKS クラスターがいつアクセスされているかを検出するのに役立ちます。EKS Protection は、EKS 監査ログを使用して、ユーザーとアプリケーションのアクティビティを分析します。

EKS Protection を有効にすると、GuardDuty は自動的にAmazon EKS クラスターの潜在的なセキュリティ脅威のモニタリングを開始します。GuardDuty は独自の独立したストリームを使用して [EKS Protection における EKS 監査ログ](#guardduty_k8s-audit-logs) の収集と分析を行います。追加の設定は必要ありません。

EKS 監査ログのモニタリングに基づいて潜在する脅威が検出されると、セキュリティの検出結果が生成されます。EKS Protection を有効にしているときに GuardDuty で生成されうる検出結果タイプについては、「[EKS Protection の検出結果タイプ](guardduty-finding-types-eks-audit-logs.md)」を参照してください。

**注記**  
アカウント内の EKS 監査ログを表示するには (オプション)、Amazon EKS コントロールプレーンのロギングを設定して監査ログを CloudWatch Logs に送信できます。この設定は EKS Protection とは別のものであり、GuardDuty のセキュリティモニタリング機能には必要ありません。

**30 日間の無料トライアル**
+ の AWS アカウント で AWS リージョン GuardDuty を初めて有効にすると、30 日間の無料トライアルが受けられます。この場合、EKS Protection も 30 日間無料トライアルに含まれているため一緒に有効になります。
+ 既に GuardDuty を使用している場合に、初めて EKS Protection を有効にすると、このリージョンのアカウントに EKS Protection の 30 日間無料トライアルが適用されます。
+ EKS Protection はいつでもどのリージョンでも無効にできます。
+ 30 日間の無料トライアルでは、そのアカウントとリージョンの使用コストの見積もりを取得できます。30 日間無料トライアルが終了しても、EKS Protection が自動的に無効になることはありません。このリージョンのアカウントで使用コストが発生し始めます。詳細については、「[使用状況のモニタリングとコストの見積もり](monitoring_costs.md)」を参照してください。

EKS Protection を無効にすると、Amazon EKS リソースの EKS 監査ログのモニタリングと分析が直ちに停止します。

EKS Protection は、GuardDuty AWS リージョン が利用可能なすべての で使用できない場合があります。詳細については、「[リージョン固有機能の可用性](guardduty_regions.md#gd-regional-feature-availability)」を参照してください。

**注記**  
EKS Runtime Monitoring は、Runtime Monitoring の一部として管理されます。詳細については、「[GuardDuty Runtime Monitoring](runtime-monitoring.md)」を参照してください。

## EKS Protection における EKS 監査ログ
<a name="guardduty_k8s-audit-logs"></a>

EKS 監査ログは、ユーザー、Kubernetes API を使用するアプリケーション、コントロールプレーンからのアクティビティなど、Amazon EKS クラスター内のシーケンシャルアクションをキャプチャします。監査ログは、すべての Kubernetes クラスターのコンポーネントです。

詳細については、Kubernetes ドキュメントの「[監査](https://Kubernetes.io/docs/tasks/debug-application-cluster/audit/)」を参照してください。

Amazon EKS を使用すると、[EKS コントロールプレーンのログ記録](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)機能を通じて、EKS 監査ログを Amazon CloudWatch Logs として取り込むことができます。GuardDuty は、Amazon EKS コントロールプレーンのログ記録を管理したり、アカウントの EKS 監査ログをアクセス可能な状態にしたりしません (Amazon EKS 向けに有効にしていない場合)。EKS 監査ログへのアクセスと保持期間を管理するには、Amazon EKS コントロールプレーンのログ機能を設定する必要があります。詳細については、「**Amazon EKS ユーザーガイド**」の「[コントロールプレーンログの有効化と無効化](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export)」を参照してください。