ビュー:
プロファイル適用範囲:レベル1 - クラスター/コントロールプレーン
この推奨事項は、EKSコントロールプレーンの監査ログを有効にして、受け入れられたか拒否されたかにかかわらず、すべてのAPIサーバーリクエストを追跡することの重要性を強調しています。監査ログは、認証されたユーザーと匿名のソースの両方によって行われたAPIサーバーリクエストに対する重要な可視性を提供します。
注意
注意
初期設定では、すべてのコントロールプレーンのログ記録が無効になっています。

監査

AWSコンソールから:
  1. [Amazon EKS][ Clusters][cluster_name][ Configuration][ Logging]に移動してください。
  2. 次のオプションが有効に設定されているかどうかを確認してください:
    • APIサーバ
    • 監査
    • オーセンティケータ
    • コントローラーマネージャー
    • スケジューラ
  3. 各リージョンの各EKSクラスターに対して繰り返します。
CLI から:
  • ターミナルを開いてください。
  • 次のコマンドを実行します。
    export CLUSTER_NAME=<クラスター名> export REGION_CODE=<リージョンコード> aws eks describe-cluster --name ${CLUSTER_NAME} --region ${REGION_CODE} --query 'cluster.logging.clusterLogging'
  • 各リージョンの各EKSクラスターに対して繰り返します。

修復

AWSコンソールから:
  1. 各リージョンの各EKSクラスターについて:
    • [Amazon EKS][クラスタ][CLUSTER_NAME][設定][Logging]に移動してください。
    • [Manage logging]をクリックしてください。
  2. 次のオプションが有効に切り替わっていることを確認してください:
    • APIサーバ
    • 監査
    • オーセンティケータ
    • コントローラーマネージャー
    • スケジューラ
  3. [変更の保存] をクリックします。
  4. 各リージョンの各EKSクラスターに対して繰り返します。
CLI から:
  1. ターミナルを開いてください。
  2. 次のコマンドを実行します。 
    aws eks update-cluster-config \ --region '${REGION_CODE}' \ --name '${CLUSTER_NAME}' \ --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'
  3. 各リージョンの各EKSクラスターに対して繰り返します。