工作方式

当共享 VPC 的所有者账户为任何资源（Amazon EKS 或 Amazon Fargate （仅限 Amazon ECS））启用运行时监控和自动代理配置时，所有共享 VPC 都有资格在共享 VPC 所有者账户中自动安装共享 Amazon VPC 终端节点和关联安全组。 GuardDuty 检索与共享 Amazon VPC 关联的组织 ID。

现在，与共享的 Amazon Web Services 账户 Amazon VPC 所有者账户属于同一组织的用户也可以共享相同的 Amazon VPC 终端节点。 GuardDuty 当共享 VPC 所有者账户或参与账户需要 Amazon VPC 终端节点时，会创建共享 VPC。需要 Amazon VPC 终端节点的示例包括启用 GuardDuty、运行时监控、EKS 运行时监控或启动新的 Amazon ECS-Fargate 任务。当这些账户为任何资源类型启用运行时监控和自动代理配置时，将 GuardDuty 创建一个 Amazon VPC 终端节点，并使用与共享 VPC 所有者账户相同的组织 ID 设置终端节点策略。 GuardDuty 为 GuardDuty 创建的 Amazon VPC 终端节点添加GuardDutyManaged标签并将其设置为。true如果共享的 Amazon VPC 所有者账户尚未为任何资源启用运行时监控或自动代理配置，则 GuardDuty 不会设置 Amazon VPC 终端节点策略。有关在共享 VPC 所有者账户中配置运行时监控和自动管理安全代理的信息，请参阅启用 GuardDuty 运行时监控。

使用相同 Amazon VPC 终端节点策略的每个 Amazon 账户都被称为关联的共享 Amazon VPC 的参与者账户。

以下示例显示了共享 VPC 所有者账户和参与者账户的默认 VPC 终端节点策略。aws:PrincipalOrgID将显示与共享 VPC 资源关联的组织 ID。本政策仅限于所有者账户组织中存在的参与者账户。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}