使用带运行时监控功能的共享 VPC - Amazon GuardDuty
工作方式先决条件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用带运行时监控功能的共享 VPC

GuardDuty 运行时监控支持对属于 Amazon Organizations 中同一组织的 Amazon Web Services 账户使用共享的 Amazon Virtual Private Cloud(Amazon VPC)。您可以通过两种方式使用共享 VPC:

  • 自动代理配置(推荐):当 GuardDuty 自动管理安全代理时,它还将配置 Amazon VPC 端点策略。此策略基于贵组织的共享 VPC 设置。

    您必须在共享 VPC 所有者账户和将共享此 VPC 的所有参与账户中启用自动代理配置。

  • 手动托管代理:使用共享 VPC 手动管理安全代理时,必须更新 VPC 端点策略,允许相应的账户访问共享 VPC。为此,您可以使用以下 工作方式 部分中共享的示例策略。

    对于涉及共享 VPC 参与账户的手动管理场景,覆盖范围状态可能不准确。为了确保您的资源获得最新保护和处于最新覆盖状态,GuardDuty 建议为所有将使用共享 VPC 的账户启用自动代理配置。

工作方式

与共享 Amazon VPC 所有者账户属于同一组织的 Amazon Web Services 账户也可以共享相同的 Amazon VPC 端点。使用相同 Amazon VPC 端点策略的每个账户都被称为相关共享 Amazon VPC 的参与者 Amazon 账户

以下示例展示了共享 VPC 所有者账户和参与者账户的默认 VPC 端点策略。aws:PrincipalOrgID 将显示与共享 VPC 资源关联的组织 ID。此策略的使用范围仅限于所有者账户的组织中存在的参与者账户。

共享 VPC 端点策略示例
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

使用 GuardDuty 自动代理配置

当共享 VPC 的所有者账户为任何资源 [Amazon EKS 或 Amazon Fargate(仅限 Amazon ECS)] 启用运行时监控和自动代理配置时,所有共享 VPC 都有资格自动安装共享 Amazon VPC 端点和共享 VPC 所有者账户中的关联安全组。GuardDuty 会检索与共享 Amazon VPC 关联的组织 ID。

当共享 VPC 所有者账户或参与者账户需要 Amazon VPC 端点时,GuardDuty 会创建该端点。需要 Amazon VPC 端点的示例包括启用 GuardDuty、运行时监控、EKS 运行时监控或启动新的 Amazon ECS-Fargate 任务。当这些账户为任何资源类型启用运行时监控和自动代理配置时,GuardDuty 会创建一个 Amazon VPC 端点,并使用与共享 VPC 所有者账户相同的组织 ID 设置端点策略。GuardDuty 将为 GuardDuty 创建的 Amazon VPC 端点添加一个 GuardDutyManaged 标签并将其设置为 true。如果共享 Amazon VPC 所有者账户尚未为任何资源启用运行时监控或自动代理配置,则 GuardDuty 将不会设置 Amazon VPC 端点策略。有关在共享 VPC 所有者账户中配置运行时监控和自动管理安全代理的信息,请参阅启用 GuardDuty 运行时监控

与手动托管代理搭配使用

当您搭配使用共享 VPC 与手动托管代理时,请确认没有显式 Deny 端点策略阻止任何需要使用共享 VPC 的账户。这将防止安全代理向 GuardDuty 发送遥测数据,从而导致 Unhealthy 覆盖状态。有关设置端点策略的信息,请参阅Example shared VPC endpoint policy

在缺少对共享 VPC 的权限等情况下,运行时覆盖范围可能不准确。您可以按照检查运行时间覆盖率统计数据并对问题进行故障排除中针对您的资源类型的步骤持续监控资源覆盖范围。

为确保持续实现对计算资源的运行时监控保护,GuardDuty 建议针对您的资源对共享 VPC 所有者账户和所有参与账户启用自动代理配置。

使用共享 VPC 的先决条件

在初始设置过程中,请在您希望其成为共享 VPC 所有者的 Amazon Web Services 账户中执行以下步骤:

  1. 创建组织:按照《Amazon Organizations 用户指南》中 Creating and managing an organization 部分所述步骤创建一个组织。

    有关添加或移除成员账户的信息,请参阅 Managing Amazon Web Services 账户 in your organization

  2. 创建共享 VPC 资源:您可以从所有者账户中创建共享 VPC 资源。有关更多信息,请参阅《Amazon VPC 用户指南》中的与其他账户共享 VPC 子网

GuardDuty 运行时监控特有的先决条件

以下列表介绍了 GuardDuty 特有的先决条件:

  • 共享 VPC 所有者账户和参与者账户可以来自 GuardDuty 中的不同组织,但必须属于 Amazon Organizations 中的同一组织。必须满足此条件,才能让 GuardDuty 为共享 VPC 创建 Amazon VPC 端点和安全组。有关共享 VPC 工作原理的信息,请参阅《Amazon VPC 用户指南》中的与其他账户共享 VPC

  • 为共享 VPC 所有者账户和参与者账户中的任何资源启用运行时监控或 EKS 运行时监控,以及 GuardDuty 自动代理配置。有关更多信息,请参阅 启用运行时监控

    如果您已完成这些配置,请继续下一步操作。

  • 在处理 Amazon EKS 或 Amazon ECS(仅限 Amazon Fargate)任务时,请务必选择与所有者账户关联的共享 VPC 资源并选择其子网。