使用带运行时监控的共享 VPC - Amazon GuardDuty
工作方式先决条件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用带运行时监控的共享 VPC

GuardDuty 运行时监控支持对属于同一组织的共享亚马逊虚拟私有云(Amazon VPC)进行共享 Amazon Organizations。 Amazon Web Services 账户 您可以通过两种方式使用共享 VPC:

  • 自动代理配置(推荐)— 当 GuardDuty 自动管理安全代理时,它还将配置 Amazon VPC 终端节点策略。此政策基于贵组织的共享 VPC 设置。

    您必须在共享 VPC 所有者账户和将共享此 VPC 的所有参与账户中启用自动代理配置。

  • 手动托管代理-使用共享 VPC 手动管理安全代理时,必须更新 VPC 终端节点策略以允许相应的账户访问共享 VPC。为此,您可以使用下一工作方式节中共享的示例策略。

    对于涉及共享 VPC 参与账户的手动管理场景,覆盖范围状态可能不准确。为确保资源的 up-to-date保护和覆盖状态, GuardDuty 建议为将使用共享 VPC 的所有账户启用自动代理配置。

工作方式

与共享 Amazon Web Services 账户 的 Amazon VPC 所有者账户属于同一组织的用户也可以共享相同的 Amazon VPC 终端节点。使用相同 Amazon VPC 终端节点策略的每个 Amazon 账户都被称为关联的共享 Amazon VPC 的参与者账户

以下示例展示了共享 VPC 所有者账户和参与者账户的默认 VPC 端点策略。aws:PrincipalOrgID 将显示与共享 VPC 资源关联的组织 ID。此策略的使用范围仅限于所有者账户的组织中存在的参与者账户。

共享 VPC 终端节点策略示例
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
显示更多显示更少

使用 GuardDuty 自动代理配置

当共享 VPC 的所有者账户为任何资源(Amazon EKS 或 Amazon Fargate (仅限 Amazon ECS))启用运行时监控和自动代理配置时,所有共享资源都有 VPCs 资格在共享 VPC 所有者账户中自动安装共享 Amazon VPC 终端节点和关联安全组。 GuardDuty 检索与共享 Amazon VPC 关联的组织 ID。

GuardDuty 在共享 VPC 所有者账户或参与账户需要时创建 Amazon VPC 终端节点。需要 Amazon VPC 终端节点的示例包括启用 GuardDuty、运行时监控、EKS 运行时监控或启动新的 Amazon ECS-Fargate 任务。当这些账户为任何资源类型启用运行时监控和自动代理配置时,将 GuardDuty 创建一个 Amazon VPC 终端节点,并使用与共享 VPC 所有者账户相同的组织 ID 设置终端节点策略。 GuardDuty 为 GuardDuty 创建的 Amazon VPC 终端节点添加GuardDutyManaged标签并将其设置为。true如果共享的 Amazon VPC 所有者账户尚未为任何资源启用运行时监控或自动代理配置,则 GuardDuty 不会设置 Amazon VPC 终端节点策略。有关在共享 VPC 所有者账户中配置运行时监控和自动管理安全代理的信息,请参阅启用 GuardDuty 运行时监控

与手动管理的代理一起使用

当您使用带有手动托管代理的共享 VPC 时,请确认没有明确的Deny终端节点策略可以阻止任何需要使用共享 VPC 的账户。这将防止安全代理向发送遥测数据 GuardDuty,从而进入Unhealthy覆盖状态。有关设置终端节点策略的信息,请参阅Example shared VPC endpoint policy

在缺少共享 VPC 权限等情况下,运行时间覆盖范围可能不准确。您可以按照中针对您的资源类型的步骤持续监控资源覆盖率检查运行时间覆盖率统计数据并对问题进行故障排除

为确保持续保护您的计算资源, GuardDuty 建议您为共享 VPC 所有者账户和资源的所有参与账户启用自动代理配置。

使用共享 VPC 的先决条件

作为初始设置的一部分,请执行您想要成为共享 VPC 所有者的以下步骤: Amazon Web Services 账户

  1. 创建组织:按照《Amazon Organizations 用户指南》中 Creating and managing an organization 部分所述步骤创建一个组织。

    有关添加或删除成员账户的信息,请参阅在组织 Amazon Web Services 账户 中管理

  2. 创建共享 VPC 资源:您可以从所有者账户中创建共享 VPC 资源。有关更多信息,请参阅 Amazon VPC 用户指南中的与其他账户共享您的 VPC 子网

特定于 GuardDuty 运行时监控的先决条件

以下列表提供了特定于以下各项的先决条件 GuardDuty:

  • 共享 VPC 的所有者账户和参与账户可以来自中的不同组织 GuardDuty。但必须属于 Amazon Organizations中的同一组织。这是为 GuardDuty 共享 VPC 创建 Amazon VPC 终端节点和安全组所必需的。有关共享 VPCs 工作方式的信息,请参阅 Amazon VPC 用户指南中的与其他账户共享您的 VPC

  • 为共享 VPC 所有者账户和参与者账户中的任何资源启用运行时监控或 EKS 运行时监控,并 GuardDuty 自动配置代理。有关更多信息,请参阅 启用运行时监控

    如果您已完成这些配置,请继续下一步操作。

  • 在处理 Amazon EKS 或 Amazon ECS(Amazon Fargate 仅限)任务时,请务必选择与所有者账户关联的共享 VPC 资源并选择其子网。