将共享 VPC 与自动安全代理结合使用 - Amazon GuardDuty
工作方式先决条件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将共享 VPC 与自动安全代理结合使用

当您选择 GuardDuty 自动管理安全代理时,运行时监控支持为属于中同一组织的 Amazon Web Services 账户 使用共享 VPC Amazon Organizations。 GuardDuty 您可以根据与组织的共享 VPC 相关的详细信息,代表您设置 Amazon VPC 端点策略。

工作方式

当共享 VPC 的所有者账户为任何资源 [Amazon EKS 或 Amazon Fargate (仅限 Amazon ECS)] 启用运行时监控和自动代理配置时,所有共享资源都有 VPCs 资格自动安装共享 Amazon VPC 端点和共享 VPC 所有者账户中的关联安全组。 GuardDuty 检索与共享 Amazon VPC 关联的组织 ID。

现在,与共享 Amazon VPC 所有者账户属于同一组织的也可以共享相同的 Amazon VPC 端点。 Amazon Web Services 账户 GuardDuty 当共享 VPC 所有者账户或参与者账户需要 Amazon VPC 端点。需要 Amazon VPC 端点的示例包括启用 GuardDuty、运行时监控、EKS 运行时监控或启动新的 Amazon ECS-Fargate 任务。当这些账户为任何资源类型启用运行时监控和自动代理配置时,系统将 GuardDuty 创建一个 Amazon VPC 端点,并使用与共享 VPC 所有者账户相同的组织 ID 设置端点策略。 GuardDuty 为 GuardDuty 创建的 Amazon VPC 终端节点添加GuardDutyManaged标签并将其设置为。true如果共享 Amazon VPC 所有者账户尚未为任何资源启用运行时监控或自动代理配置,则 GuardDuty 不会设置 Amazon VPC 端点策略。有关在共享 VPC 所有者账户中配置运行时监控和自动管理安全代理的信息,请参阅启用 GuardDuty 运行时监控

使用相同 Amazon VPC 端点策略的每个账户都被称为相关共享 Amazon VPC 的参与者 Amazon 账户

以下示例展示了共享 VPC 所有者账户和参与者账户的默认 VPC 端点策略。aws:PrincipalOrgID 将显示与共享 VPC 资源关联的组织 ID。此策略的使用范围仅限于所有者账户的组织中存在的参与者账户。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
显示更多显示更少

使用共享 VPC 的先决条件

当您使用 GuardDuty 自动代理时,运行时监控支持使用共享 VPC。在初始设置过程中,请在您 Amazon Web Services 账户 希望其成为共享 VPC 所有者的中执行以下步骤:

  1. 创建组织:按照《Amazon Organizations 用户指南》中 Creating and managing an organization 部分所述步骤创建一个组织。

    有关添加或移除成员账户的信息,请参阅 Managing in your org Amazon Web Services 账户 anization

  2. 创建共享 VPC 资源:您可以从所有者账户中创建共享 VPC 资源。有关更多信息,请参阅《Amazon VPC 用户指南》中的 与其他账户共享 VPC

GuardDuty 运行时监控特有的先决条件

以下列表介绍特定于 GuardDuty:

  • 共享 VPC 所有者账户和参与者账户可以来自中的不同组织 GuardDuty。但必须属于 Amazon Organizations中的同一组织。必须满足此条件 GuardDuty ,才能为共享 VPC 创建 Amazon VPC 端点和安全组。有关共享 VPCs 工作方式的信息,请参阅 Amazon VPC 用户指南中的与其他账户共享您的 VPC

  • 为共享 VPC 所有者账户和参与者账户中的任何资源启用运行时监控或 EKS 运行时监控,以及 GuardDuty 自动代理配置。有关更多信息,请参阅 启用运行时监控

    如果您已完成这些配置,请继续下一步操作。

  • 在处理 Amazon EKS 或 Amazon ECS(Amazon Fargate 仅限)任务时,请务必选择与所有者账户关联的共享 VPC 资源并选择其子网。