本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
常见问题(FAQ)
以下列表提供了在运行时监控中启用 GuardDuty 自动代理配置的情况下使用共享 VPC 资源时常见问题的疑难解答步骤:
我已经在使用运行时监控(或 EKS 运行时监控)。如何启用共享 VPC?
有关创建共享 VPC 的先决条件的信息,请参阅先决条件 。
当共享 VPC 所有者账户和参与者账户都满足先决条件时, GuardDuty 将尝试自动设置 Amazon VPC 终端节点策略。
如果在此版本之前,您 Amazon Web Services 账户 遇到了不支持共享 VPC 的覆盖问题,请遵循先决条件。当您的资源类型(仅限 Amazon EKS 或 Amazon ECS(Amazon Fargate 仅限)任务)调用共享 VPC 终端节点的要求时, GuardDuty 将尝试设置新的 VPC 终端节点策略。
作为共享 VPC 所有者账户,我希望共享 VPC 终端节点策略仅限于我组织中的一部分参与者账户。我该怎么做?
如果您有GuardDutyManaged:true标签与终端节点关联,请将其删除。这样可以防止 GuardDuty 尝试修改或覆盖共享 VPC 的 VPC 终端节点策略。
有关更多信息,请参阅使用端点策略控制对 VPC 端点的访问。
为什么共享 VPC 终端节点从修改aws:PrincipalAccount为aws:PrincipalOrgId? 我怎样才能防止这种情况发生?
当 GuardDuty 检测到 VPC 由同一组织的多个账户共享时 Amazon Organizations,会 GuardDuty 尝试修改策略以指定组织 ID。
为防止出现这种情况,请从共享 VPC 终端节点中删除GuardDutyManaged:true标签。这样可以防止 GuardDuty 尝试修改或覆盖共享 VPC 的 VPC 终端节点策略。
当共享 VPC 所有者账户或其中一个参与者账户禁用运行时监控( GuardDuty 或 EKS 运行时监控)时会发生什么?
当共享 VPC 所有者账户禁用 GuardDuty 或运行时监控(或 EKS 运行时监控)时, GuardDuty会检查属于参与者账户的任何资源类型是否使用了共享 VPC 终端节点,或者任何参与者账户是否为任何资源类型启用了 GuardDuty 代理管理。如果是,则 GuardDuty 不会删除 VPC 终端节点和安全组。
如果共享 VPC 参与者账户禁用 GuardDuty 或运行时监控(或 EKS 运行时监控),则不会对共享 VPC 所有者账户产生影响,所有者账户既不会删除共享 VPC 资源,也不会删除安全组。
如何删除共享的 VPC 资源? 它将产生什么影响?
作为共享 VPC 所有者账户,即使您的账户或运行时监控中的任何参与账户正在使用共享 VPC 资源,您也可以将其删除。有关删除共享 VPC 并了解其影响的信息,请参阅To delete a VPC endpoint。