Uso compartido VPC con agentes de seguridad automatizados - Amazon GuardDuty
FuncionamientoRequisitos previos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso compartido VPC con agentes de seguridad automatizados

Si opta por GuardDuty administrar el agente de seguridad automáticamente, Runtime Monitoring admite el uso de uno compartido VPC para los Cuentas de AWS que pertenezcan a la misma organización AWS Organizations. En tu nombre, GuardDuty puedes establecer la política de VPC puntos de conexión de Amazon en función de los detalles asociados a los puntos compartidos VPC de tu organización.

Funcionamiento

Cuando la cuenta propietaria del recurso compartido VPC habilita la monitorización del tiempo de ejecución y la configuración automática de agentes para cualquiera de los recursos AWS Fargate (Amazon EKS o (ECSsolo Amazon)), todos los recursos compartidos VPCs pueden instalarse automáticamente en la cuenta de VPC propietario compartida del VPC punto de conexión de Amazon compartido y del grupo de seguridad asociado. GuardDuty recupera el identificador de la organización que está asociado al Amazon VPC compartido.

Ahora, las Cuentas de AWS que pertenezcan a la misma organización que la cuenta de VPC propietario de Amazon compartida también pueden compartir el mismo VPC punto de conexión de Amazon. GuardDuty crea un VPC punto de conexión de Amazon cuando la cuenta de VPC propietario compartida o la cuenta participante lo necesitan. Algunos ejemplos de cómo se necesita un VPC punto de conexión de Amazon son la activación GuardDuty, el monitoreo del tiempo de EKS ejecución, el monitoreo del tiempo de ejecución o el lanzamiento de una nueva tarea de Amazon ECS -Fargate. Cuando estas cuentas habilitan Runtime Monitoring y la configuración automática de agentes para cualquier tipo de recurso, GuardDuty crea un VPC punto de conexión de Amazon y establece la política de puntos de enlace con el mismo ID de organización que el de la cuenta de VPC propietario compartida. GuardDuty añade una GuardDutyManaged etiqueta y la establece true para el VPC punto de conexión de Amazon que la GuardDuty crea. Si la cuenta de VPC propietario compartida de Amazon no ha habilitado Runtime Monitoring o la configuración automática de agentes para ninguno de los recursos, no GuardDuty establecerá la política de VPC puntos finales de Amazon. Para obtener información sobre la configuración de Runtime Monitoring y la administración automática del agente de seguridad en la cuenta de VPC propietario compartida, consulte¿Habilitar la GuardDuty supervisión del tiempo.

Cada una de las cuentas que utilizan la misma política VPC de puntos de conexión de Amazon se denomina AWS cuenta participante de la Amazon compartida asociadaVPC.

El siguiente ejemplo muestra la política de VPC puntos finales predeterminada de la cuenta de VPC propietario compartida y la cuenta de participante. aws:PrincipalOrgIDMostrará el ID de la organización asociado al VPC recurso compartido. El uso de esta política se limita a las cuentas participantes presentes en la organización de la cuenta de propietario.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
Mostrar másMostrar menos

Requisitos previos para usar el recurso compartido VPC

Runtime Monitoring admite el uso de un agente compartido VPC cuando se usa un agente GuardDuty automatizado. Como parte de la configuración inicial, lleve a cabo los siguientes pasos cuando desee Cuenta de AWS que sea el propietario del recurso compartidoVPC:

  1. Crear una organización: para crear una organización, siga los pasos que se indican en Crear y administrar una organización en la Guía del usuario de AWS Organizations .

    Para obtener información sobre cómo añadir o eliminar cuentas de miembros, consulta Administrar Cuentas de AWS en tu organización.

  2. Crear un VPC recurso compartido: puedes crear un VPC recurso compartido desde la cuenta del propietario. Para obtener más información, consulta Compartir tu cuenta VPC con otras cuentas en la Guía del VPC usuario de Amazon.

Requisitos previos específicos de la supervisión del GuardDuty tiempo de ejecución

La siguiente lista proporciona los requisitos previos específicos de: GuardDuty

  • La cuenta del propietario de la cuenta compartida VPC y la cuenta participante pueden pertenecer a distintas organizaciones en GuardDuty. Sin embargo, deben pertenecer a la misma organización en AWS Organizations. Esto es necesario GuardDuty para crear un VPC punto de conexión de Amazon y un grupo de seguridad para el compartidoVPC. Para obtener información sobre cómo VPCs funcionan las cuentas compartidas, consulta la Guía del VPC usuario de Amazon para compartir tu cuenta VPC con otras cuentas.

  • Habilite el monitoreo en EKS tiempo de ejecución o el monitoreo en tiempo de ejecución y la configuración GuardDuty automática de los agentes para cualquier recurso de la cuenta de VPC propietario compartida y la cuenta de participante. Para obtener más información, consulte Habilitación de la supervisión en tiempo de ejecución.

    Si ya ha completado estas configuraciones, continúe con el siguiente paso.

  • Cuando trabajes con una tarea de Amazon EKS o una tarea ECS (AWS Fargate exclusiva) de Amazon, asegúrate de elegir el VPC recurso compartido asociado a la cuenta del propietario y seleccionar sus subredes.