Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Si GuardDuty decide administrar el agente de seguridad automáticamente, Runtime Monitoring admite el uso de una VPC compartida para las Cuentas de AWS que pertenecen a la misma organización. AWS Organizations En su nombre, GuardDuty puede configurar la política de puntos de conexión de Amazon VPC en función de los detalles asociados a la VPC compartida de su organización.
Funcionamiento
Cuando la cuenta de propietario de la VPC compartida habilita la supervisión del tiempo de ejecución y la configuración automática de los agentes para cualquiera de los recursos ( AWS Fargate Amazon EKS o (solo Amazon ECS)), todos los recursos compartidos VPCs pueden instalarse automáticamente en la cuenta de propietario de la VPC compartida. GuardDuty recupera el ID de la organización que está asociado a la Amazon VPC compartida.
Ahora, las Cuentas de AWS que pertenezcan a la misma organización que la cuenta de propietario de Amazon VPC compartida también pueden compartir el mismo punto de enlace de Amazon VPC. GuardDuty crea un punto de enlace de Amazon VPC cuando la cuenta del propietario de la VPC compartida o la cuenta participante lo necesitan. Algunos ejemplos de la necesidad de un punto de conexión de Amazon VPC incluyen la activación GuardDuty, la supervisión del tiempo de ejecución, la supervisión del tiempo de ejecución de EKS o el lanzamiento de una nueva tarea de Amazon ECS-Fargate. Cuando estas cuentas habilitan Runtime Monitoring y la configuración automática de agentes para cualquier tipo de recurso, GuardDuty crea un punto de enlace de Amazon VPC y establece la política de puntos de enlace con el mismo ID de organización que el de la cuenta de propietario de la VPC compartida. GuardDuty añade una GuardDutyManaged etiqueta y la establece true para el punto de enlace de Amazon VPC que GuardDuty crea. Si la cuenta de propietario de Amazon VPC compartida no ha habilitado la monitorización del tiempo de ejecución o la configuración automática de agentes para ninguno de los recursos, no GuardDuty establecerá la política de puntos de conexión de Amazon VPC. Para obtener información sobre cómo configurar la Supervisión en tiempo de ejecución y administrar el agente de seguridad automáticamente en la cuenta de propietario de la VPC compartida, consulte Habilitación GuardDuty de la supervisión del tiempo.
Cada una de las cuentas que utilizan la misma política de puntos de conexión de Amazon VPC se denomina AWS cuenta participante de la Amazon VPC compartida asociada.
El siguiente ejemplo muestra la política de punto de conexión de VPC predeterminada de la cuenta de propietario de la VPC compartida y la cuenta participante. aws:PrincipalOrgID mostrará el ID de la organización asociado al recurso de la VPC compartida. El uso de esta política se limita a las cuentas participantes presentes en la organización de la cuenta de propietario.
{
"Version": "2012-10-17",
"Statement": [{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgID": "o-abcdef0123"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}Requisitos previos para utilizar una VPC compartida
Runtime Monitoring admite el uso de una VPC compartida cuando se usa un agente GuardDuty automatizado. Como parte de la configuración inicial, lleve a cabo los siguientes pasos en la Cuenta de AWS que desee que sea el propietario de la VPC compartida:
-
Crear una organización: para crear una organización, siga los pasos que se indican en Crear y administrar una organización en la Guía del usuario de AWS Organizations .
Para obtener información sobre cómo añadir o eliminar cuentas de miembros, consulte Administrar Cuentas de AWS en su organización.
-
Crear un recurso de VPC compartida: puede crear un recurso de VPC compartida desde la cuenta de propietario. Para obtener más información, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon VPC.
Requisitos previos específicos de la supervisión del GuardDuty tiempo de ejecución
La siguiente lista proporciona los requisitos previos específicos de: GuardDuty
-
La cuenta de propietario de la VPC compartida y la cuenta participante pueden ser de diferentes organizaciones en. GuardDuty Sin embargo, deben pertenecer a la misma organización en AWS Organizations. Esto es necesario GuardDuty para crear un punto de enlace de Amazon VPC y un grupo de seguridad para la VPC compartida. Para obtener información sobre cómo VPCs funcionan las cuentas compartidas, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon VPC.
-
Habilite Runtime Monitoring o EKS Runtime Monitoring y GuardDuty automatice la configuración de agentes para cualquier recurso de la cuenta de propietario de la VPC compartida y de la cuenta de participante. Para obtener más información, consulte Habilitación de la supervisión en tiempo de ejecución.
Si ya ha completado estas configuraciones, continúe con el siguiente paso.
-
Cuando trabaje con una tarea de Amazon EKS o una de Amazon ECS (AWS Fargate únicamente), asegúrese de elegir el recurso de VPC compartido asociado a la cuenta del propietario y de seleccionar sus subredes.
