Utilisation d'un VPC partagé avec des agents de sécurité automatisés - Amazon GuardDuty
Comment ça marchePrérequis

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un VPC partagé avec des agents de sécurité automatisés

Lorsque vous choisissez GuardDuty de gérer automatiquement l'agent de sécurité, Runtime Monitoring prend en charge l'utilisation d'un VPC partagé pour Comptes AWS les personnes appartenant à la même organisation dans. AWS Organizations En votre nom, GuardDuty vous pouvez définir la politique relative aux points de terminaison Amazon VPC en fonction des détails associés au VPC partagé pour votre organisation.

Comment ça marche

Lorsque le compte propriétaire du VPC partagé active la surveillance du temps d'exécution et la configuration automatisée des agents pour l'une des ressources (Amazon EKS ou ( AWS Fargate Amazon ECS uniquement)), toutes les ressources partagées VPCs peuvent bénéficier de l'installation automatique du point de terminaison Amazon VPC partagé et du groupe de sécurité associé dans le compte propriétaire du VPC partagé. GuardDuty récupère l'ID d'organisation associé à l'Amazon VPC partagé.

Désormais, ceux Comptes AWS qui appartiennent à la même organisation que le compte propriétaire Amazon VPC partagé peuvent également partager le même point de terminaison Amazon VPC. GuardDuty crée un point de terminaison Amazon VPC lorsque le compte propriétaire du VPC partagé ou le compte participant en a besoin. Parmi les exemples de besoin d'un point de terminaison Amazon VPC, citons l'activation GuardDuty, la surveillance du temps d'exécution, la surveillance du temps d'exécution EKS ou le lancement d'une nouvelle tâche Amazon ECS-Fargate. Lorsque ces comptes activent la surveillance du temps d'exécution et la configuration automatique des agents pour n'importe quel type de ressource, ils GuardDuty créent un point de terminaison Amazon VPC et définissent la politique du point de terminaison avec le même identifiant d'organisation que celui du compte propriétaire du VPC partagé. GuardDuty ajoute une GuardDutyManaged balise et lui attribue la valeur true pour le point de terminaison Amazon VPC qui GuardDuty le crée. Si le compte propriétaire Amazon VPC partagé n'a pas activé la surveillance du temps d'exécution ou la configuration automatique des agents pour aucune des ressources, il ne GuardDuty définira pas la politique relative aux points de terminaison Amazon VPC. Pour plus d'informations sur la configuration de la surveillance du temps d'exécution et la gestion automatique de l'agent de sécurité dans le compte propriétaire du VPC partagé, consultez. Activer la surveillance du GuardDuty temps d'exécution

Chacun des comptes utilisant la même politique de point de terminaison Amazon VPC est appelé AWS compte participant du Amazon VPC partagé associé.

L'exemple suivant montre la politique de point de terminaison VPC par défaut du compte propriétaire du VPC partagé et du compte participant. Le aws:PrincipalOrgID affichera l'ID d'organisation associé à la ressource VPC partagée. L'utilisation de cette politique est limitée aux comptes de participants présents dans l'organisation du compte propriétaire.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
Afficher plusAfficher moins

Conditions préalables à l'utilisation d'un VPC partagé

Runtime Monitoring prend en charge l'utilisation d'un VPC partagé lorsque vous utilisez un agent GuardDuty automatisé. Dans le cadre de la configuration initiale, effectuez les Compte AWS étapes suivantes si vous souhaitez devenir propriétaire du VPC partagé :

  1. Création d'une organisation : créez une organisation en suivant les étapes décrites dans la section Création et gestion d'une organisation du Guide de AWS Organizations l'utilisateur.

    Pour plus d'informations sur l'ajout ou la suppression de comptes de membres, consultez la section Gestion Comptes AWS au sein de votre organisation.

  2. Création d'une ressource VPC partagée — Vous pouvez créer une ressource VPC partagée à partir du compte du propriétaire. Pour plus d'informations, consultez Partager votre VPC avec d'autres comptes dans le Guide de l'utilisateur Amazon VPC.

Prérequis spécifiques à la surveillance du temps d' GuardDuty exécution

La liste suivante fournit les prérequis spécifiques à GuardDuty :

  • Le compte propriétaire du VPC partagé et le compte participant peuvent provenir de différentes organisations de. GuardDuty Cependant, ils doivent appartenir à la même organisation que AWS Organizations. Cela est nécessaire pour GuardDuty créer un point de terminaison Amazon VPC et un groupe de sécurité pour le VPC partagé. Pour plus d'informations sur le VPCs fonctionnement partagé, consultez Partager votre VPC avec d'autres comptes dans le guide de l'utilisateur Amazon VPC.

  • Activez la surveillance du temps d'exécution ou la surveillance du temps d'exécution EKS, ainsi que la configuration GuardDuty automatique des agents pour toutes les ressources du compte propriétaire du VPC partagé et du compte participant. Pour de plus amples informations, veuillez consulter Activer la surveillance du temps d'exécution.

    Si vous avez déjà effectué ces configurations, passez à l'étape suivante.

  • Lorsque vous travaillez avec une tâche Amazon EKS ou Amazon ECS (AWS Fargate uniquement), assurez-vous de choisir la ressource VPC partagée associée au compte propriétaire et de sélectionner ses sous-réseaux.