Utilizzo di VPC condiviso con agenti di sicurezza automatizzati

Quando si sceglie GuardDuty di gestire automaticamente il security agent, Runtime Monitoring supporta l'utilizzo di un VPC condiviso per Account AWS coloro che appartengono alla stessa organizzazione. AWS Organizations Per tuo conto, GuardDuty puoi impostare la policy degli endpoint Amazon VPC in base ai dettagli associati al VPC condiviso per la tua organizzazione.

Indice

Come funziona
Prerequisiti per l'utilizzo di un VPC condiviso

Come funziona

Quando l'account proprietario del VPC condiviso abilita il monitoraggio del runtime e la configurazione automatica degli agenti per una qualsiasi delle risorse (Amazon EKS o (solo AWS Fargate Amazon ECS)), tutte le risorse condivise VPCs diventano idonee per l'installazione automatica dell'endpoint Amazon VPC condiviso e del gruppo di sicurezza associato nell'account proprietario del VPC condiviso. GuardDuty recupera l'ID dell'organizzazione associato all'Amazon VPC condiviso.

Ora, le Account AWS persone che appartengono alla stessa organizzazione dell'account proprietario Amazon VPC condiviso possono condividere anche lo stesso endpoint Amazon VPC. GuardDuty crea un endpoint Amazon VPC quando l'account proprietario del VPC condiviso o l'account partecipante ne hanno bisogno. Esempi di necessità di un endpoint Amazon VPC includono l' GuardDutyabilitazione, il monitoraggio del runtime, il monitoraggio del runtime EKS o il lancio di una nuova attività Amazon ECS-Fargate. Quando questi account abilitano il Runtime Monitoring e la configurazione automatizzata degli agenti per qualsiasi tipo di risorsa, GuardDuty creano un endpoint Amazon VPC e impostano la policy dell'endpoint con lo stesso ID dell'organizzazione dell'account proprietario del VPC condiviso. GuardDuty aggiunge un GuardDutyManaged tag e lo imposta true per l'endpoint Amazon VPC che lo crea. GuardDuty Se l'account proprietario di Amazon VPC condiviso non ha abilitato il monitoraggio del runtime o la configurazione automatica degli agenti per nessuna delle risorse, non GuardDuty imposterà la policy degli endpoint di Amazon VPC. Per informazioni sulla configurazione del Runtime Monitoring e sulla gestione automatica del security agent nell'account proprietario del VPC condiviso, consulta. Abilitazione del monitoraggio del GuardDuty runtime

Ciascuno degli account che utilizzano la stessa policy per gli endpoint di Amazon VPC viene chiamato AWS account partecipante dell'Amazon VPC condiviso associato.

L'esempio seguente mostra la politica degli endpoint VPC predefinita dell'account proprietario del VPC condiviso e dell'account partecipante. aws:PrincipalOrgIDMostrerà l'ID dell'organizzazione associato alla risorsa VPC condivisa. L'uso di questa politica è limitato agli account dei partecipanti presenti nell'organizzazione dell'account del proprietario.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Mostra più

Mostra meno

Prerequisiti per l'utilizzo di un VPC condiviso

Il Runtime Monitoring supporta l'utilizzo di un VPC condiviso quando si utilizza un agente GuardDuty automatizzato. Come parte della configurazione iniziale, esegui i seguenti passaggi se desideri diventare il proprietario del VPC condiviso: Account AWS

Creazione di un'organizzazione: crea un'organizzazione seguendo i passaggi descritti in Creazione e gestione di un'organizzazione nella Guida per l'AWS Organizations utente.

Per informazioni sull'aggiunta o la rimozione degli account dei membri, consulta Gestione Account AWS nell'organizzazione.
Creazione di una risorsa VPC condivisa: puoi creare una risorsa VPC condivisa dall'account del proprietario. Per ulteriori informazioni, consulta Condivisione del VPC con altri account nella Guida per l'utente di Amazon VPC.

Prerequisiti specifici per il monitoraggio del runtime GuardDuty

L'elenco seguente fornisce i prerequisiti specifici per: GuardDuty

L'account proprietario del VPC condiviso e l'account partecipante possono appartenere a organizzazioni diverse in. GuardDuty Tuttavia, devono appartenere alla stessa organizzazione in AWS Organizations. Ciò è necessario per GuardDuty creare un endpoint Amazon VPC e un gruppo di sicurezza per il VPC condiviso. Per informazioni su come VPCs funziona la condivisione, consulta Condividi il tuo VPC con altri account nella Amazon VPC User Guide.
Abilita Runtime Monitoring o EKS Runtime Monitoring e la configurazione GuardDuty automatica degli agenti per qualsiasi risorsa nell'account proprietario del VPC condiviso e nell'account partecipante. Per ulteriori informazioni, consulta Abilitazione del monitoraggio del runtime.

Se hai già completato queste configurazioni, continua con il passaggio successivo.
Quando lavori con un'attività Amazon EKS o Amazon ECS (AWS Fargate solo), assicurati di scegliere la risorsa VPC condivisa associata all'account del proprietario e di selezionarne le sottoreti.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione del monitoraggio della CPU e della memoria

Utilizzo di IaC con agenti automatizzati