Utilizzo condiviso VPC con agenti di sicurezza automatizzati

Quando si sceglie GuardDuty di gestire automaticamente il security agent, Runtime Monitoring supporta l'utilizzo VPC di un nome condiviso Account AWS che appartiene alla stessa organizzazione AWS Organizations. Per tuo conto, GuardDuty puoi impostare la policy degli VPC endpoint di Amazon in base ai dettagli associati alla condivisione VPC per la tua organizzazione.

Prima di questa versione, GuardDuty supportava l'uso di shared VPCs solo quando sceglievi di gestire il GuardDuty security agent manualmente.

Indice

Come funziona

Quando l'account proprietario dell'account condiviso VPC abilita il monitoraggio del runtime e la configurazione automatica dell'agente per una qualsiasi delle risorse (Amazon EKS o AWS Fargate (ECSsolo Amazon)), tutte le risorse condivise VPCs diventano idonee per l'installazione automatica dell'VPCendpoint Amazon condiviso e del gruppo di sicurezza associato nell'account VPC proprietario condiviso. GuardDuty recupera l'ID dell'organizzazione associato all'Amazon VPC condiviso.

Ora, le Account AWS persone che appartengono alla stessa organizzazione dell'account VPC proprietario Amazon condiviso possono condividere anche lo stesso VPC endpoint Amazon. GuardDuty crea il file condiviso VPC quando l'account VPC proprietario condiviso o l'account partecipante necessita di un VPC endpoint Amazon. Esempi di necessità di un VPC endpoint Amazon includono l'abilitazione GuardDuty, il monitoraggio del runtime, il monitoraggio del EKS runtime o l'avvio di una nuova attività Amazon ECS -Fargate. Quando questi account abilitano il Runtime Monitoring e la configurazione automatizzata degli agenti per qualsiasi tipo di risorsa, GuardDuty crea un VPC endpoint Amazon e imposta la policy dell'endpoint con lo stesso ID dell'organizzazione dell'account VPC proprietario condiviso. GuardDuty aggiunge un GuardDutyManaged tag e lo imposta true per l'VPCendpoint Amazon che lo GuardDuty crea. Se l'account VPC proprietario Amazon condiviso non ha abilitato il Runtime Monitoring o la configurazione automatica degli agenti per nessuna delle risorse, non GuardDuty imposterà la policy degli VPC endpoint di Amazon. Per informazioni sulla configurazione del Runtime Monitoring e sulla gestione automatica del security agent nell'account VPC proprietario condiviso, consulta. Attivazione GuardDuty del monitoraggio del runtime

Ciascuno degli account che utilizzano la stessa politica VPC degli endpoint di Amazon viene chiamato AWS account partecipante dell'Amazon condiviso associato. VPC

L'esempio seguente mostra la policy VPC endpoint predefinita dell'account VPC proprietario condiviso e dell'account partecipante. aws:PrincipalOrgIDMostrerà l'ID dell'organizzazione associato alla risorsa VPC condivisa. L'uso di questa politica è limitato agli account dei partecipanti presenti nell'organizzazione dell'account del proprietario.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Mostra più

Mostra meno

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione CPU e monitoraggio della memoria

Prerequisiti