自動セキュリティエージェントで共有 VPC を使用する - Amazon GuardDuty
仕組み前提条件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

自動セキュリティエージェントで共有 VPC を使用する

GuardDuty を選択してセキュリティエージェントを自動的に管理する場合、Runtime Monitoring は 内の同じ組織 AWS アカウント に属する の共有 VPC の使用をサポートします AWS Organizations。GuardDuty はユーザーに代わって、組織の共有 VPC に関連付けられた詳細に基づいて Amazon VPC エンドポイントポリシーを設定できます。

仕組み

共有 VPC の所有者アカウントが、いずれかのリソース (Amazon EKS または AWS Fargate (Amazon ECS のみ)) の Runtime Monitoring と自動エージェント設定を有効にすると、すべての共有 VPCs は、共有 VPC 所有者アカウント内の共有 Amazon VPC エンドポイントおよび関連するセキュリティグループの自動インストールの対象となります。GuardDuty は、共有 Amazon VPC に関連付けられている組織 ID を取得します。

これで、共有 Amazon VPC 所有者アカウントと同じ組織 AWS アカウント に属する も、同じ Amazon VPC エンドポイントを共有できるようになりました。GuardDuty は、共有 VPC 所有者アカウントまたは参加アカウントが Amazon VPC エンドポイントを必要とするときに Amazon VPC エンドポイントを作成します。Amazon VPC エンドポイントを必要とする例には、GuardDuty、Runtime Monitoring および EKS Runtime Monitoring の有効化、新しい Amazon ECS-Fargate タスクの起動などがあります。これらのアカウントが任意のリソースタイプの Runtime Monitoring と自動エージェント設定を有効にすると、GuardDuty は Amazon VPC エンドポイントを作成し、共有 VPC 所有者アカウントと同じ組織 ID でエンドポイントポリシーを設定します。GuardDuty は、GuardDuty が作成する Amazon VPC エンドポイントに GuardDutyManaged タグを追加し、その値を true に設定します。共有 Amazon VPC 所有者アカウントがいずれかのリソースの Runtime Monitoring または自動エージェント設定を有効にしていない場合、GuardDuty は Amazon VPC エンドポイントポリシーを設定しません。Runtime Monitoring の設定と、共有 VPC 所有者アカウントでのセキュリティエージェントの自動管理については、「GuardDuty Runtime Monitoring の有効化」を参照してください。

同じ Amazon VPC エンドポイントポリシーを使用する各アカウントは、関連付けられた共有 Amazon VPC の参加者 AWS アカウントとして呼び出されます。

次の例は、共有 VPC 所有者アカウントと参加者アカウントのデフォルトの VPC エンドポイントポリシーを示しています。aws:PrincipalOrgID は、共有 VPC リソースに関連付けられた組織 ID を表示します。このポリシーの使用は、所有者アカウントの組織に存在する参加者アカウントに限定されます。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
表示を増やす表示を減らす

共有 VPC を使用するための前提条件

Runtime Monitoring は、GuardDuty 自動エージェントを使用する場合の共有 VPC の使用をサポートしています。初期設定の一環として、共有 VPC の所有者 AWS アカウント にする で次の手順を実行します。

  1. 組織の作成 –「AWS Organizations ユーザーガイド」の「Creating and managing an organization」のステップに従って組織を作成します。

    メンバーアカウントの追加または削除については、「組織 AWS アカウント での の管理」を参照してください。

  2. 共有 VPC リソースの作成 – 所有者アカウントから共有 VPC リソースを作成できます。詳細については、「Amazon VPC ユーザーガイド」の「VPC を他のアカウントと共有する」を参照してください。

GuardDuty Runtime Monitoring に固有の前提条件

次のリストは、GuardDuty に固有の前提条件を示しています。

  • 共有 VPC の所有者アカウントと参加アカウントは、GuardDuty の異なる組織に所属することができます。ただし、 AWS Organizations内の同じ組織に属している必要があります。これは、GuardDuty が Amazon VPC エンドポイントと共有 VPC のセキュリティグループを作成する場合に必須です。共有 VPC の仕組みについては、「Amazon VPC ユーザーガイド」の「VPC を他のアカウントと共有する」を参照してください。

  • 共有 VPC 所有者アカウントと参加者アカウントのリソースに対して、Runtime Monitoring または EKS Runtime Monitoring、および GuardDuty 自動エージェント設定を有効にします。詳細については、「Runtime Monitoring の有効化」を参照してください。

    これらの設定を既に完了している場合は、次のステップに進みます。

  • Amazon EKS または Amazon ECS (AWS Fargate のみ) タスクを使用する場合は、所有者アカウントに関連付けられた共有 VPC リソースを選択し、そのサブネットを選択します。