Uso compartilhado VPC com agentes de segurança automatizados

Quando você escolhe GuardDuty gerenciar o agente de segurança automaticamente, o Runtime Monitoring suporta o uso de um compartilhado VPC para aqueles Contas da AWS que pertencem à mesma organização em AWS Organizations. Em seu nome, GuardDuty pode definir a política de VPC endpoint da Amazon com base nos detalhes associados ao compartilhado VPC para sua organização.

Antes desta versão, GuardDuty suportava o uso do compartilhado VPCs somente quando você optava por gerenciar o agente GuardDuty de segurança manualmente.

Conteúdo

Como funcionam

Quando a conta do proprietário do compartilhado VPC ativa o Runtime Monitoring e a configuração automática do agente para qualquer um dos recursos (Amazon EKS ou AWS Fargate (ECSsomente Amazon)), todos os compartilhados VPCs se tornam elegíveis para a instalação automática do VPC endpoint compartilhado da Amazon e do grupo de segurança associado na conta compartilhada do VPC proprietário. GuardDuty recupera o ID da organização que está associado à Amazon VPC compartilhada.

Agora, aqueles Contas da AWS que pertencem à mesma organização da conta compartilhada do VPC proprietário da Amazon também podem compartilhar o mesmo VPC endpoint da Amazon. GuardDuty cria o compartilhado VPC quando a conta compartilhada do VPC proprietário ou a conta participante precisam de um VPC endpoint da Amazon. Exemplos de necessidade de um VPC endpoint da Amazon incluem a ativação GuardDuty, o monitoramento do tempo de execução, o monitoramento do EKS tempo de execução ou o lançamento de uma nova tarefa do Amazon ECS -Fargate. Quando essas contas habilitam o Runtime Monitoring e a configuração automática de agentes para qualquer tipo de recurso, GuardDuty cria um VPC endpoint da Amazon e define a política de endpoint com o mesmo ID de organização da conta compartilhada do VPC proprietário. GuardDuty adiciona uma GuardDutyManaged tag e a define true para o VPC endpoint da Amazon que GuardDuty cria. Se a conta compartilhada do VPC proprietário da Amazon não tiver ativado o Runtime Monitoring ou a configuração automatizada do agente para nenhum dos recursos, não GuardDuty definirá a política de VPC endpoint da Amazon. Para obter informações sobre como configurar o Runtime Monitoring e gerenciar o agente de segurança automaticamente na conta compartilhada VPC do proprietário, consulteHabilitando o GuardDuty monitoramento de tempo.

Cada uma das contas que usam a mesma política de VPC endpoint da Amazon é chamada de AWS conta participante da Amazon VPC compartilhada associada.

O exemplo a seguir mostra a política de VPC endpoint padrão da conta compartilhada do VPC proprietário e da conta do participante. aws:PrincipalOrgIDMostrará o ID da organização associado ao VPC recurso compartilhado. O uso desta política é limitado às contas de participantes presentes na organização da conta do proprietário.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Mostrar mais

Mostrar menos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configuração CPU e monitoramento de memória

Pré-requisitos