Como usar a VPC compartilhada com agentes de segurança automatizados - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar a VPC compartilhada com agentes de segurança automatizados

Quando você escolhe GuardDuty gerenciar o agente de segurança automaticamente, o Runtime Monitoring oferece suporte ao uso de uma VPC compartilhada para Contas da AWS aqueles que pertencem à mesma organização em. AWS Organizations Em seu nome, GuardDuty você pode definir a política de endpoint da Amazon VPC com base nos detalhes associados à VPC compartilhada da sua organização.

Como funcionam

Quando a conta do proprietário da VPC compartilhada ativa o Runtime Monitoring e a configuração automática do agente para qualquer um dos recursos (Amazon EKS ou (somente AWS Fargate Amazon ECS)), todos os compartilhados VPCs se tornam elegíveis para a instalação automática do endpoint compartilhado da Amazon VPC e do grupo de segurança associado na conta de proprietário da VPC compartilhada. GuardDuty recupera o ID da organização que está associado à Amazon VPC compartilhada.

Agora, aqueles Contas da AWS que pertencem à mesma organização da conta compartilhada do proprietário da Amazon VPC também podem compartilhar o mesmo endpoint da Amazon VPC. GuardDuty cria um endpoint da Amazon VPC quando a conta compartilhada do proprietário da VPC ou a conta participante precisam dela. Exemplos de necessidade de um endpoint do Amazon VPC incluem GuardDuty habilitar o Runtime Monitoring, o EKS Runtime Monitoring ou o lançamento de uma nova tarefa do Amazon ECS-Fargate. Quando essas contas habilitam o Runtime Monitoring e a configuração automática de agentes para qualquer tipo de recurso, GuardDuty cria um endpoint da Amazon VPC e define a política de endpoint com o mesmo ID de organização da conta compartilhada do proprietário da VPC. GuardDuty adiciona uma GuardDutyManaged tag e a define true para o endpoint da Amazon VPC que cria. GuardDuty Se a conta compartilhada do proprietário da Amazon VPC não tiver habilitado o Runtime Monitoring ou a configuração automatizada do agente para nenhum dos recursos, não GuardDuty definirá a política de endpoint da Amazon VPC. Para obter informações sobre como configurar o Monitoramento de runtime e gerenciar automaticamente o agente de segurança na conta compartilhada do proprietário da VPC, consulte Habilitando o GuardDuty monitoramento de tempo.

Cada uma das contas que usam a mesma política de endpoint da Amazon VPC é chamada de AWS conta participante da Amazon VPC compartilhada associada.

O exemplo a seguir mostra a política padrão de endpoint da VPC da conta compartilhada do proprietário da VPC e da conta do participante. aws:PrincipalOrgID mostrará a ID da organização associada ao recurso VPC compartilhado. O uso desta política é limitado às contas de participantes presentes na organização da conta do proprietário.

{ "Version": "2012-10-17", "Statement": [{ "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-abcdef0123" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

Pré-requisitos para usar a VPC compartilhada

O Runtime Monitoring oferece suporte ao uso de uma VPC compartilhada quando você usa um agente GuardDuty automatizado. Como parte de uma configuração inicial, execute as seguintes etapas na Conta da AWS qual você deseja ser o proprietário da VPC compartilhada:

  1. Criando uma organização: crie uma organização, seguindo as etapas em Criando e gerenciando uma organização no AWS Organizations Guia do usuário.

    Para obter informações sobre como adicionar ou remover contas de membros, consulte Gerenciamento Contas da AWS na sua organização.

  2. Criando um recurso de VPC compartilhado — Você pode criar um recurso de VPC compartilhado a partir da conta do proprietário. Para obter informações, consulte Compartilhar sua VPC com outras contas no Guia do usuário da Amazon VPC.

Pré-requisitos específicos para o monitoramento de tempo de execução GuardDuty

A lista a seguir fornece os pré-requisitos específicos para: GuardDuty

  • A conta do proprietário da VPC compartilhada e a conta participante podem ser de diferentes organizações em. GuardDuty Contudo, elas devem pertencer à mesma organização em AWS Organizations. Isso é necessário GuardDuty para criar um endpoint da Amazon VPC e um grupo de segurança para a VPC compartilhada. Para obter informações sobre como o VPCs trabalho compartilhado, consulte Compartilhe sua VPC com outras contas no Guia do usuário da Amazon VPC.

  • Ative o Runtime Monitoring ou o EKS Runtime Monitoring e a configuração GuardDuty automatizada do agente para qualquer recurso na conta compartilhada do proprietário da VPC e na conta do participante. Para obter mais informações, consulte Como habilitar o monitoramento de runtime.

    Se você já concluiu essas configurações, prossiga para a próxima etapa.

  • Ao trabalhar com uma tarefa do Amazon EKS ou do Amazon ECS (AWS Fargate somente), certifique-se de escolher o recurso VPC compartilhado associado à conta do proprietário e selecionar suas sub-redes.