本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将共享 VPC 与自动安全代理结合使用
当您选择 GuardDuty 自动管理安全代理时,运行时监控支持在中 AWS 账户 属于同一组织的共享 VPC AWS Organizations。 GuardDuty 可以根据与贵组织共享 VPC 相关的详细信息代表您设置 Amazon VPC 终端节点策略。
工作方式
当共享 VPC 的所有者账户为任何资源(Amazon EKS 或 AWS Fargate (仅限 Amazon ECS))启用运行时监控和自动代理配置时,所有共享资源都有 VPCs 资格在共享 VPC 所有者账户中自动安装共享 Amazon VPC 终端节点和关联安全组。 GuardDuty 检索与共享 Amazon VPC 关联的组织 ID。
现在,与共享的 AWS 账户 Amazon VPC 所有者账户属于同一组织的用户也可以共享相同的 Amazon VPC 终端节点。 GuardDuty 在共享 VPC 所有者账户或参与账户需要时创建 Amazon VPC 终端节点。需要 Amazon VPC 终端节点的示例包括启用 GuardDuty、运行时监控、EKS 运行时监控或启动新的 Amazon ECS-Fargate 任务。当这些账户为任何资源类型启用运行时监控和自动代理配置时,将 GuardDuty 创建一个 Amazon VPC 终端节点,并使用与共享 VPC 所有者账户相同的组织 ID 设置终端节点策略。 GuardDuty 为 GuardDuty 创建的 Amazon VPC 终端节点添加GuardDutyManaged标签并将其设置为。true如果共享的 Amazon VPC 所有者账户尚未为任何资源启用运行时监控或自动代理配置,则 GuardDuty 不会设置 Amazon VPC 终端节点策略。有关在共享 VPC 所有者账户中配置运行时监控和自动管理安全代理的信息,请参阅启用 GuardDuty 运行时监控。
使用相同 Amazon VPC 终端节点策略的每个 AWS 账户都被称为关联的共享 Amazon VPC 的参与者账户。
以下示例展示了共享 VPC 所有者账户和参与者账户的默认 VPC 端点策略。aws:PrincipalOrgID 将显示与共享 VPC 资源关联的组织 ID。此策略的使用范围仅限于所有者账户的组织中存在的参与者账户。
{ "Version": "2012-10-17", "Statement": [{ "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-abcdef0123" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }
使用共享 VPC 的先决条件
当您使用 GuardDuty 自动代理时,运行时监控支持使用共享 VPC。作为初始设置的一部分,请执行您想要成为共享 VPC 所有者的以下步骤: AWS 账户
-
创建组织:按照《AWS Organizations 用户指南》中 Creating and managing an organization 部分所述步骤创建一个组织。
有关添加或删除成员账户的信息,请参阅在组织 AWS 账户 中管理。
-
创建共享 VPC 资源:您可以从所有者账户中创建共享 VPC 资源。有关更多信息,请参阅《Amazon VPC 用户指南》中的 与其他账户共享 VPC。
特定于 GuardDuty 运行时监控的先决条件
以下列表提供了特定于以下各项的先决条件 GuardDuty:
-
共享 VPC 的所有者账户和参与账户可以来自中的不同组织 GuardDuty。但必须属于 AWS Organizations中的同一组织。这是为 GuardDuty 共享 VPC 创建 Amazon VPC 终端节点和安全组所必需的。有关共享 VPCs 工作方式的信息,请参阅 Amazon VPC 用户指南中的与其他账户共享您的 VPC。
-
为共享 VPC 所有者账户和参与者账户中的任何资源启用运行时监控或 EKS 运行时监控,并 GuardDuty 自动配置代理。有关更多信息,请参阅 启用运行时监控。
如果您已完成这些配置,请继续下一步操作。
-
在处理 Amazon EKS 或 Amazon ECS(AWS Fargate 仅限)任务时,请务必选择与所有者账户关联的共享 VPC 资源并选择其子网。
