选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

将共享 VPC 与自动安全代理结合使用

聚焦模式
将共享 VPC 与自动安全代理结合使用 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

当您选择 GuardDuty 自动管理安全代理时,运行时监控支持在中 AWS 账户 属于同一组织的共享 VPC AWS Organizations。 GuardDuty 可以根据与贵组织共享 VPC 相关的详细信息代表您设置 Amazon VPC 终端节点策略。

工作方式

当共享 VPC 的所有者账户为任何资源(Amazon EKS 或 AWS Fargate (仅限 Amazon ECS))启用运行时监控和自动代理配置时,所有共享资源都有 VPCs 资格在共享 VPC 所有者账户中自动安装共享 Amazon VPC 终端节点和关联安全组。 GuardDuty 检索与共享 Amazon VPC 关联的组织 ID。

现在,与共享的 AWS 账户 Amazon VPC 所有者账户属于同一组织的用户也可以共享相同的 Amazon VPC 终端节点。 GuardDuty 在共享 VPC 所有者账户或参与账户需要时创建 Amazon VPC 终端节点。需要 Amazon VPC 终端节点的示例包括启用 GuardDuty、运行时监控、EKS 运行时监控或启动新的 Amazon ECS-Fargate 任务。当这些账户为任何资源类型启用运行时监控和自动代理配置时,将 GuardDuty 创建一个 Amazon VPC 终端节点,并使用与共享 VPC 所有者账户相同的组织 ID 设置终端节点策略。 GuardDuty 为 GuardDuty 创建的 Amazon VPC 终端节点添加GuardDutyManaged标签并将其设置为。true如果共享的 Amazon VPC 所有者账户尚未为任何资源启用运行时监控或自动代理配置,则 GuardDuty 不会设置 Amazon VPC 终端节点策略。有关在共享 VPC 所有者账户中配置运行时监控和自动管理安全代理的信息,请参阅启用 GuardDuty 运行时监控

使用相同 Amazon VPC 终端节点策略的每个 AWS 账户都被称为关联的共享 Amazon VPC 的参与者账户

以下示例展示了共享 VPC 所有者账户和参与者账户的默认 VPC 端点策略。aws:PrincipalOrgID 将显示与共享 VPC 资源关联的组织 ID。此策略的使用范围仅限于所有者账户的组织中存在的参与者账户。

{ "Version": "2012-10-17", "Statement": [{ "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-abcdef0123" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

使用共享 VPC 的先决条件

当您使用 GuardDuty 自动代理时,运行时监控支持使用共享 VPC。作为初始设置的一部分,请执行您想要成为共享 VPC 所有者的以下步骤: AWS 账户

  1. 创建组织:按照《AWS Organizations 用户指南》中 Creating and managing an organization 部分所述步骤创建一个组织。

    有关添加或删除成员账户的信息,请参阅在组织 AWS 账户 中管理

  2. 创建共享 VPC 资源:您可以从所有者账户中创建共享 VPC 资源。有关更多信息,请参阅《Amazon VPC 用户指南》中的 与其他账户共享 VPC

特定于 GuardDuty 运行时监控的先决条件

以下列表提供了特定于以下各项的先决条件 GuardDuty:

  • 共享 VPC 的所有者账户和参与账户可以来自中的不同组织 GuardDuty。但必须属于 AWS Organizations中的同一组织。这是为 GuardDuty 共享 VPC 创建 Amazon VPC 终端节点和安全组所必需的。有关共享 VPCs 工作方式的信息,请参阅 Amazon VPC 用户指南中的与其他账户共享您的 VPC

  • 为共享 VPC 所有者账户和参与者账户中的任何资源启用运行时监控或 EKS 运行时监控,并 GuardDuty 自动配置代理。有关更多信息,请参阅 启用运行时监控

    如果您已完成这些配置,请继续下一步操作。

  • 在处理 Amazon EKS 或 Amazon ECS(AWS Fargate 仅限)任务时,请务必选择与所有者账户关联的共享 VPC 资源并选择其子网。

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。