使用VPC与自动安全代理共享

当您选择 GuardDuty 自动管理安全代理时，Runtime Monitorin VPC g 支持在中 AWS 账户 属于同一组织的共享客户端 AWS Organizations。 GuardDuty 可以代表您根据与您的组织共享VPC内容相关的详细信息设置 Amazon VPC 终端节点政策。

在此版本之前，VPCs仅当您选择手动管理 GuardDuty 安全客户端时，才 GuardDuty 支持使用共享。

工作方式

当共享的所有者账户为任何资源（Amazon EKS 或 AWS Fargate （ECS仅限 Amazon））VPC启用运行时监控和自动代理配置时，所有共享资源都有VPCs资格在共享所有VPC者账户中自动安装共享的亚马逊VPC终端节点和关联的安全组。 GuardDuty 检索与共享的 Amazon VPC 关联的组织 ID。

现在，与共享的亚马逊VPC所有者账户属于同一组织的用户也可以共享相同的亚马逊VPC终端节点。 AWS 账户 GuardDuty VPC当共享VPC所有者账户或参与账户需要 Amazon VPC 终端节点时创建共享。需要亚马逊VPC终端节点的示例包括启用 GuardDuty、运行时监控、EKS运行时监控或启动新的 Amazon ECS-Fargate 任务。当这些账户为任何资源类型启用运行时监控和自动代理配置时， GuardDuty 会创建一个 Amazon VPC 终端节点，并使用与共享VPC所有者账户相同的组织 ID 设置终端节点策略。 GuardDuty 为 GuardDuty 创建的 Amazon VPC 终端节点添加GuardDutyManaged标签并将其设置为。true如果共享的 Amazon VPC 所有者账户尚未为任何资源启用运行时监控或自动代理配置，则 GuardDuty 不会设置亚马逊VPC终端节点策略。有关在共享VPC所有者帐户中配置运行时监控和自动管理安全代理的信息，请参阅启用 GuardDuty 运行时监控。

使用相同亚马逊VPC终端节点策略的每个账户都被称为关联共享亚马逊的参与者 AWS 账户VPC。

以下示例显示了共享VPC所有者账户和参与者账户的默认VPC终端节点策略。aws:PrincipalOrgID将显示与共享VPC资源关联的组织 ID。本政策仅限于所有者账户组织中存在的参与者账户。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}