使用VPC與自動安全代理程式共用

當您選擇自動 GuardDuty 管理安全代理程式時，執行期監控支援VPC使用 AWS 帳戶 屬於 中相同組織的 共用 AWS Organizations。可以代表您，根據與VPC組織共用 相關聯的詳細資訊來 GuardDuty 設定 Amazon VPC端點政策。

在此版本之前， VPCs 僅在您選擇手動管理 GuardDuty 安全代理程式時 GuardDuty 支援使用共用。

運作方式

當共用的擁有者帳戶VPC啟用任何資源 （Amazon EKS或 AWS Fargate （ECS僅限 Amazon）） 的執行期監控和自動代理程式組態時，所有共用的 VPCs 都有資格自動安裝共用VPC擁有者帳戶中的共用 Amazon VPC端點和相關聯的安全群組。 會 GuardDuty 擷取與共用 Amazon 相關聯的組織 IDVPC。

現在， AWS 帳戶 與共用 Amazon VPC擁有者帳戶屬於相同組織的 也可以共用相同的 Amazon VPC端點。當共用VPC擁有者帳戶或參與帳戶需要 Amazon VPC端點VPC時， 會 GuardDuty 建立共用的 。需要 Amazon VPC端點的範例包括啟用 GuardDuty、執行期監控、EKS執行期監控或啟動新的 Amazon ECS目標任務。當這些帳戶為任何資源類型啟用執行期監控和自動代理程式組態時， GuardDuty 會建立 Amazon VPC端點，並使用與共用VPC擁有者帳戶相同的組織 ID 設定端點政策。 會 GuardDuty 新增GuardDutyManaged標籤，並為 GuardDuty 建立true的 Amazon VPC端點將其設定為 。如果共用的 Amazon VPC擁有者帳戶尚未針對任何資源啟用執行期監控或自動代理程式組態， GuardDuty 將不會設定 Amazon VPC端點政策。如需在共用VPC擁有者帳戶中自動設定執行期監控和管理安全代理程式的相關資訊，請參閱 啟用 GuardDuty 執行期監控。

每個使用相同 Amazon VPC端點政策的帳戶稱為關聯共用 Amazon 的參與者 AWS 帳戶VPC。

下列範例顯示共用VPC擁有者帳戶和參與者帳戶的預設VPC端點政策。aws:PrincipalOrgID 會顯示與共用VPC資源相關聯的組織 ID。此政策的使用僅限於擁有者帳戶組織中存在的參與者帳戶。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}