本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您選擇 GuardDuty 自動管理安全代理程式時,執行期監控支援使用 AWS 帳戶 屬於相同組織的 的共用 VPC AWS Organizations。GuardDuty 可以代表您根據與組織共用 VPC 相關聯的詳細資訊來設定 Amazon VPC 端點政策。
運作方式
當共用 VPC 的擁有者帳戶啟用任何資源 (Amazon EKS 或 AWS Fargate (僅限 Amazon ECS)) 的執行期監控和自動代理程式組態時,所有共用 VPCs 都有資格在共用 VPC 擁有者帳戶中自動安裝共用的 Amazon VPC 端點和相關聯的安全群組。GuardDuty 會擷取與共用 Amazon VPC 相關聯的組織 ID。
現在, AWS 帳戶 屬於與共用 Amazon VPC 擁有者帳戶相同組織的 也可以共用相同的 Amazon VPC 端點。當共用 VPC 擁有者帳戶或參與帳戶需要時,GuardDuty 會建立 Amazon VPC 端點。需要 Amazon VPC 端點的範例包括啟用 GuardDuty、執行期監控、EKS 執行期監控,或啟動新的 Amazon ECS-Fargate 任務。當這些帳戶為任何資源類型啟用執行期監控和自動代理程式組態時,GuardDuty 會建立 Amazon VPC 端點,並使用與共用 VPC 擁有者帳戶相同的組織 ID 設定端點政策。GuardDuty 新增GuardDutyManaged標籤,並將其設定為 true GuardDuty 所建立 Amazon VPC 端點的 。如果共用的 Amazon VPC 擁有者帳戶尚未啟用任何資源的執行期監控或自動代理程式組態,GuardDuty 將不會設定 Amazon VPC 端點政策。如需在共用 VPC 擁有者帳戶中自動設定執行期監控和管理安全代理程式的相關資訊,請參閱 啟用 GuardDuty 執行期監控。
每個使用相同 Amazon VPC 端點政策的帳戶稱為相關聯共用 Amazon VPC 的參與者 AWS 帳戶。
下列範例顯示共用 VPC 擁有者帳戶和參與者帳戶的預設 VPC 端點政策。aws:PrincipalOrgID 會顯示與共用 VPC 資源相關聯的組織 ID。此政策的使用僅限於擁有者帳戶組織中存在的參與者帳戶。
{
"Version": "2012-10-17",
"Statement": [{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgID": "o-abcdef0123"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}使用共用 VPC 的先決條件
當您使用 GuardDuty 自動化代理程式時,執行期監控支援使用共用 VPC。在初始設定中, AWS 帳戶 在您想要成為共用 VPC 擁有者的 中執行下列步驟:
-
建立組織 – 遵循 AWS Organizations 使用者指南中的建立和管理組織中的步驟來建立組織。
如需有關新增或移除成員帳戶的資訊,請參閱AWS 帳戶 在組織中管理。
-
建立共用 VPC 資源 – 您可以從擁有者帳戶建立共用 VPC 資源。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的與其他帳戶共享 VPC。
GuardDuty 執行期監控的特定先決條件
下列清單提供 GuardDuty 特有的先決條件:
-
共用 VPC 的擁有者帳戶和參與帳戶可以來自 GuardDuty 中的不同組織。不過,它們必須屬於 中的相同組織 AWS Organizations。這是 GuardDuty 為共用 VPC 建立 Amazon VPC 端點和安全群組的必要項目。如需共用 VPCs運作方式的相關資訊,請參閱《Amazon VPC 使用者指南》中的與其他帳戶共用您的 VPC。
-
為共用 VPC 擁有者帳戶和參與者帳戶中的任何資源啟用執行期監控或 EKS 執行期監控,以及 GuardDuty 自動代理程式組態。如需詳細資訊,請參閱啟用執行期監控。
如果您已完成這些組態,請繼續下一個步驟。
-
使用 Amazon EKS 或 Amazon ECS (AWS Fargate 僅限 ) 任務時,請務必選擇與擁有者帳戶相關聯的共用 VPC 資源,然後選取其子網路。
