Funktionsweise

Wenn das Besitzerkonto der gemeinsam genutzten VPC Runtime Monitoring und automatische Agentenkonfiguration für eine der Ressourcen (Amazon EKS oder AWS Fargate (nur Amazon ECS)) aktiviert, kommen alle gemeinsam genutzten VPCs für die automatische Installation des gemeinsamen Amazon VPC-Endpunkts und der zugehörigen Sicherheitsgruppe im gemeinsamen VPC-Eigentümerkonto in Frage. GuardDuty ruft die Organisations-ID ab, die mit der gemeinsam genutzten Amazon VPC verknüpft ist.

Jetzt können diejenigen, AWS-Konten die derselben Organisation angehören wie das gemeinsame Amazon VPC-Besitzerkonto, auch denselben Amazon VPC-Endpunkt nutzen. GuardDuty erstellt die gemeinsame VPC, wenn entweder das gemeinsame VPC-Eigentümerkonto oder das teilnehmende Konto einen Amazon VPC-Endpunkt benötigt. Beispiele für die Notwendigkeit eines Amazon VPC-Endpunkts sind die Aktivierung GuardDuty, Runtime Monitoring, EKS Runtime Monitoring oder das Starten einer neuen Amazon ECS-Fargate-Aufgabe. Wenn diese Konten Runtime Monitoring und automatische Agentenkonfiguration für einen beliebigen Ressourcentyp aktivieren, GuardDuty wird ein Amazon VPC-Endpunkt erstellt und die Endpunktrichtlinie mit derselben Organisations-ID wie die des gemeinsamen VPC-Besitzerkontos festgelegt. GuardDuty fügt ein GuardDutyManaged Tag hinzu und setzt es true für den Amazon VPC-Endpunkt, der GuardDuty erstellt, auf. Wenn das gemeinsame Amazon VPC-Besitzerkonto weder Runtime Monitoring noch automatische Agentenkonfiguration für eine der Ressourcen aktiviert hat, GuardDuty wird die Amazon VPC-Endpunktrichtlinie nicht festgelegt. Informationen zur Konfiguration von Runtime Monitoring und zur automatischen Verwaltung des Security Agents im gemeinsamen VPC-Besitzerkonto finden Sie unter GuardDuty Runtime Monitoring aktivieren.

Jedes Konto, das dieselbe Amazon VPC-Endpunktrichtlinie verwendet, wird als AWS Teilnehmerkonto der zugehörigen gemeinsamen Amazon VPC bezeichnet.

Das folgende Beispiel zeigt die Standard-VPC-Endpunktrichtlinie des gemeinsamen VPC-Besitzerkontos und des Teilnehmerkontos. Das aws:PrincipalOrgID zeigt die Organisations-ID an, die der gemeinsam genutzten VPC-Ressource zugeordnet ist. Die Verwendung dieser Richtlinie ist auf die Teilnehmerkonten beschränkt, die in der Organisation des Eigentümerkontos vorhanden sind.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Weniger anzeigen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden einer gemeinsam genutzten VPC mit automatisierten Sicherheitsagenten

Voraussetzungen