Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Funcionamiento
Cuando la cuenta propietaria del recurso compartido VPC habilita la monitorización del tiempo de ejecución y la configuración automática de agentes para cualquiera de los recursos AWS Fargate (Amazon EKS o (ECSsolo Amazon)), todos los recursos compartidos VPCs pueden instalarse automáticamente en la cuenta de VPC propietario compartida del VPC punto de conexión de Amazon compartido y del grupo de seguridad asociado. GuardDuty recupera el identificador de la organización asociado al Amazon VPC compartido.
Ahora, las Cuentas de AWS que pertenezcan a la misma organización que la cuenta de VPC propietario de Amazon compartida también pueden compartir el mismo VPC punto de conexión de Amazon. GuardDuty crea lo compartido VPC cuando la cuenta de VPC propietario compartida o la cuenta participante necesitan un VPC punto de conexión de Amazon. Algunos ejemplos de cómo se necesita un VPC punto de conexión de Amazon son la activación GuardDuty, el monitoreo del tiempo de EKS ejecución, el monitoreo del tiempo de ejecución o el lanzamiento de una nueva tarea de Amazon ECS -Fargate. Cuando estas cuentas habilitan Runtime Monitoring y la configuración automática de agentes para cualquier tipo de recurso, GuardDuty crea un VPC punto de conexión de Amazon y establece la política de puntos de enlace con el mismo ID de organización que el de la cuenta de VPC propietario compartida. GuardDuty añade una GuardDutyManaged etiqueta y la establece true para el VPC punto de conexión de Amazon que la GuardDuty crea. Si la cuenta de VPC propietario compartida de Amazon no ha habilitado Runtime Monitoring o la configuración automática de agentes para ninguno de los recursos, no GuardDuty establecerá la política de VPC puntos finales de Amazon. Para obtener información sobre la configuración de Runtime Monitoring y la administración automática del agente de seguridad en la cuenta de VPC propietario compartida, consulteHabilitación GuardDuty de la supervisión del tiempo.
Cada una de las cuentas que utilizan la misma política VPC de puntos de conexión de Amazon se denomina AWS cuenta participante de la Amazon compartida asociadaVPC.
El siguiente ejemplo muestra la política de VPC puntos finales predeterminada de la cuenta de VPC propietario compartida y la cuenta de participante. aws:PrincipalOrgIDMostrará el ID de la organización asociado al VPC recurso compartido. El uso de esta política se limita a las cuentas de los participantes presentes en la organización de la cuenta propietaria.
{ "Version": "2012-10-17", "Statement": [{ "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-abcdef0123" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }
