Comment ça marche

Lorsque le compte propriétaire du partage VPC active la surveillance du temps d'exécution et la configuration automatisée des agents pour l'une des ressources (Amazon EKS ou AWS Fargate (Amazon ECS uniquement)), toutes les ressources partagées VPCs sont éligibles à l'installation automatique du point de VPC terminaison Amazon partagé et du groupe de sécurité associé dans le compte VPC propriétaire partagé. GuardDuty récupère l'identifiant de l'organisation associé à l'Amazon VPC partagé.

Désormais, ceux Comptes AWS qui appartiennent à la même organisation que le compte VPC propriétaire Amazon partagé peuvent également partager le même point de VPC terminaison Amazon. GuardDuty crée le compte partagé VPC lorsque le compte VPC propriétaire partagé ou le compte participant a besoin d'un point de VPC terminaison Amazon. Parmi les exemples de besoin d'un point de VPC terminaison Amazon, citons l'activation GuardDuty, la surveillance du temps EKS d'exécution, la surveillance du temps d'exécution ou le lancement d'une nouvelle tâche Amazon ECS -Fargate. Lorsque ces comptes activent la surveillance du temps d'exécution et la configuration automatique des agents pour n'importe quel type de ressource, ils GuardDuty créent un point de VPC terminaison Amazon et définissent la politique du point de terminaison avec le même identifiant d'organisation que celui du compte VPC propriétaire partagé. GuardDuty ajoute une GuardDutyManaged balise et lui attribue la valeur true pour le point de VPC terminaison Amazon qui le GuardDuty crée. Si le compte VPC propriétaire Amazon partagé n'a pas activé la surveillance du temps d'exécution ou la configuration automatique des agents pour aucune des ressources, GuardDuty la politique relative aux VPC terminaux Amazon n'est pas définie. Pour plus d'informations sur la configuration de la surveillance du temps d'exécution et la gestion automatique de l'agent de sécurité dans le compte VPC propriétaire partagé, consultezActiver la surveillance du GuardDuty temps d'exécution.

Chacun des comptes utilisant la même politique de point de VPC terminaison Amazon est appelé AWS compte participant de l'Amazon partagé associéVPC.

L'exemple suivant montre la politique de point de VPC terminaison par défaut VPC du compte propriétaire partagé et du compte participant. Le aws:PrincipalOrgID affichera l'identifiant de l'organisation associé à la VPC ressource partagée. L'utilisation de cette politique est limitée aux comptes de participants présents dans l'organisation du compte propriétaire.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Afficher plus

Afficher moins

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation partagée VPC avec des agents de sécurité automatisés

Prérequis