Cara kerjanya - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerjanya

Saat akun pemilik VPC bersama mengaktifkan Pemantauan Waktu Proses dan konfigurasi agen otomatis untuk sumber daya apa pun (Amazon EKS atau (hanya AWS Fargate Amazon ECS)), semua VPC bersama memenuhi syarat untuk penginstalan otomatis titik akhir VPC Amazon bersama dan grup keamanan terkait di akun pemilik VPC bersama. GuardDuty mengambil ID organisasi yang terkait dengan VPC Amazon bersama.

Sekarang, Akun AWS yang termasuk dalam organisasi yang sama dengan akun pemilik VPC Amazon bersama juga dapat berbagi titik akhir VPC Amazon yang sama. GuardDuty membuat VPC bersama ketika akun pemilik VPC bersama atau akun yang berpartisipasi memerlukan titik akhir VPC Amazon. Contoh membutuhkan endpoint VPC Amazon termasuk GuardDuty mengaktifkan, Runtime Monitoring, EKS Runtime Monitoring, atau meluncurkan tugas Amazon ECS-Fargate baru. Jika akun ini mengaktifkan Pemantauan Waktu Proses dan konfigurasi agen otomatis untuk semua jenis sumber daya, GuardDuty buat titik akhir VPC Amazon dan tetapkan kebijakan titik akhir dengan ID organisasi yang sama dengan akun pemilik VPC bersama. GuardDuty menambahkan GuardDutyManaged tag dan menyetelnya true untuk titik akhir VPC Amazon yang dibuat. GuardDuty Jika akun pemilik VPC Amazon bersama belum mengaktifkan Pemantauan Waktu Proses atau konfigurasi agen otomatis untuk salah satu sumber daya, tidak GuardDuty akan menetapkan kebijakan titik akhir VPC Amazon. Untuk informasi tentang mengonfigurasi Runtime Monitoring dan mengelola agen keamanan secara otomatis di akun pemilik VPC bersama, lihat. Mengaktifkan GuardDuty Runtime Monitoring

Setiap akun yang menggunakan kebijakan titik akhir VPC Amazon yang sama disebut sebagai AWS akun peserta dari VPC Amazon bersama yang terkait.

Contoh berikut menunjukkan kebijakan titik akhir VPC default dari akun pemilik VPC bersama dan akun peserta. Ini aws:PrincipalOrgID akan menampilkan ID organisasi yang terkait dengan sumber daya VPC bersama. Penggunaan kebijakan ini terbatas pada akun peserta yang ada dalam organisasi akun pemilik.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
Tampilkan lebih banyakTampilkan lebih sedikit