Come funziona

Quando l'account proprietario del VPC condiviso abilita il monitoraggio del runtime e la configurazione automatica degli agenti per una qualsiasi delle risorse (Amazon EKS o (solo AWS Fargate Amazon ECS)), tutti i VPC condivisi diventano idonei per l'installazione automatica dell'endpoint Amazon VPC condiviso e del gruppo di sicurezza associato nell'account proprietario del VPC condiviso. GuardDuty recupera l'ID dell'organizzazione associato all'Amazon VPC condiviso.

Ora, le Account AWS persone che appartengono alla stessa organizzazione dell'account proprietario Amazon VPC condiviso possono condividere anche lo stesso endpoint Amazon VPC. GuardDuty crea il VPC condiviso quando l'account proprietario del VPC condiviso o l'account partecipante necessita di un endpoint Amazon VPC. Esempi di necessità di un endpoint Amazon VPC includono l' GuardDutyabilitazione, il monitoraggio del runtime, il monitoraggio del runtime EKS o il lancio di una nuova attività Amazon ECS-Fargate. Quando questi account abilitano il Runtime Monitoring e la configurazione automatizzata degli agenti per qualsiasi tipo di risorsa, GuardDuty creano un endpoint Amazon VPC e impostano la policy dell'endpoint con lo stesso ID dell'organizzazione dell'account proprietario del VPC condiviso. GuardDuty aggiunge un GuardDutyManaged tag e lo imposta true per l'endpoint Amazon VPC che lo crea. GuardDuty Se l'account proprietario di Amazon VPC condiviso non ha abilitato il monitoraggio del runtime o la configurazione automatica degli agenti per nessuna delle risorse, non GuardDuty imposterà la policy degli endpoint di Amazon VPC. Per informazioni sulla configurazione del Runtime Monitoring e sulla gestione automatica del security agent nell'account proprietario del VPC condiviso, consulta. Abilitazione del monitoraggio del GuardDuty runtime

Ciascuno degli account che utilizzano la stessa policy per gli endpoint di Amazon VPC viene chiamato AWS account partecipante dell'Amazon VPC condiviso associato.

L'esempio seguente mostra la politica degli endpoint VPC predefinita dell'account proprietario del VPC condiviso e dell'account partecipante. aws:PrincipalOrgIDMostrerà l'ID dell'organizzazione associato alla risorsa VPC condivisa. L'uso di questa politica è limitato agli account dei partecipanti presenti nell'organizzazione dell'account del proprietario.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Mostra più

Mostra meno

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di VPC condiviso con agenti di sicurezza automatizzati

Prerequisiti