自動セキュリティエージェントで共有 VPC を使用する
セキュリティエージェントを自動的に管理するために GuardDuty を選択すると、Runtime Monitoring は、AWS Organizations 内の同じ組織に属する AWS アカウントの共有 VPC の使用をサポートします。GuardDuty はユーザーに代わって、組織の共有 VPC に関連付けられた詳細に基づいて Amazon VPC エンドポイントポリシーを設定できます。
このリリース以前は、GuardDuty セキュリティエージェントを手動で管理することを選択した場合のみ、GuardDuty は共有 VPC の使用をサポートしていました。
仕組み
共有 VPC の所有者アカウントが、いずれかのリソース (Amazon EKS または AWS Fargate (Amazon ECS のみ)) の Runtime Monitoring と自動エージェント設定を有効にすると、すべての共有 VPC は、共有 VPC 所有者アカウント内の共有 Amazon VPC エンドポイントおよび関連するセキュリティグループの自動インストールの対象となります。GuardDuty は、共有 Amazon VPC に関連付けられている組織 ID を取得します。
これで、共有 Amazon VPC 所有者アカウントと同じ組織に属する AWS アカウントも、同じ Amazon VPC エンドポイントを共有できるようになりました。GuardDuty は、共有 VPC 所有者アカウントまたは参加アカウントのいずれかに Amazon VPC エンドポイントが必要な場合に、共有 VPC を作成します。Amazon VPC エンドポイントを必要とする例には、GuardDuty、Runtime Monitoring および EKS Runtime Monitoring の有効化、新しい Amazon ECS-Fargate タスクの起動などがあります。これらのアカウントが任意のリソースタイプの Runtime Monitoring と自動エージェント設定を有効にすると、GuardDuty は Amazon VPC エンドポイントを作成し、共有 VPC 所有者アカウントのものと同じ組織 ID でエンドポイントポリシーを設定します。GuardDuty は、GuardDuty が作成する Amazon VPC エンドポイントに GuardDutyManaged
タグを追加し、その値を true
に設定します。共有 Amazon VPC 所有者アカウントがいずれかのリソースの Runtime Monitoring または自動エージェント設定を有効にしていない場合、GuardDuty は Amazon VPC エンドポイントポリシーを設定しません。Runtime Monitoring の設定と、共有 VPC 所有者アカウントでのセキュリティエージェントの自動管理については、「GuardDuty Runtime Monitoring の有効化」を参照してください。
同じ Amazon VPC エンドポイントポリシーを使用する各アカウントは、関連付けられた共有 Amazon VPC の参加者 AWS アカウントとして呼び出されます。
次の例は、共有 VPC 所有者アカウントと参加者アカウントのデフォルトの VPC エンドポイントポリシーを示しています。aws:PrincipalOrgID
は、共有 VPC リソースに関連付けられた組織 ID を表示します。このポリシーの使用は、所有者アカウントの組織に存在する参加者アカウントに限定されます。
{ "Version": "2012-10-17", "Statement": [{ "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "
o-abcdef0123
" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }