当您使用 GuardDuty 自动代理时,运行时监控支持使用共享 VPC。在初始设置过程中,请在您希望其成为共享 VPC 所有者的 AWS 账户中执行以下步骤:
-
创建组织:按照《AWS Organizations 用户指南》中 Creating and managing an organization 部分所述步骤创建一个组织。
有关添加或移除成员账户的信息,请参阅 Managing AWS 账户 in your organization。
-
创建共享 VPC 资源:您可以从所有者账户中创建共享 VPC 资源。有关更多信息,请参阅《Amazon VPC 用户指南》中的 与其他账户共享 VPC。
GuardDuty 运行时监控特有的先决条件
以下列表介绍了 GuardDuty 特有的先决条件:
-
共享 VPC 所有者账户和参与者账户可以来自 GuardDuty 中的不同组织,但必须属于 AWS Organizations 中的同一组织。必须满足此条件,才能让 GuardDuty 为共享 VPC 创建 Amazon VPC 端点和安全组。有关共享 VPC 工作原理的信息,请参阅《Amazon VPC 用户指南》中的与其他账户共享 VPC。
-
为共享 VPC 所有者账户和参与者账户中的任何资源启用运行时监控或 EKS 运行时监控,以及 GuardDuty 自动代理配置。有关更多信息,请参阅 启用运行时监控。
如果您已完成这些配置,请继续下一步操作。
-
在处理 Amazon EKS 或 Amazon ECS(仅限 AWS Fargate)任务时,请务必选择与所有者账户关联的共享 VPC 资源并选择其子网。