Menggunakan VPC bersama dengan Runtime Monitoring - Amazon GuardDuty
Cara kerjanyaPrasyarat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan VPC bersama dengan Runtime Monitoring

GuardDuty Runtime Monitoring mendukung penggunaan Amazon Virtual Private Cloud bersama (Amazon VPC) untuk Akun AWS Anda yang termasuk dalam organisasi yang sama di. AWS Organizations Anda dapat menggunakan VPC bersama dengan dua cara:

  • Konfigurasi agen otomatis (Disarankan) — Saat mengelola agen keamanan GuardDuty secara otomatis, itu juga akan mengonfigurasi kebijakan titik akhir VPC Amazon. Kebijakan ini didasarkan pada setelan VPC bersama organisasi Anda.

    Anda harus mengaktifkan konfigurasi agen otomatis di akun pemilik VPC bersama dan semua akun yang berpartisipasi yang akan membagikan VPC ini.

  • Agen yang dikelola secara manual — Saat Anda mengelola agen keamanan secara manual dengan VPC bersama, Anda harus memperbarui kebijakan titik akhir VPC untuk mengizinkan akun terkait mengakses VPC bersama. Untuk melakukan ini, Anda dapat menggunakan kebijakan contoh yang dibagikan di Cara kerjanya bagian berikut.

    Untuk skenario manajemen manual yang melibatkan akun yang berpartisipasi untuk VPC bersama, status pertanggungan mungkin tidak akurat. Untuk memastikan up-to-date perlindungan dan status cakupan sumber daya Anda, GuardDuty rekomendasikan untuk mengaktifkan konfigurasi agen otomatis untuk semua akun yang akan menggunakan VPC bersama.

Cara kerjanya

Yang Akun AWS termasuk dalam organisasi yang sama dengan akun pemilik VPC Amazon bersama juga dapat berbagi titik akhir VPC Amazon yang sama. Setiap akun yang menggunakan kebijakan titik akhir VPC Amazon yang sama disebut sebagai AWS akun peserta dari VPC Amazon bersama yang terkait.

Contoh berikut menunjukkan kebijakan titik akhir VPC default dari akun pemilik VPC bersama dan akun peserta. Ini aws:PrincipalOrgID akan menampilkan ID organisasi yang terkait dengan sumber daya VPC bersama. Penggunaan kebijakan ini terbatas pada akun peserta yang ada dalam organisasi akun pemilik.

contoh
Contoh kebijakan titik akhir VPC bersama
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
Tampilkan lebih banyakTampilkan lebih sedikit

Dengan konfigurasi agen GuardDuty otomatis

Saat akun pemilik VPC bersama mengaktifkan Pemantauan Waktu Proses dan konfigurasi agen otomatis untuk sumber daya apa pun (Amazon EKS atau (hanya Amazon ECS)), semua yang dibagikan VPCs memenuhi syarat untuk penginstalan otomatis titik akhir VPC Amazon bersama dan grup keamanan terkait di akun pemilik VPC bersama. AWS Fargate GuardDuty mengambil ID organisasi yang terkait dengan VPC Amazon bersama.

GuardDuty membuat titik akhir VPC Amazon saat akun pemilik VPC bersama atau akun yang berpartisipasi membutuhkannya. Contoh membutuhkan endpoint VPC Amazon termasuk GuardDuty mengaktifkan, Runtime Monitoring, EKS Runtime Monitoring, atau meluncurkan tugas Amazon ECS-Fargate baru. Jika akun ini mengaktifkan Pemantauan Waktu Proses dan konfigurasi agen otomatis untuk semua jenis sumber daya, GuardDuty buat titik akhir VPC Amazon dan tetapkan kebijakan titik akhir dengan ID organisasi yang sama dengan akun pemilik VPC bersama. GuardDuty menambahkan GuardDutyManaged tag dan menyetelnya true untuk titik akhir VPC Amazon yang dibuat. GuardDuty Jika akun pemilik VPC Amazon bersama belum mengaktifkan Pemantauan Waktu Proses atau konfigurasi agen otomatis untuk salah satu sumber daya, tidak GuardDuty akan menetapkan kebijakan titik akhir VPC Amazon. Untuk informasi tentang mengonfigurasi Runtime Monitoring dan mengelola agen keamanan secara otomatis di akun pemilik VPC bersama, lihat. Mengaktifkan GuardDuty Runtime Monitoring

Menggunakan dengan agen yang dikelola secara manual

Saat Anda menggunakan VPC bersama dengan agen yang dikelola secara manual, validasi bahwa tidak ada kebijakan Deny titik akhir eksplisit yang memblokir akun apa pun yang perlu menggunakan VPC bersama. Ini akan mencegah agen keamanan mengirim telemetri ke GuardDuty, menghasilkan status Unhealthy cakupan. Untuk menyiapkan kebijakan titik akhir, lihatExample shared VPC endpoint policy.

Cakupan runtime mungkin tidak akurat dalam skenario seperti izin yang hilang ke VPC bersama. Anda dapat terus memantau cakupan sumber daya dengan mengikuti langkah-langkah untuk jenis sumber daya AndaMeninjau statistik cakupan runtime dan masalah pemecahan masalah.

Untuk memastikan perlindungan Runtime Monitoring berkelanjutan dari sumber daya komputasi Anda, GuardDuty rekomendasikan untuk mengaktifkan konfigurasi agen otomatis untuk akun pemilik VPC bersama dan semua akun yang berpartisipasi untuk sumber daya Anda.

Prasyarat untuk menggunakan VPC bersama

Sebagai bagian dari pengaturan awal, lakukan langkah-langkah berikut di Akun AWS mana Anda ingin menjadi pemilik VPC bersama:

  1. Membuat organisasi — Membuat organisasi dengan mengikuti langkah-langkah dalam Membuat dan mengelola organisasi dalam Panduan AWS Organizations Pengguna.

    Untuk informasi tentang menambahkan atau menghapus akun anggota, lihat Mengelola Akun AWS di organisasi Anda.

  2. Membuat sumber daya VPC bersama — Anda dapat membuat sumber daya VPC bersama dari akun pemilik. Untuk informasi selengkapnya, lihat Berbagi subnet VPC Anda dengan akun lain di Panduan Pengguna Amazon VPC.

Prasyarat khusus untuk Runtime Monitoring GuardDuty

Daftar berikut memberikan prasyarat yang khusus untuk: GuardDuty

  • Akun pemilik VPC bersama dan akun yang berpartisipasi dapat berasal dari berbagai organisasi di. GuardDuty Namun, mereka harus menjadi anggota organisasi yang sama di AWS Organizations. Ini diperlukan GuardDuty untuk membuat titik akhir VPC Amazon dan grup keamanan untuk VPC bersama. Untuk informasi tentang cara VPCs kerja bersama, lihat Membagikan VPC Anda dengan akun lain di Panduan Pengguna Amazon VPC.

  • Aktifkan Runtime Monitoring atau EKS Runtime Monitoring, dan konfigurasi agen GuardDuty otomatis untuk sumber daya apa pun di akun pemilik VPC bersama dan akun peserta. Untuk informasi selengkapnya, lihat Mengaktifkan Runtime Monitoring.

    Jika Anda telah menyelesaikan konfigurasi ini, lanjutkan dengan langkah berikutnya.

  • Saat bekerja dengan Amazon EKS atau tugas Amazon ECS (AWS Fargate hanya), pastikan untuk memilih sumber daya VPC bersama yang terkait dengan akun pemilik dan pilih subnetnya.