Runtime Monitoring で共有 VPC を使用する - Amazon GuardDuty
仕組み前提条件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring で共有 VPC を使用する

GuardDuty Runtime Monitoring は、 内の同じ組織 AWS アカウント に属する の共有 Amazon Virtual Private Cloud (Amazon VPC) の使用をサポートしています AWS Organizations。共有 VPC は、次の 2 つの方法で使用できます。

  • 自動エージェント設定 (推奨) – GuardDuty がセキュリティエージェントを自動的に管理する場合、Amazon VPC エンドポイントポリシーも設定されます。このポリシーは、組織の共有 VPC 設定に基づいています。

    共有 VPC 所有者アカウントと、この VPC を共有するすべての参加アカウントで、自動エージェント設定を有効にする必要があります。

  • 手動マネージドエージェント – 共有 VPC でセキュリティエージェントを手動で管理する場合は、VPC エンドポイントポリシーを更新して、対応するアカウントが共有 VPC にアクセスできるようにする必要があります。これを行うには、次の仕組みセクションで共有されているポリシーの例を使用できます。

    共有 VPC の参加アカウントを含む手動管理シナリオでは、カバレッジステータスが正確ではない可能性があります。リソースのup-to-date保護とカバレッジステータスを確保するために、GuardDuty では、共有 VPC を使用するすべてのアカウントで自動エージェント設定を有効にすることをお勧めします。

仕組み

共有 Amazon VPC 所有者アカウントと同じ組織 AWS アカウント に属する は、同じ Amazon VPC エンドポイントを共有することもできます。同じ Amazon VPC エンドポイントポリシーを使用する各アカウントは、関連付けられた共有 Amazon VPC の参加者 AWS アカウントとして呼び出されます。

次の例は、共有 VPC 所有者アカウントと参加者アカウントのデフォルトの VPC エンドポイントポリシーを示しています。aws:PrincipalOrgID は、共有 VPC リソースに関連付けられた組織 ID を表示します。このポリシーの使用は、所有者アカウントの組織に存在する参加者アカウントに限定されます。

共有 VPC エンドポイントポリシーの例
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
表示を増やす表示を減らす

GuardDuty 自動エージェント設定を使用する

共有 VPC の所有者アカウントがいずれかのリソース (Amazon EKS または AWS Fargate (Amazon ECS のみ)) の Runtime Monitoring および自動エージェント設定を有効にすると、すべての共有 VPCs は、共有 VPC 所有者アカウント内の共有 Amazon VPC エンドポイントおよび関連するセキュリティグループの自動インストールの対象となります。GuardDuty は、共有 Amazon VPC に関連付けられている組織 ID を取得します。

GuardDuty は、共有 VPC 所有者アカウントまたは参加アカウントが必要とする場合に Amazon VPC エンドポイントを作成します。Amazon VPC エンドポイントを必要とする例には、GuardDuty、Runtime Monitoring および EKS Runtime Monitoring の有効化、新しい Amazon ECS-Fargate タスクの起動などがあります。これらのアカウントが任意のリソースタイプの Runtime Monitoring と自動エージェント設定を有効にすると、GuardDuty は Amazon VPC エンドポイントを作成し、共有 VPC 所有者アカウントと同じ組織 ID でエンドポイントポリシーを設定します。GuardDuty は、GuardDuty が作成する Amazon VPC エンドポイントに GuardDutyManaged タグを追加し、その値を true に設定します。共有 Amazon VPC 所有者アカウントがいずれかのリソースの Runtime Monitoring または自動エージェント設定を有効にしていない場合、GuardDuty は Amazon VPC エンドポイントポリシーを設定しません。Runtime Monitoring の設定と、共有 VPC 所有者アカウントでのセキュリティエージェントの自動管理については、「GuardDuty Runtime Monitoring の有効化」を参照してください。

手動マネージドエージェントでの の使用

手動マネージドエージェントで共有 VPC を使用する場合は、共有 VPC を使用する必要があるアカウントをブロックする明示的なDenyエンドポイントポリシーがないことを確認します。これにより、セキュリティエージェントがテレメトリを GuardDuty に送信できなくなり、Unhealthyカバレッジステータスになります。エンドポイントポリシーの設定については、「」を参照してくださいExample shared VPC endpoint policy

共有 VPC に対するアクセス許可がないなどのシナリオでは、ランタイムカバレッジが正確ではない場合があります。のリソースタイプの手順に従って、リソースカバレッジを継続的にモニタリングできますランタイムカバレッジ統計の確認と問題のトラブルシューティング

コンピューティングリソースの継続的な Runtime Monitoring 保護を確保するために、GuardDuty では、共有 VPC 所有者アカウントとリソースのすべての参加アカウントの自動エージェント設定を有効にすることをお勧めします。

共有 VPC を使用するための前提条件

初期設定の一環として、共有 VPC の所有者 AWS アカウント にする で次の手順を実行します。

  1. 組織の作成 –「AWS Organizations ユーザーガイド」の「Creating and managing an organization」のステップに従って組織を作成します。

    メンバーアカウントの追加または削除の詳細については、「組織 AWS アカウント での の管理」を参照してください。

  2. 共有 VPC リソースの作成 – 所有者アカウントから共有 VPC リソースを作成できます。詳細については、「Amazon VPC ユーザーガイド」の「他のアカウントと VPC サブネットを共有する」を参照してください。

GuardDuty Runtime Monitoring に固有の前提条件

次のリストは、GuardDuty に固有の前提条件を示しています。

  • 共有 VPC の所有者アカウントと参加アカウントは、GuardDuty の異なる組織に所属することができます。ただし、 AWS Organizations内の同じ組織に属している必要があります。これは、GuardDuty が Amazon VPC エンドポイントと共有 VPC のセキュリティグループを作成する場合に必須です。共有 VPC の仕組みについては、「Amazon VPC ユーザーガイド」の「VPC を他のアカウントと共有する」を参照してください。

  • 共有 VPC 所有者アカウントと参加者アカウントのリソースに対して、Runtime Monitoring または EKS Runtime Monitoring、および GuardDuty 自動エージェント設定を有効にします。詳細については、「Runtime Monitoring の有効化」を参照してください。

    これらの設定を既に完了している場合は、次のステップに進みます。

  • Amazon EKS または Amazon ECS (AWS Fargate のみ) タスクを使用する場合は、所有者アカウントに関連付けられた共有 VPC リソースを選択し、そのサブネットを選択してください。