搭配執行期監控使用共用 VPC - Amazon GuardDuty
運作方式先決條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配執行期監控使用共用 VPC

GuardDuty 執行期監控支援針對屬於相同組織的 使用共用 AWS 帳戶 Amazon Virtual Private Cloud (Amazon VPC) AWS Organizations。您可以透過兩種方式使用共用 VPC:

  • 自動化代理程式組態 (建議) – 當 GuardDuty 自動管理安全代理程式時,也會設定 Amazon VPC 端點政策。此政策是以組織的共用 VPC 設定為基礎。

    您必須在共用 VPC 擁有者帳戶和將共用此 VPC 的所有參與帳戶中啟用自動代理程式組態。

  • 手動管理代理程式 – 當您使用共用 VPC 手動管理安全代理程式時,您必須更新 VPC 端點政策,以允許對應的帳戶存取共用 VPC。若要這樣做,您可以使用下運作方式一節中共用的範例政策。

    對於涉及共用 VPC 參與帳戶的手動管理案例,涵蓋範圍狀態可能不準確。為了確保 資源up-to-date保護和涵蓋狀態,GuardDuty 建議為將使用共用 VPC 的所有帳戶啟用自動代理程式組態。

運作方式

AWS 帳戶 屬於與共用 Amazon VPC 擁有者帳戶相同組織的 也可以共用相同的 Amazon VPC 端點。每個使用相同 Amazon VPC 端點政策的帳戶稱為相關聯共用 Amazon VPC 的參與者 AWS 帳戶

下列範例顯示共用 VPC 擁有者帳戶和參與者帳戶的預設 VPC 端點政策。aws:PrincipalOrgID 會顯示與共用 VPC 資源相關聯的組織 ID。此政策的使用僅限於擁有者帳戶組織中存在的參與者帳戶。

範例
共用 VPC 端點政策範例
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
顯示較多顯示較少

使用 GuardDuty 自動代理程式組態

當共用 VPC 的擁有者帳戶啟用任何資源 (Amazon EKS 或 AWS Fargate (僅限 Amazon ECS)) 的執行期監控和自動代理程式組態時,所有共用 VPCs 都有資格在共用 VPC 擁有者帳戶中自動安裝共用的 Amazon VPC 端點和相關聯的安全群組。GuardDuty 會擷取與共用 Amazon VPC 相關聯的組織 ID。

當共用 VPC 擁有者帳戶或參與帳戶需要時,GuardDuty 會建立 Amazon VPC 端點。需要 Amazon VPC 端點的範例包括啟用 GuardDuty、執行期監控、EKS 執行期監控,或啟動新的 Amazon ECS-Fargate 任務。當這些帳戶針對任何資源類型啟用執行期監控和自動代理程式組態時,GuardDuty 會建立 Amazon VPC 端點,並使用與共用 VPC 擁有者帳戶相同的組織 ID 設定端點政策。GuardDuty 新增GuardDutyManaged標籤,並針對 GuardDuty 建立true的 Amazon VPC 端點將其設定為 。如果共用的 Amazon VPC 擁有者帳戶尚未啟用任何資源的執行期監控或自動代理程式組態,GuardDuty 將不會設定 Amazon VPC 端點政策。如需在共用 VPC 擁有者帳戶中自動設定執行期監控和管理安全代理程式的相關資訊,請參閱 啟用 GuardDuty 執行期監控

使用 搭配手動受管代理程式

當您搭配手動受管代理程式使用共用 VPC 時,請確認沒有明確的Deny端點政策封鎖任何需要使用共用 VPC 的帳戶。這將防止安全代理程式將遙測傳送至 GuardDuty,導致Unhealthy涵蓋狀態。如需設定端點政策,請參閱 Example shared VPC endpoint policy

在缺少共用 VPC 許可等情況下,執行期涵蓋範圍可能不準確。您可以依照 中資源類型的步驟,持續監控資源涵蓋範圍檢閱執行時間涵蓋範圍統計資料和疑難排解問題

為了確保運算資源的持續執行期監控保護,GuardDuty 建議為共用 VPC 擁有者帳戶和資源的所有參與帳戶啟用自動代理程式組態。

使用共用 VPC 的先決條件

在初始設定中, AWS 帳戶 在您想要成為共用 VPC 擁有者的 中執行下列步驟:

  1. 建立組織 – 遵循AWS Organizations 《 使用者指南》中的建立和管理組織中的步驟來建立組織

    如需有關新增或移除成員帳戶的資訊,請參閱AWS 帳戶 在組織中管理

  2. 建立共用 VPC 資源 – 您可以從擁有者帳戶建立共用 VPC 資源。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的與其他帳戶共用您的 VPC 子網路

GuardDuty 執行期監控的特定先決條件

以下清單提供 GuardDuty 特有的先決條件:

  • 共用 VPC 的擁有者帳戶和參與帳戶可以來自 GuardDuty 中的不同組織。不過,它們必須屬於 中的相同組織 AWS Organizations。這是 GuardDuty 為共用 VPC 建立 Amazon VPC 端點和安全群組的必要項目。如需共用 VPCs如何運作的詳細資訊,請參閱《Amazon VPC 使用者指南》中的與其他帳戶共用您的 VPC。

  • 為共用 VPC 擁有者帳戶和參與者帳戶中的任何資源啟用執行期監控或 EKS 執行期監控,以及 GuardDuty 自動化代理程式組態。如需詳細資訊,請參閱啟用執行期監控

    如果您已完成這些組態,請繼續下一個步驟。

  • 使用 Amazon EKS 或 Amazon ECS (AWS Fargate 僅限) 任務時,請務必選擇與擁有者帳戶相關聯的共用 VPC 資源,然後選取其子網路。