翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Runtime Monitoring で共有 VPC を使用する
<a name="runtime-monitoring-shared-vpc"></a>

GuardDuty Runtime Monitoring は、 内の同じ組織 AWS アカウント に属する の共有 Amazon Virtual Private Cloud (Amazon VPC) の使用をサポートしています AWS Organizations。共有 VPC は、以下の 2 つの方法で使用できます。
+ **自動エージェント設定 (推奨)** – GuardDuty がセキュリティエージェントを自動的に管理する場合、Amazon VPC エンドポイントポリシーも設定されます。このポリシーは、組織の共有 VPC 設定に基づいています。

  共有 VPC 所有者アカウントと、この VPC を共有するすべての参加アカウントで、自動エージェント設定を有効にする必要があります。
+ **手動マネージドエージェント** – 共有 VPC でセキュリティエージェントを手動で管理する場合は、対応するアカウントが共有 VPC にアクセスできるようにVPC エンドポイントポリシーを更新する必要があります。これを行うには、次の [仕組み](#how-shared-vpc-works-runtime-monitoring-auto) セクションで共有されているポリシーの例を使用します。

  共有 VPC の参加アカウントを含む手動管理シナリオでは、カバレッジステータスが正確ではない可能性があります。リソースの up-to-date 保護とカバレッジステータスを確保するために、GuardDuty では、共有 VPC を使用するすべてのアカウントで自動エージェント設定を有効にすることをお勧めします。

**Topics**
+ [仕組み](#how-shared-vpc-works-runtime-monitoring-auto)
+ [共有 VPC を使用するための前提条件](#shared-vpc-prerequisite-runtime-monitoring)

## 仕組み
<a name="how-shared-vpc-works-runtime-monitoring-auto"></a>

共有 Amazon VPC 所有者アカウントと同じ組織 AWS アカウント に属する は、同じ Amazon VPC エンドポイントを共有することもできます。同じ Amazon VPC エンドポイントポリシーを使用する各アカウントは、関連付けられた共有 Amazon VPC の**参加者 AWS アカウント**として呼び出されます。

次の例は、共有 VPC 所有者アカウントと参加者アカウントのデフォルトの VPC エンドポイントポリシーを示しています。`aws:PrincipalOrgID` は、共有 VPC リソースに関連付けられた組織 ID を表示します。このポリシーの使用は、所有者アカウントの組織に存在する参加者アカウントに限定されます。

**Example 共有 VPC エンドポイントポリシーの例**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
```

### GuardDuty 自動エージェント設定を使用する
<a name="guarduty-runtime-monitoring-shared-vpc-automatic-agent"></a>

共有 VPC の所有者アカウントがいずれかのリソース (Amazon EKS または AWS Fargate (Amazon ECS のみ)) の Runtime Monitoring および自動エージェント設定を有効にすると、すべての共有 VPCs は、共有 VPC 所有者アカウント内の共有 Amazon VPC エンドポイントおよび関連するセキュリティグループの自動インストールの対象となります。GuardDuty は、共有 Amazon VPC に関連付けられている組織 ID を取得します。

GuardDuty は、共有 VPC 所有者アカウントまたは参加アカウントのいずれかで必要な場合に Amazon VPC エンドポイントを作成します。Amazon VPC エンドポイントを必要とする例には、GuardDuty、Runtime Monitoring および EKS Runtime Monitoring の有効化、新しい Amazon ECS-Fargate タスクの起動などがあります。これらのアカウントが任意のリソースタイプの Runtime Monitoring と自動エージェント設定を有効にすると、GuardDuty は Amazon VPC エンドポイントを作成し、共有 VPC 所有者アカウントのものと同じ組織 ID でエンドポイントポリシーを設定します。GuardDuty は、GuardDuty が作成する Amazon VPC エンドポイントに `GuardDutyManaged` タグを追加し、その値を `true` に設定します。共有 Amazon VPC 所有者アカウントがいずれかのリソースの Runtime Monitoring または自動エージェント設定を有効にしていない場合、GuardDuty は Amazon VPC エンドポイントポリシーを設定しません。Runtime Monitoring の設定と、共有 VPC 所有者アカウントでのセキュリティエージェントの自動管理については、「[GuardDuty Runtime Monitoring の有効化](runtime-monitoring-configuration.md)」を参照してください。

### 手動マネージドエージェントを使用する
<a name="guardduty-runtime-monitoring-shared-vpc-manual-agent"></a>

手動マネージドエージェントで共有 VPC を使用する場合は、共有 VPC を使用する必要があるアカウントをブロックする明示的な `Deny` エンドポイントポリシーがないことを確認します。これにより、セキュリティエージェントがテレメトリを GuardDuty に送信できなくなり、`Unhealthy` カバレッジステータスになります。エンドポイントポリシーの設定については、「[Example shared VPC endpoint policy](#guardduty-runtime-monitoring-shared-vpc-endpoint-policy-example)」を参照してください。

共有 VPC に対するアクセス許可がない場合など、ランタイムカバレッジが正確ではない場合があります。[ランタイムカバレッジ統計の確認と問題のトラブルシューティング](runtime-monitoring-assessing-coverage.md) のリソースタイプの手順に従って、リソースカバレッジを継続的にモニタリングできます。

コンピューティングリソースの継続的な Runtime Monitoring 保護を確実にするために、GuardDuty では、共有 VPC 所有者アカウントとリソースのすべての参加アカウントの自動エージェント設定を有効にすることをお勧めします。

## 共有 VPC を使用するための前提条件
<a name="shared-vpc-prerequisite-runtime-monitoring"></a>

初期設定の一環として、共有 VPC の所有者 AWS アカウント にする で次の手順を実行します。

1. **組織の作成** –「*AWS Organizations ユーザーガイド*」の「[Creating and managing an organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」のステップに従って組織を作成します。

   メンバーアカウントの追加または削除の詳細については、[「組織 AWS アカウント での の管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)」を参照してください。

1. **共有 VPC リソースの作成** – 所有者アカウントから共有 VPC リソースを作成できます。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC サブネットを他のアカウントと共有する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。

### GuardDuty Runtime Monitoring に固有の前提条件
<a name="shared-vpc-runtime-monitoring-prereq-gd-setup"></a>

次のリストは、GuardDuty に固有の前提条件を示しています。
+ 共有 VPC の所有者アカウントと参加アカウントは、GuardDuty の異なる組織に所属することができます。ただし、 AWS Organizations内の同じ組織に属している必要があります。これは、GuardDuty が Amazon VPC エンドポイントと共有 VPC のセキュリティグループを作成する場合に必須です。共有 VPC の仕組みについては、「*Amazon VPC ユーザーガイド*」の「[VPC を他のアカウントと共有する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。
+ 共有 VPC 所有者アカウントと参加者アカウントのリソースに対して、Runtime Monitoring または EKS Runtime Monitoring、および GuardDuty 自動エージェント設定を有効にします。詳細については、「[Runtime Monitoring の有効化](runtime-monitoring-configuration.md)」を参照してください。

  これらの設定を既に完了している場合は、次のステップに進みます。
+ Amazon EKS または Amazon ECS (AWS Fargate のみ) タスクを使用する場合は、所有者アカウントに関連付けられた共有 VPC リソースを選択し、そのサブネットを選択してください。