As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como usar uma VPC compartilhada com Monitoramento de Runtime
GuardDuty O Runtime Monitoring suporta o uso compartilhado da Amazon Virtual Private Cloud (Amazon VPC) para Contas da AWS aqueles que pertencem à mesma organização em. AWS OrganizationsÉ possível usar a VPC compartilhada de duas maneiras:
+ **Configuração automatizada do agente (recomendada)** — Quando gerencia GuardDuty automaticamente o agente de segurança, ele também configura a política de endpoint do Amazon VPC. Essa política é baseada nas configurações de VPC compartilhadas da sua organização.
Você deve habilitar a configuração automatizada do agente na conta compartilhada do proprietário da VPC e em todas as contas participantes que compartilharão essa VPC.
+ **Agente gerenciado manualmente** – ao gerenciar manualmente o agente de segurança com a VPC compartilhada, você deve atualizar a política de endpoint da VPC para permitir que as contas correspondentes acessem a VPC compartilhada. Para fazer isso, você pode usar o exemplo de política compartilhado na seção [Como funciona](#how-shared-vpc-works-runtime-monitoring-auto) a seguir.
Para cenários de gerenciamento manual envolvendo contas participantes de VPC compartilhada, o status da cobertura pode não ser preciso. Para garantir o status de up-to-date proteção e cobertura de seus recursos, GuardDuty recomenda ativar a configuração automática do agente para todas as contas que usarão a VPC compartilhada.
**Topics**
+ [Como funciona](#how-shared-vpc-works-runtime-monitoring-auto)
+ [Pré-requisitos para usar a VPC compartilhada](#shared-vpc-prerequisite-runtime-monitoring)
## Como funciona
Aqueles Contas da AWS que pertencem à mesma organização da conta compartilhada do proprietário da Amazon VPC também podem compartilhar o mesmo endpoint da Amazon VPC. Cada uma das contas que usam a mesma política de endpoint da Amazon VPC é chamada de ** AWS conta participante** da Amazon VPC compartilhada associada.
O exemplo a seguir mostra a política padrão de endpoint da VPC da conta compartilhada do proprietário da VPC e da conta do participante. `aws:PrincipalOrgID` mostrará a ID da organização associada ao recurso VPC compartilhado. O uso desta política é limitado às contas de participantes presentes na organização da conta do proprietário.
**Example Exemplo de política de endpoint da VPC compartilhada**
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgID": "o-abcdef0123"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
### Com configuração GuardDuty automática de agentes
Quando a conta do proprietário da VPC compartilhada ativa o Runtime Monitoring e a configuração automática do agente para qualquer um dos recursos (Amazon EKS ou (somente AWS Fargate Amazon ECS)), todos os compartilhados VPCs se tornam elegíveis para a instalação automática do endpoint compartilhado da Amazon VPC e do grupo de segurança associado na conta de proprietário da VPC compartilhada. GuardDuty recupera o ID da organização que está associado à Amazon VPC compartilhada.
GuardDuty cria um endpoint da Amazon VPC quando a conta compartilhada do proprietário da VPC ou a conta participante precisam dela. Exemplos de necessidade de um endpoint do Amazon VPC incluem GuardDuty habilitar o Runtime Monitoring, o EKS Runtime Monitoring ou o lançamento de uma nova tarefa do Amazon ECS-Fargate. Quando essas contas habilitam o Runtime Monitoring e a configuração automática de agentes para qualquer tipo de recurso, GuardDuty cria um endpoint da Amazon VPC e define a política de endpoint com o mesmo ID de organização da conta compartilhada do proprietário da VPC. GuardDuty adiciona uma `GuardDutyManaged` tag e a define `true` para o endpoint da Amazon VPC que cria. GuardDuty Se a conta compartilhada do proprietário da Amazon VPC não tiver habilitado o Runtime Monitoring ou a configuração automatizada do agente para nenhum dos recursos, não GuardDuty definirá a política de endpoint da Amazon VPC. Para obter informações sobre como configurar o Monitoramento de runtime e gerenciar automaticamente o agente de segurança na conta compartilhada do proprietário da VPC, consulte [Habilitando o GuardDuty monitoramento de tempo](runtime-monitoring-configuration.md).
### Uso com agente gerenciado manualmente
Ao usar a VPC compartilhada com um agente gerenciado manualmente, confirme se não há uma política de endpoint `Deny` explícita que bloqueie qualquer conta que precise usar a VPC compartilhada. Isso evitará que o agente de segurança envie telemetria para GuardDuty, resultando em um status de `Unhealthy` cobertura. Para configurar a política de endpoint, consulte [Example shared VPC endpoint policy](#guardduty-runtime-monitoring-shared-vpc-endpoint-policy-example).
A cobertura de runtime pode não ser precisa em cenários como a falta de permissões para a VPC compartilhada. Você pode monitorar continuamente a cobertura de recursos seguindo as etapas para seu tipo de recurso em [Analisando estatísticas de cobertura de runtime e solucionando problemas](runtime-monitoring-assessing-coverage.md).
Para garantir a proteção contínua de seus recursos computacionais pelo Runtime Monitoring, GuardDuty recomenda ativar a configuração automática do agente para a conta compartilhada do proprietário da VPC e para todas as contas participantes dos seus recursos.
## Pré-requisitos para usar a VPC compartilhada
Como parte de uma configuração inicial, execute as seguintes etapas na Conta da AWS qual você deseja ser o proprietário da VPC compartilhada:
1. **Criando uma organização**: crie uma organização, seguindo as etapas em [Criando e gerenciando uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) no *AWS Organizations Guia do usuário*.
Para obter informações sobre como adicionar ou remover contas de membros, consulte [Gerenciamento Contas da AWS na sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).
1. **Criando um recurso de VPC compartilhado** — Você pode criar um recurso de VPC compartilhado a partir da conta do proprietário. Para obter mais informações, consulte [Compartilhar as sub-redes da sua VPC com outras contas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) no *Guia do usuário da Amazon VPC*.
### Pré-requisitos específicos para o monitoramento de tempo de execução GuardDuty
A lista a seguir fornece os pré-requisitos específicos para: GuardDuty
+ A conta do proprietário da VPC compartilhada e a conta participante podem ser de diferentes organizações em. GuardDuty Contudo, elas devem pertencer à mesma organização em AWS Organizations. Isso é necessário GuardDuty para criar um endpoint da Amazon VPC e um grupo de segurança para a VPC compartilhada. Para obter informações sobre como o VPCs trabalho compartilhado, consulte [Compartilhe sua VPC com outras contas no Guia do usuário](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) da Amazon *VPC*.
+ Ative o Runtime Monitoring ou o EKS Runtime Monitoring e a configuração GuardDuty automatizada do agente para qualquer recurso na conta compartilhada do proprietário da VPC e na conta do participante. Para obter mais informações, consulte [Como habilitar o monitoramento de runtime](runtime-monitoring-configuration.md).
Se você já concluiu essas configurações, prossiga para a próxima etapa.
+ Ao trabalhar com uma tarefa do Amazon EKS ou do Amazon ECS (AWS Fargate somente), certifique-se de escolher o recurso VPC compartilhado associado à conta do proprietário e selecionar suas sub-redes.