Voraussetzung — Manuelles Erstellen eines VPC Amazon-Endpunkts - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzung — Manuelles Erstellen eines VPC Amazon-Endpunkts

Bevor Sie den GuardDuty Security Agent installieren können, müssen Sie einen Amazon Virtual Private Cloud (AmazonVPC) -Endpunkt erstellen. Dies hilft beim GuardDuty Empfang der Runtime-Ereignisse Ihrer EC2 Amazon-Instances.

Anmerkung

Für die Nutzung des VPC Endpunkts fallen keine zusätzlichen Kosten an.

Um einen VPC Amazon-Endpunkt zu erstellen
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter VPCPrivate Cloud die Option Endpoints aus.

  3. Klicken Sie auf Endpunkt erstellen.

  4. Wählen Sie auf der Seite Endpunkt erstellen für Servicekategorie die Option Andere Endpunkt-Services.

  5. Geben Sie unter Servicename com.amazonaws.us-east-1.guardduty-data ein.

    Stellen Sie sicher, dass Sie es ersetzen us-east-1 mit deinem AWS-Region. Dies muss dieselbe Region sein wie die EC2 Amazon-Instance, die zu Ihrer AWS Konto-ID gehört.

  6. Wählen Sie Service verifizieren.

  7. Nachdem der Servicename erfolgreich verifiziert wurde, wählen Sie den VPCOrt aus, an dem sich Ihre Instance befindet. Fügen Sie die folgende Richtlinie hinzu, um die Nutzung von VPC Amazon-Endgeräten nur auf das angegebene Konto zu beschränken. Unter Angabe der unter dieser Richtlinie angegebenen Organisations-Condition können Sie die folgende Richtlinie aktualisieren, um den Zugriff auf Ihren Endpunkt einzuschränken. Informationen zur Bereitstellung des VPC Amazon-Endpunktsupports für ein bestimmtes Konto IDs in Ihrer Organisation finden Sie unterOrganization condition to restrict access to your endpoint.

    { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

    Die aws:PrincipalAccount Konto-ID muss mit dem Konto übereinstimmen, das den VPC Endpunkt VPC und enthält. Die folgende Liste zeigt, wie Sie den VPC Endpunkt mit einem anderen AWS Konto teilen könnenIDs:

    • Um mehrere Konten für den Zugriff auf den VPC Endpunkt anzugeben, "aws:PrincipalAccount: "111122223333" ersetzen Sie ihn durch den folgenden Block:

      "aws:PrincipalAccount": [ "666666666666", "555555555555" ]

      Achten Sie darauf, das AWS Konto IDs durch das Konto IDs der Konten zu ersetzen, die auf den VPC Endpunkt zugreifen müssen.

    • Um allen Mitgliedern einer Organisation den Zugriff auf den VPC Endpunkt zu ermöglichen, "aws:PrincipalAccount: "111122223333" ersetzen Sie ihn durch die folgende Zeile:

      "aws:PrincipalOrgID": "o-abcdef0123"

      Achten Sie darauf, die Organisation zu ersetzen o-abcdef0123 mit Ihrer Organisations-ID.

    • Um den Zugriff auf eine Ressource anhand einer Organisations-ID einzuschränken, fügen Sie Ihre ResourceOrgID zur Richtlinie hinzu. Weitere Informationen finden Sie aws:ResourceOrgIDim IAMBenutzerhandbuch.

      "aws:ResourceOrgID": "o-abcdef0123"
  8. Wählen Sie unter Zusätzliche Einstellungen die Option DNSNamen aktivieren aus.

  9. Wählen Sie unter Subnetze die Subnetze aus, in denen sich Ihre Instance befindet.

  10. Wählen Sie unter Sicherheitsgruppen eine Sicherheitsgruppe aus, für die der eingehende Port 443 von Ihrer VPC (oder Ihrer EC2 Amazon-Instance) aktiviert ist. Wenn Sie noch keine Sicherheitsgruppe haben, für die ein eingehender Port 443 aktiviert ist, finden Sie weitere Informationen unter Erstellen einer Sicherheitsgruppe für Sie VPC im VPCAmazon-Benutzerhandbuch.

    Wenn bei der Beschränkung der eingehenden Zugriffsberechtigungen für Sie VPC (oder Ihre Instance) ein Problem auftritt, können Sie den Port 443 für eingehenden Datenverkehr von einer beliebigen IP-Adresse aus verwenden. (0.0.0.0/0) GuardDuty Empfiehlt jedoch, IP-Adressen zu verwenden, die dem CIDR Block für Ihre entsprechen. VPC Weitere Informationen finden Sie unter VPCCIDRBlöcke im VPCAmazon-Benutzerhandbuch.

Nachdem Sie die Schritte ausgeführt haben, stellen VPCEndpunktkonfiguration wird validiert Sie sicher, dass der VPC Endpunkt korrekt eingerichtet wurde.