Voraussetzung — Einen VPC Amazon-Endpunkt erstellen

Bevor Sie den GuardDuty Security Agent installieren können, müssen Sie einen Amazon Virtual Private Cloud (AmazonVPC) -Endpunkt erstellen. Dies hilft beim GuardDuty Empfang der Runtime-Ereignisse Ihrer EKS Amazon-Ressourcen.

Anmerkung

Für die Nutzung des VPC Endpunkts fallen keine zusätzlichen Kosten an.

Wählen Sie eine bevorzugte Zugriffsmethode, um einen VPC Amazon-Endpunkt zu erstellen.

Console

Um einen VPC Endpunkt zu erstellen

Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsmenü unter Virtual Private Cloud die Option Endpunkte.
Klicken Sie auf Endpunkt erstellen.
Wählen Sie auf der Seite Endpunkt erstellen für Servicekategorie die Option Andere Endpunkt-Services.
Geben Sie unter Servicename com.amazonaws.us-east-1.guardduty-data ein.

Stellen Sie sicher, dass Sie es austauschen us-east-1 mit der richtigen Region. Dies muss dieselbe Region sein wie der EKS Cluster, der zu Ihrer AWS-Konto ID gehört.
Wählen Sie Service verifizieren.
Nachdem der Dienstname erfolgreich verifiziert wurde, wählen Sie den VPCOrt aus, an dem sich Ihr Cluster befindet. Fügen Sie die folgende Richtlinie hinzu, um die VPC Endpunktnutzung nur auf das angegebene Konto zu beschränken. Unter Angabe der unter dieser Richtlinie angegebenen Organisations-Condition können Sie die folgende Richtlinie aktualisieren, um den Zugriff auf Ihren Endpunkt einzuschränken. Informationen zur Bereitstellung von VPC Endpunktunterstützung für ein bestimmtes Konto IDs in Ihrer Organisation finden Sie unterOrganization condition to restrict access to your endpoint.
```
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "111122223333" 
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}
```
Die aws:PrincipalAccount Konto-ID muss mit dem Konto übereinstimmen, das den VPC Endpunkt VPC und enthält. Die folgende Liste zeigt, wie Sie den VPC Endpunkt mit anderen teilen können AWS-Konto IDs:
Organisationsbedingung
, um den Zugriff auf Ihren Endpunkt einzuschränken
- Wenn Sie mehrere Konten für den Zugriff auf den VPC Endpunkt angeben möchten, "aws:PrincipalAccount": "111122223333" ersetzen Sie ihn durch Folgendes:
```
"aws:PrincipalAccount": [
          "666666666666",
          "555555555555"
    ]
```
- Um allen Mitgliedern einer Organisation den Zugriff auf den VPC Endpunkt zu ermöglichen, "aws:PrincipalAccount": "111122223333" ersetzen Sie ihn durch folgenden Wortlaut:
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
- Um den Zugriff auf eine Ressource auf eine Organisations-ID zu beschränken, fügen Sie Ihre ResourceOrgID zur Richtlinie hinzu.
  
  Weitere Informationen finden Sie unter ResourceOrgID.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
Wählen Sie unter Zusätzliche Einstellungen die Option DNSNamen aktivieren aus.
Wählen Sie unter Subnetze die Subnetze aus, in denen sich Ihr Cluster befindet.
Wählen Sie unter Sicherheitsgruppen eine Sicherheitsgruppe aus, für die der eingehende Port 443 von Ihrem VPC (oder Ihrem EKS Cluster) aus aktiviert ist. Wenn Sie noch keine Sicherheitsgruppe haben, für die der eingehende Port 443 aktiviert ist, Erstellen Sie eine Sicherheitsgruppe.

Wenn bei der Beschränkung der eingehenden Zugriffsrechte auf Ihre VPC (oder Ihre Instance) ein Problem auftritt, können Sie den Port 443 für eingehende Verbindungen von einer beliebigen IP-Adresse aus verwenden. (0.0.0.0/0) GuardDuty Empfiehlt jedoch, IP-Adressen zu verwenden, die dem CIDR Block für Ihre entsprechen. VPC Weitere Informationen finden Sie unter VPCCIDRBlöcke im VPCAmazon-Benutzerhandbuch.

API/CLI

Um einen VPC Endpunkt zu erstellen

Aufrufen CreateVpcEndpoint.
Verwenden Sie die folgenden Werte für die Parameter:
- Geben Sie unter Servicename com.amazonaws.us-east-1.guardduty-data ein.
  
  Stellen Sie sicher, dass Sie es ersetzen us-east-1 mit der richtigen Region. Dies muss dieselbe Region sein wie der EKS Cluster, der zu Ihrer AWS-Konto ID gehört.
- Aktivieren Sie die private DNS Option für DNSOptions, indem Sie sie auf setzentrue.
AWS Command Line Interface Näheres dazu finden Sie unter create-vpc-endpoint.

Nachdem Sie die Schritte ausgeführt haben, überprüfen VPCEndpunktkonfiguration wird validiert Sie, ob der VPC Endpunkt korrekt eingerichtet wurde.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Manuelles Agentenmanagement für EKS Amazon-Cluster

Konfigurieren Sie die EKS Zusatzparameter

Voraussetzung — Einen VPC Amazon-Endpunkt erstellen

Anmerkung

Um einen VPC Endpunkt zu erstellen

Organisationsbedingung , um den Zugriff auf Ihren Endpunkt einzuschränken

Um einen VPC Endpunkt zu erstellen

Organisationsbedingung
, um den Zugriff auf Ihren Endpunkt einzuschränken