Amazon GuardDuty und VPC Schnittstellenendpunkte ()AWS PrivateLink - Amazon GuardDuty
Überlegungen zu Endpunkten GuardDuty VPCErstellen eines VPC Schnittstellenendpunkts für GuardDutyErstellen einer VPC Endpunktrichtlinie für GuardDutyGemeinsam genutzte Subnetze

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon GuardDuty und VPC Schnittstellenendpunkte ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihnen VPC und Amazon herstellen, GuardDuty indem Sie einen VPCSchnittstellenendpunkt erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben AWS PrivateLink, mit der Sie privat GuardDuty APIs ohne Internet-Gateway, NAT Gerät, VPN Verbindung oder AWS Direct Connect-Verbindung zugreifen können. Instances in Ihrem VPC System benötigen keine öffentlichen IP-Adressen, um mit GuardDuty APIs ihnen zu kommunizieren. Der Verkehr zwischen Ihnen VPC und GuardDuty verlässt das Amazon-Netzwerk nicht.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen in Ihren Subnetzen dargestellt.

Weitere Informationen finden Sie unter VPCSchnittstellenendpunkte (AWS PrivateLink) im AWS PrivateLink Handbuch.

Überlegungen zu Endpunkten GuardDuty VPC

Bevor Sie einen VPC Schnittstellenendpunkt für einrichten GuardDuty, sollten Sie sich mit den Eigenschaften und Einschränkungen der Schnittstellenendpunkte im AWS PrivateLink Handbuch vertraut machen.

GuardDuty unterstützt das Aufrufen all seiner API Aktionen von Ihrem ausVPC.

Erstellen eines VPC Schnittstellenendpunkts für GuardDuty

Sie können einen VPC Endpunkt für den GuardDuty Service entweder mit der VPC Amazon-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im AWS PrivateLink -Leitfaden.

Erstellen Sie einen VPC Endpunkt für die GuardDuty Verwendung des folgenden Servicenamens:

  • com.amazonaws. region. Wachdienst

  • com.amazonaws. region.guardduty-fips (Endpunkt) FIPS

Wenn Sie Private DNS für den Endpunkt aktivieren, können Sie API Anfragen zur GuardDuty Verwendung des DNS Standardnamens für die Region stellen, z. B. guardduty.us-east-1.amazonaws.com

Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Zugreifen auf einen Dienst über einen Schnittstellenendpunkt.

Erstellen einer VPC Endpunktrichtlinie für GuardDuty

Sie können Ihrem VPC Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff darauf steuert GuardDuty. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie im AWS PrivateLink Leitfaden unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten.

Beispiel: VPC Endpunktrichtlinie für Aktionen GuardDuty

Das Folgende ist ein Beispiel für eine Endpunktrichtlinie für GuardDuty. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten GuardDuty Aktionen.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "guardduty:listDetectors",
            "guardduty:getDetector",
            "guardduty:getFindings"
         ],
         "Resource":"*"
      }
   ]
}

Gemeinsam genutzte Subnetze

In Subnetzen, die mit Ihnen gemeinsam genutzt werden, können Sie keine VPC Endpoints erstellen, beschreiben, ändern oder löschen. Sie können die VPC Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen gemeinsam genutzt werden. Informationen zum VPC Teilen finden Sie unter Teilen Ihres VPC Kontos mit anderen Konten im VPCAmazon-Benutzerhandbuch.