Requisito previo: crear manualmente el punto de conexión de Amazon VPC

Para crear un punto de conexión de Amazon VPC

1. Inicie sesión en la consola de Amazon VPC AWS Management Console y ábrala en. https://console.aws.amazon.com/vpc/

2. En el panel de navegación, en Nube privada VPC, seleccione Puntos de conexión.

3. Seleccione Crear punto de conexión.

4. En la página Crear punto de conexión, en Categoría de servicio, elija Otros servicios de punto de conexión.

5. En Nombre del servicio, escriba com.amazonaws.us-east-1.guardduty-data.

   Asegúrese de reemplazarla por us-east-1 su. Región de AWS Debe ser la misma región que la EC2 instancia de Amazon que pertenece a tu ID de AWS cuenta.

6. Elija Verificar el servicio.

7. Una vez que el nombre del servicio se haya verificado correctamente, elija la VPC en la que reside la instancia. Agregue la siguiente política para restringir el uso de puntos de conexión de Amazon VPC únicamente a la cuenta especificada. Con el valor de Condition de la organización que se indica debajo de esta política, puede actualizar la siguiente política para restringir el acceso a su punto de conexión. Para proporcionar el soporte del punto de conexión de Amazon VPC a una cuenta específica IDs de su organización, consulte. Organization condition to restrict access to your endpoint

   {
   	"Version": "2012-10-17",
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }

   El ID de cuenta de aws:PrincipalAccount debe coincidir con la cuenta que contiene la VPC y el punto de conexión de VPC. En la siguiente lista se muestra cómo compartir el punto final de la VPC con otra AWS cuenta: IDs

   • Para especificar varias cuentas para acceder al punto de conexión de VPC, sustituya "aws:PrincipalAccount: "111122223333" por el siguiente bloque:

     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]

     Asegúrese de reemplazar la AWS cuenta por la cuenta IDs IDs de las cuentas que necesitan acceder al punto final de la VPC.

   • Para permitir que todos los miembros de una organización accedan al punto de conexión de VPC, sustituya "aws:PrincipalAccount: "111122223333" por la siguiente línea:

     "aws:PrincipalOrgID": "o-abcdef0123"

     Asegúrese de reemplazar la organización o-abcdef0123 por su ID de organización.

   • Para restringir el acceso a un recurso mediante un ID de organización, agregue el ResourceOrgID a la política. Para obtener más información, consulte aws:ResourceOrgID en la Guía del usuario de IAM.

     "aws:ResourceOrgID": "o-abcdef0123"

8. En Configuración adicional, seleccione Habilitar nombre de DNS.

9. En Subredes, elija las subredes en las que reside la instancia.

10. En Grupos de seguridad, elige un grupo de seguridad que tenga el puerto de entrada 443 habilitado desde tu VPC (o tu instancia de EC2 Amazon). Si aún no dispone de un grupo de seguridad que tenga habilitado un puerto de entrada 443, consulte Crear un grupo de seguridad para la VPC en la Guía del usuario de Amazon VPC.

    Si se produce un problema al restringir los permisos de entrada a la VPC (o instancia), puede utilizar el puerto de entrada 443 desde cualquier dirección IP (0.0.0.0/0). Sin embargo, GuardDuty recomienda utilizar direcciones IP que coincidan con el bloque CIDR de la VPC. Para obtener más información, consulte Bloques de CIDR de VPC en la Guía del usuario de Amazon VPC.