Requisito previo: crear un punto de conexión de Amazon VPC

Para crear un punto de conexión de VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, en Nube virtual privada, seleccione Puntos de conexión.

3. Seleccione Crear punto de conexión.

4. En la página Crear punto de conexión, en Categoría de servicio, elija Otros servicios de punto de conexión.

5. En Nombre del servicio, escriba com.amazonaws.us-east-1.guardduty-data.

   Asegúrese de sustituir us-east-1 por la región correcta. Debe ser la misma región que la del clúster de EKS que pertenece al ID de su Cuenta de AWS.

6. Elija Verificar el servicio.

7. Una vez que el nombre del servicio se haya verificado correctamente, elija la VPC en la que reside el clúster. Agregue la siguiente política para restringir el uso de los puntos de conexión de VPC únicamente a la cuenta especificada. Con el valor de Condition de la organización que se indica debajo de esta política, puede actualizar la siguiente política para restringir el acceso a su punto de conexión. Para proporcionar compatibilidad con puntos de conexión de VPC a ID de cuentas específicos de su organización, consulte Organization condition to restrict access to your endpoint.

   {
   	"Version": "2012-10-17",
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }

   El ID de cuenta de aws:PrincipalAccount debe coincidir con la cuenta que contiene la VPC y el punto de conexión de VPC. En la siguiente lista se muestra cómo compartir el punto de conexión de VPC con otros ID de Cuenta de AWS:

   Condición de la organización para restringir el acceso a su punto de conexión

   • Si quiere especificar varias cuentas para acceder al punto de conexión de VPC, sustituya "aws:PrincipalAccount": "111122223333" por lo siguiente:

     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]

   • Para permitir que todos los miembros de una organización accedan al punto de conexión de VPC, sustituya "aws:PrincipalAccount": "111122223333" por lo siguiente:

     "aws:PrincipalOrgID": "o-abcdef0123"

   • Para restringir el acceso a un recurso a un ID de organización, agregue su ResourceOrgID a la política.

     Para obtener más información, consulte ResourceOrgID.

     "aws:ResourceOrgID": "o-abcdef0123"

8. En Configuración adicional, seleccione Habilitar nombre de DNS.

9. En Subredes, elija las subredes en las que reside el clúster.

10. En Grupos de seguridad, elija un grupo de seguridad que tenga el puerto de entrada 443 habilitado desde su VPC (o su clúster de EKS). Si aún no tiene ningún grupo de seguridad que tenga habilitado el puerto de entrada 443, cree un grupo de seguridad.

    Si se produce un problema al restringir los permisos de entrada a la VPC (o instancia), puede utilizar el puerto de entrada 443 desde cualquier dirección IP (0.0.0.0/0). Sin embargo, GuardDuty recomienda utilizar direcciones IP que coincidan con el bloque de CIDR correspondiente a la VPC. Para obtener más información, consulte Bloques de CIDR de VPC en la Guía del usuario de Amazon VPC.