Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Prérequis — Création d'un point de VPC terminaison Amazon
Avant de pouvoir installer l'agent GuardDuty de sécurité, vous devez créer un point de terminaison Amazon Virtual Private Cloud (AmazonVPC). Cela vous aidera à GuardDuty recevoir les événements d'exécution de vos EKS ressources Amazon.
Note
Il n'y a aucun coût supplémentaire pour l'utilisation du VPC terminal.
Choisissez une méthode d'accès préférée pour créer un point de VPC terminaison Amazon.
- Console
-
Pour créer un VPC point de terminaison
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, sous Cloud privé virtuel, choisissez Points de terminaison.
-
Choisissez Créer un point de terminaison.
-
Sur la page Créer un point de terminaison, pour Catégorie de services, choisissez Autres services de points de terminaison.
-
Pour Nom du service, entrez
com.amazonaws.
.us-east-1
.guardduty-dataAssurez-vous de remplacer
us-east-1
avec la bonne région. Il doit s'agir de la même région que le EKS cluster qui appartient à votre Compte AWS identifiant. -
Choisissez Vérifier le service.
-
Une fois le nom du service vérifié avec succès, choisissez l'VPCemplacement de votre cluster. Ajoutez la politique suivante pour limiter l'utilisation des VPC terminaux au compte spécifié uniquement. Avec l'organisation
Condition
indiquée sous cette stratégie, vous pouvez mettre à jour la stratégie suivante pour restreindre l'accès à votre point de terminaison. Pour fournir une assistance aux VPC terminaux à un compte IDs spécifique de votre organisation, consultezOrganization condition to restrict access to your endpoint.{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "
111122223333
" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }L'identifiant du
aws:PrincipalAccount
compte doit correspondre au compte contenant le point de VPC terminaison VPC et. La liste suivante indique comment partager le VPC point de terminaison avec d'autres utilisateurs Compte AWS IDs :Condition d'organisation pour restreindre l'accès à votre point de terminaison
-
Pour spécifier plusieurs comptes pour accéder au VPC point de terminaison, remplacez-le
"aws:PrincipalAccount": "
par ce qui suit :111122223333
""aws:PrincipalAccount": [ "
666666666666
", "555555555555
" ] -
Pour autoriser tous les membres d'une organisation à accéder au VPC point de terminaison, remplacez-le
"aws:PrincipalAccount": "
par ce qui suit :111122223333
""aws:PrincipalOrgID": "
o-abcdef0123
" -
Pour restreindre l'accès à une ressource à un ID d'organisation, ajoutez votre
ResourceOrgID
à la stratégie.Pour plus d'informations, voir ResourceOrgID.
"aws:ResourceOrgID": "
o-abcdef0123
"
-
-
Sous Paramètres supplémentaires, choisissez Activer DNS le nom.
-
Sous Sous-réseaux, choisissez les sous-réseaux dans lesquels réside votre cluster.
-
Sous Groupes de sécurité, choisissez un groupe de sécurité dont le port entrant 443 est activé depuis votre VPC (ou votre EKS cluster). Si vous ne possédez pas encore de groupe de sécurité dont le port entrant 443 est activé, créez un groupe de sécurité.
En cas de problème lors de la restriction des autorisations entrantes à votre VPC (ou instance), vous pouvez accéder au port 443 entrant depuis n'importe quelle adresse IP.
(0.0.0.0/0)
Cependant, il GuardDuty recommande d'utiliser des adresses IP correspondant au CIDR bloc correspondant à votreVPC. Pour plus d'informations, consultez les VPCCIDRblocs dans le guide de VPC l'utilisateur Amazon.
- API/CLI
-
Pour créer un VPC point de terminaison
-
Invoquer CreateVpcEndpoint.
-
Utilisez les valeurs suivantes pour les paramètres :
-
Pour Nom du service, entrez
com.amazonaws.
.us-east-1
.guardduty-dataAssurez-vous de remplacer
us-east-1
avec la bonne région. Il doit s'agir de la même région que le EKS cluster qui appartient à votre Compte AWS identifiant. -
Pour DNSOptionsactiver l'DNSoption privée en la définissant sur
true
.
-
-
Pour AWS Command Line Interface, voir create-vpc-endpoint
.
-
Après avoir suivi les étapes, consultez Validation de la configuration des VPC terminaux pour vous assurer que le VPC point de terminaison a été correctement configuré.