Prasyarat - Membuat titik akhir Amazon secara manual VPC - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat - Membuat titik akhir Amazon secara manual VPC

Sebelum Anda dapat menginstal agen GuardDuty keamanan, Anda harus membuat titik akhir Amazon Virtual Private Cloud (AmazonVPC). Ini akan membantu GuardDuty menerima peristiwa runtime dari EC2 instans Amazon Anda.

catatan

Tidak ada biaya tambahan untuk penggunaan VPC endpoint.

Untuk membuat titik VPC akhir Amazon
  1. Masuk ke AWS Management Console dan buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, di bawah cloud VPC pribadi, pilih Endpoints.

  3. Pilih Buat Titik Akhir.

  4. Pada halaman Buat titik akhir, untuk kategori Layanan, pilih Layanan titik akhir lainnya.

  5. Untuk nama Layanan, masukkancom.amazonaws.us-east-1.guardduty-data.

    Pastikan untuk mengganti us-east-1 dengan Anda Wilayah AWS. Ini harus Wilayah yang sama dengan EC2 instans Amazon yang termasuk dalam ID AWS akun Anda.

  6. Pilih Verifikasi layanan.

  7. Setelah nama layanan berhasil diverifikasi, pilih VPCtempat instans Anda berada. Tambahkan kebijakan berikut untuk membatasi penggunaan VPC titik akhir Amazon hanya ke akun yang ditentukan. Dengan organisasi yang Condition disediakan di bawah kebijakan ini, Anda dapat memperbarui kebijakan berikut untuk membatasi akses ke titik akhir Anda. Untuk memberikan dukungan VPC endpoint Amazon ke akun tertentu IDs di organisasi Anda, lihatOrganization condition to restrict access to your endpoint.

    { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

    ID aws:PrincipalAccount akun harus cocok dengan akun yang berisi VPC dan VPC titik akhir. Daftar berikut menunjukkan cara berbagi VPC titik akhir dengan AWS akun IDs lain:

    • Untuk menentukan beberapa akun untuk mengakses VPC titik akhir, ganti "aws:PrincipalAccount: "111122223333" dengan blok berikut:

      "aws:PrincipalAccount": [ "666666666666", "555555555555" ]

      Pastikan untuk mengganti AWS akun IDs dengan akun akun IDs yang perlu mengakses VPC titik akhir.

    • Untuk memungkinkan semua anggota dari organisasi mengakses VPC titik akhir, ganti "aws:PrincipalAccount: "111122223333" dengan baris berikut:

      "aws:PrincipalOrgID": "o-abcdef0123"

      Pastikan untuk mengganti organisasi o-abcdef0123 dengan ID organisasi Anda.

    • Untuk membatasi akses sumber daya berdasarkan ID organisasi, tambahkan ResourceOrgID ke kebijakan. Untuk informasi selengkapnya, lihat aws:ResourceOrgIDdi Panduan IAM Pengguna.

      "aws:ResourceOrgID": "o-abcdef0123"
  8. Di bawah Pengaturan tambahan, pilih Aktifkan DNS nama.

  9. Di bawah Subnet, pilih subnet tempat instans Anda berada.

  10. Di bawah Grup keamanan, pilih grup keamanan yang mengaktifkan port 443 dalam terikat dari VPC (atau EC2 instans Amazon Anda). Jika Anda belum memiliki grup keamanan yang mengaktifkan port 443 dalam terikat, lihat Membuat grup keamanan untuk Anda VPC di VPCPanduan Pengguna Amazon.

    Jika ada masalah saat membatasi izin masuk ke VPC (atau instance) Anda, Anda dapat menggunakan port 443 yang di-bound dari alamat IP apa pun. (0.0.0.0/0) Namun, GuardDuty rekomendasikan untuk menggunakan alamat IP yang cocok dengan CIDR blok untuk AndaVPC. Untuk informasi selengkapnya, lihat VPCCIDRpemblokiran di Panduan VPC Pengguna Amazon.

Setelah Anda mengikuti langkah-langkahnya, lihat Memvalidasi konfigurasi VPC titik akhir untuk memastikan bahwa VPC titik akhir telah diatur dengan benar.