Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prasyarat - Membuat titik akhir Amazon VPC
Sebelum Anda dapat menginstal agen GuardDuty keamanan, Anda harus membuat titik akhir Amazon Virtual Private Cloud (AmazonVPC). Ini akan membantu GuardDuty menerima peristiwa runtime dari EKS sumber daya Amazon Anda.
catatan
Tidak ada biaya tambahan untuk penggunaan VPC endpoint.
Pilih metode akses yang disukai untuk membuat VPC titik akhir Amazon.
- Console
-
Untuk membuat titik VPC akhir
Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/
. -
Di panel navigasi, di bawah Virtual private cloud, pilih Endpoints.
-
Pilih Buat Titik Akhir.
-
Pada halaman Buat titik akhir, untuk kategori Layanan, pilih Layanan titik akhir lainnya.
-
Untuk nama Layanan, masukkan
com.amazonaws.
.us-east-1
.guardduty-dataPastikan untuk mengganti
us-east-1
dengan wilayah yang benar. Ini harus Region yang sama dengan EKS cluster milik Akun AWS ID Anda. -
Pilih Verifikasi layanan.
-
Setelah nama layanan berhasil diverifikasi, pilih VPCtempat klaster Anda berada. Tambahkan kebijakan berikut untuk membatasi penggunaan VPC titik akhir hanya ke akun tertentu. Dengan organisasi yang
Condition
disediakan di bawah kebijakan ini, Anda dapat memperbarui kebijakan berikut untuk membatasi akses ke titik akhir Anda. Untuk memberikan dukungan VPC endpoint ke akun tertentu IDs di organisasi Anda, lihatOrganization condition to restrict access to your endpoint.{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "
111122223333
" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }ID
aws:PrincipalAccount
akun harus cocok dengan akun yang berisi VPC dan VPC titik akhir. Daftar berikut menunjukkan cara berbagi VPC titik akhir dengan yang lain Akun AWS IDs:Kondisi organisasi untuk membatasi akses ke titik akhir Anda
-
Untuk menentukan beberapa akun untuk mengakses VPC titik akhir, ganti
"aws:PrincipalAccount": "
dengan yang berikut ini:111122223333
""aws:PrincipalAccount": [ "
666666666666
", "555555555555
" ] -
Untuk memungkinkan semua anggota dari organisasi mengakses VPC titik akhir, ganti
"aws:PrincipalAccount": "
dengan yang berikut ini:111122223333
""aws:PrincipalOrgID": "
o-abcdef0123
" -
Untuk membatasi akses sumber daya ke ID organisasi, tambahkan
ResourceOrgID
ke kebijakan.Untuk informasi selengkapnya, lihat ResourceOrgID.
"aws:ResourceOrgID": "
o-abcdef0123
"
-
-
Di bawah Pengaturan tambahan, pilih Aktifkan DNS nama.
-
Di bawah Subnet, pilih subnet tempat klaster Anda berada.
-
Di bawah Grup keamanan, pilih grup keamanan yang mengaktifkan port 443 dalam terikat dari VPC (atau EKS kluster Anda). Jika Anda belum memiliki grup keamanan yang mengaktifkan port 443 dalam terikat, Buat grup keamanan.
Jika ada masalah saat membatasi izin masuk ke VPC (atau instance) Anda, Anda dapat menggunakan port 443 yang di-bound dari alamat IP apa pun.
(0.0.0.0/0)
Namun, GuardDuty rekomendasikan untuk menggunakan alamat IP yang cocok dengan CIDR blok untuk AndaVPC. Untuk informasi selengkapnya, lihat VPCCIDRpemblokiran di Panduan VPC Pengguna Amazon.
- API/CLI
-
Untuk membuat titik VPC akhir
-
Memohon. CreateVpcEndpoint
-
Gunakan nilai berikut untuk parameter:
-
Untuk nama Layanan, masukkan
com.amazonaws.
.us-east-1
.guardduty-dataPastikan untuk mengganti
us-east-1
dengan wilayah yang benar. Ini harus Region yang sama dengan EKS cluster milik Akun AWS ID Anda. -
Untuk DNSOptions, aktifkan DNS opsi pribadi dengan menyetelnya ke
true
.
-
-
Untuk AWS Command Line Interface, lihat create-vpc-endpoint
.
-
Setelah Anda mengikuti langkah-langkahnya, lihat Memvalidasi konfigurasi VPC titik akhir untuk memastikan bahwa VPC titik akhir telah diatur dengan benar.