Prasyarat - Membuat titik akhir Amazon VPC - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat - Membuat titik akhir Amazon VPC

Sebelum Anda dapat menginstal agen GuardDuty keamanan, Anda harus membuat titik akhir Amazon Virtual Private Cloud (AmazonVPC). Ini akan membantu GuardDuty menerima peristiwa runtime dari EKS sumber daya Amazon Anda.

catatan

Tidak ada biaya tambahan untuk penggunaan VPC endpoint.

Pilih metode akses yang disukai untuk membuat VPC titik akhir Amazon.

Console
Untuk membuat titik VPC akhir
  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, di bawah Virtual private cloud, pilih Endpoints.

  3. Pilih Buat Titik Akhir.

  4. Pada halaman Buat titik akhir, untuk kategori Layanan, pilih Layanan titik akhir lainnya.

  5. Untuk nama Layanan, masukkancom.amazonaws.us-east-1.guardduty-data.

    Pastikan untuk mengganti us-east-1 dengan wilayah yang benar. Ini harus Region yang sama dengan EKS cluster milik Akun AWS ID Anda.

  6. Pilih Verifikasi layanan.

  7. Setelah nama layanan berhasil diverifikasi, pilih VPCtempat klaster Anda berada. Tambahkan kebijakan berikut untuk membatasi penggunaan VPC titik akhir hanya ke akun tertentu. Dengan organisasi yang Condition disediakan di bawah kebijakan ini, Anda dapat memperbarui kebijakan berikut untuk membatasi akses ke titik akhir Anda. Untuk memberikan dukungan VPC endpoint ke akun tertentu IDs di organisasi Anda, lihatOrganization condition to restrict access to your endpoint.

    { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

    ID aws:PrincipalAccount akun harus cocok dengan akun yang berisi VPC dan VPC titik akhir. Daftar berikut menunjukkan cara berbagi VPC titik akhir dengan yang lain Akun AWS IDs:

    Kondisi organisasi untuk membatasi akses ke titik akhir Anda
    • Untuk menentukan beberapa akun untuk mengakses VPC titik akhir, ganti "aws:PrincipalAccount": "111122223333" dengan yang berikut ini:

      "aws:PrincipalAccount": [ "666666666666", "555555555555" ]
    • Untuk memungkinkan semua anggota dari organisasi mengakses VPC titik akhir, ganti "aws:PrincipalAccount": "111122223333" dengan yang berikut ini:

      "aws:PrincipalOrgID": "o-abcdef0123"
    • Untuk membatasi akses sumber daya ke ID organisasi, tambahkan ResourceOrgID ke kebijakan.

      Untuk informasi selengkapnya, lihat ResourceOrgID.

      "aws:ResourceOrgID": "o-abcdef0123"
  8. Di bawah Pengaturan tambahan, pilih Aktifkan DNS nama.

  9. Di bawah Subnet, pilih subnet tempat klaster Anda berada.

  10. Di bawah Grup keamanan, pilih grup keamanan yang mengaktifkan port 443 dalam terikat dari VPC (atau EKS kluster Anda). Jika Anda belum memiliki grup keamanan yang mengaktifkan port 443 dalam terikat, Buat grup keamanan.

    Jika ada masalah saat membatasi izin masuk ke VPC (atau instance) Anda, Anda dapat menggunakan port 443 yang di-bound dari alamat IP apa pun. (0.0.0.0/0) Namun, GuardDuty rekomendasikan untuk menggunakan alamat IP yang cocok dengan CIDR blok untuk AndaVPC. Untuk informasi selengkapnya, lihat VPCCIDRpemblokiran di Panduan VPC Pengguna Amazon.

API/CLI
Untuk membuat titik VPC akhir
  • Memohon. CreateVpcEndpoint

  • Gunakan nilai berikut untuk parameter:

    • Untuk nama Layanan, masukkancom.amazonaws.us-east-1.guardduty-data.

      Pastikan untuk mengganti us-east-1 dengan wilayah yang benar. Ini harus Region yang sama dengan EKS cluster milik Akun AWS ID Anda.

    • Untuk DNSOptions, aktifkan DNS opsi pribadi dengan menyetelnya ketrue.

  • Untuk AWS Command Line Interface, lihat create-vpc-endpoint.

Setelah Anda mengikuti langkah-langkahnya, lihat Memvalidasi konfigurasi VPC titik akhir untuk memastikan bahwa VPC titik akhir telah diatur dengan benar.