Prerequisito: creazione di un endpoint Amazon VPC

Per creare un endpoint VPC

1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Dal riquadro di navigazione, in Cloud privato virtuale, scegli Endpoint.

3. Scegliere Create Endpoint (Crea endpoint).

4. Nella pagina Crea endpoint per Categoria servizio, scegli Altri servizi endpoint.

5. Per Nome servizio, inserisci com.amazonaws.us-east-1.guardduty-data.

   Assicurati di sostituirlo us-east-1 con la regione corretta. Questa deve essere la stessa regione del cluster EKS che appartiene al tuo Account AWS ID.

6. Scegli Verifica del servizio.

7. Dopo aver verificato correttamente il nome del servizio, scegli il VPC in cui risiede il cluster. Aggiungi la policy seguente per limitare l'utilizzo degli endpoint VPC solo all'account specificato. Con la Condition dell'organizzazione fornita sotto a questa policy, puoi aggiornare la policy seguente per limitare l'accesso all'endpoint. Per fornire il supporto degli endpoint VPC a un account IDs specifico della tua organizzazione, consulta. Organization condition to restrict access to your endpoint

   {
   	"Version": "2012-10-17",
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }

   L'ID account di aws:PrincipalAccount deve corrispondere all'account contenente il VPC e l'endpoint VPC. L'elenco seguente mostra come condividere l'endpoint VPC con altri: Account AWS IDs

   Condizione dell'organizzazione per limitare l'accesso all'endpoint

   • Per specificare più account per accedere all'endpoint VPC, sostituisci "aws:PrincipalAccount": "111122223333" con quanto segue:

     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]

   • Per consentire a tutti i membri di un'organizzazione di accedere all'endpoint VPC, sostituisci "aws:PrincipalAccount": "111122223333" con quanto segue:

     "aws:PrincipalOrgID": "o-abcdef0123"

   • Per limitare l'accesso a una risorsa da parte di un ID organizzazione, aggiungi il tuo ResourceOrgID alla policy.

     Per ulteriori informazioni, consulta ResourceOrg ID.

     "aws:ResourceOrgID": "o-abcdef0123"

8. In Impostazioni aggiuntive, scegli Abilita nome DNS.

9. In Sottoreti, scegli le sottoreti in cui risiede il cluster.

10. In Gruppi di sicurezza, scegli un gruppo di sicurezza con la porta 443 in ingresso abilitata dal tuo VPC (o dal cluster EKS). Se non disponi già di un gruppo di sicurezza con una porta 443 in ingresso abilitata, Crea un gruppo di sicurezza.

    Se c'è un problema durante la limitazione delle autorizzazioni in ingresso al tuo VPC (o istanza), puoi utilizzare la porta 443 in ingresso da qualsiasi indirizzo IP. (0.0.0.0/0) Tuttavia, GuardDuty consiglia di utilizzare indirizzi IP che corrispondano al blocco CIDR per il VPC. Per ulteriori informazioni, consulta i blocchi VPC CIDR nella Amazon VPC User Guide.