前提条件 - Amazon VPC エンドポイントの手動作成 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件 - Amazon VPC エンドポイントの手動作成

GuardDuty セキュリティエージェントをインストールする前に、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成する必要があります。これにより、GuardDuty は Amazon EC2 インスタンスのランタイムイベントを受信できるようになります。

注記

VPC エンドポイントの使用に追加コストはかかりません。

Amazon VPC エンドポイントを作成するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. ナビゲーションペインの [VPC プライベートクラウド] で、[エンドポイント] を選択します。

  3. [エンドポイントの作成] を選択します。

  4. [エンドポイントの作成] ページの [サービスカテゴリ][その他のエンドポイントサービス] を選択します。

  5. [サービス名]com.amazonaws.us-east-1.guardduty-data と入力します。

    必ず「us-east-1」をあなたの AWS リージョンに置き換えてください。これは、 AWS アカウント ID に属する Amazon EC2 インスタンスと同じリージョンである必要があります。

  6. [サービスの確認] を選択します。

  7. サービス名が正常に確認されたら、インスタンスが置かれている [VPC] を選択します。次のポリシーを追加して、Amazon VPC エンドポイントの使用を指定されたアカウントのみに制限します。このポリシー下で提供されている組織 Condition を使用して、次のポリシーを更新してエンドポイントへのアクセスを制限できます。組織内の特定のアカウント ID に Amazon VPC エンドポイントサポートを提供するには、「Organization condition to restrict access to your endpoint」を参照してください。

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "111122223333" 
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}

    aws:PrincipalAccount アカウント ID は、VPC と VPC エンドポイントを含むアカウントと一致する必要があります。次のリストは、VPC エンドポイントを他の AWS アカウント IDs と共有する方法を示しています。

    • VPC エンドポイントにアクセスする複数のアカウントを指定するには、"aws:PrincipalAccount: "111122223333"を以下のブロックに置き換えます。

      "aws:PrincipalAccount": [
          "666666666666",
          "555555555555"
      ]

      AWS アカウント IDs は、VPC エンドポイントにアクセスする必要があるアカウントのアカウント IDs に置き換えてください。

    • 組織のすべてのメンバーが VPC エンドポイントにアクセスできるようにするには、"aws:PrincipalAccount: "111122223333" を以下のラインに置き換えます。

      "aws:PrincipalOrgID": "o-abcdef0123"

      組織「o-abcdef0123」は必ず自分の組織 ID に置き換えてください。

    • リソースへのアクセスを組織 ID で制限するには、ResourceOrgID をポリシーに追加します。詳細については、IAM ユーザーガイドaws:ResourceOrgID を参照してください。

      "aws:ResourceOrgID": "o-abcdef0123"

  8. [追加設定][DNS 名を有効にする] を選択します。

  9. [サブネット] で、インスタンスが存在するサブネットを選択します。

  10. [セキュリティグループ] で、VPC (または Amazon EC2 インスタンス) からのインバウンドポート 443 が有効になっているセキュリティグループを選択します。インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、「Amazon VPC ユーザーガイド」の「VPC 用のセキュリティグループを作成するには」を参照してください。

    VPC (またはインスタンス) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス (0.0.0.0/0) からのインバウンド 443 ポートをサポートできます。ただし、GuardDuty では、VPC の CIDR ブロックに一致する IP アドレスを使用することをお勧めします。詳細については、「Amazon VPC ユーザーガイド」の「VPC CIDR ブロック」を参照してください。

ステップに従った後、「VPC エンドポイント設定の検証」を参照して、VPC エンドポイントが正しく設定されていることを確認します。