前提条件 – Amazon VPC エンドポイントの作成
GuardDuty セキュリティエージェントをインストールする前に、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成する必要があります。これにより、GuardDuty は Amazon EKS リソースのランタイムイベントを受信できるようになります。
注記
VPC エンドポイントの使用に追加コストはかかりません。
任意のアクセス方法を選択して、Amazon VPC エンドポイントを作成します。
- Console
-
VPC エンドポイントを作成するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインの [仮想プライベートクラウド] で、[VPC] を選択します。
-
[エンドポイントの作成] を選択します。
-
[エンドポイントの作成] ページの [サービスカテゴリ] で [その他のエンドポイントサービス] を選択します。
-
[サービス名] に
com.amazonaws.
と入力します。us-east-1
.guardduty-data必ず
us-east-1
を正しいリージョンに置き換えてください。これは、AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。 -
[サービスの確認] を選択します。
-
サービス名が正常に確認されたら、クラスターが置かれている [VPC] を選択します。次のポリシーを追加して、VPC エンドポイントの使用を指定されたアカウントのみに制限します。このポリシー下で提供されている組織
Condition
を使用して、次のポリシーを更新してエンドポイントへのアクセスを制限できます。組織内の特定のアカウント ID に VPC エンドポイントサポートを提供するには、「Organization condition to restrict access to your endpoint」を参照してください。{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "
111122223333
" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }aws:PrincipalAccount
アカウント ID は、VPC と VPC エンドポイントを含むアカウントと一致する必要があります。次のリストは、VPC エンドポイントを他の AWS アカウント ID と共有する方法を示しています。エンドポイントへのアクセスを制限する組織の条件
-
VPC エンドポイントにアクセスする複数のアカウントを指定するには、
"aws:PrincipalAccount": "
を以下に置き換えます。111122223333
""aws:PrincipalAccount": [ "
666666666666
", "555555555555
" ] -
組織のすべてのメンバーが VPC エンドポイントにアクセスできるようにするには、
"aws:PrincipalAccount": "
を以下に置き換えます。111122223333
""aws:PrincipalOrgID": "
o-abcdef0123
" -
リソースへのアクセスを組織 ID に制限するには、
ResourceOrgID
をポリシーに追加します。詳細については、「ResourceOrgID」を参照してください。
"aws:ResourceOrgID": "
o-abcdef0123
"
-
-
[追加設定] で [DNS 名を有効にする] を選択します。
-
[サブネット] で、クラスターが存在するサブネットを選択します。
-
[セキュリティグループ] で、VPC (または EKS クラスター) からのインバウンドポート 443 が有効になっているセキュリティグループを選択します。インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、セキュリティグループを作成します。
VPC (またはインスタンス) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス
(0.0.0.0/0)
からのインバウンド 443 ポートをサポートできます。ただし、GuardDuty では、VPC の CIDR ブロックに一致する IP アドレスを使用することをお勧めします。詳細については、「Amazon VPC ユーザーガイド」の「VPC CIDR ブロック」を参照してください。
- API/CLI
-
VPC エンドポイントを作成するには
-
CreateVpcEndpoint を呼び出します。
-
パラメータで以下の値を使用します。
-
[サービス名] に
com.amazonaws.
と入力します。us-east-1
.guardduty-data必ず
us-east-1
を正しいリージョンに置き換えてください。これは、AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。 -
DNSOptions には、プライベート DNS オプションを
true
に設定して有効にします。
-
-
AWS Command Line Interface については、「create-vpc-endpoint
」を参照してください。
-
ステップに従った後、「VPC エンドポイント設定の検証」を参照して、VPC エンドポイントが正しく設定されていることを確認します。