前提条件 – Amazon VPC エンドポイントの作成 - Amazon GuardDuty

前提条件 – Amazon VPC エンドポイントの作成

GuardDuty セキュリティエージェントをインストールする前に、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成する必要があります。これにより、GuardDuty は Amazon EKS リソースのランタイムイベントを受信できるようになります。

注記

VPC エンドポイントの使用に追加コストはかかりません。

任意のアクセス方法を選択して、Amazon VPC エンドポイントを作成します。

Console
VPC エンドポイントを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインの [仮想プライベートクラウド] で、[VPC] を選択します。

  3. [エンドポイントの作成] を選択します。

  4. [エンドポイントの作成] ページの [サービスカテゴリ][その他のエンドポイントサービス] を選択します。

  5. [サービス名]com.amazonaws.us-east-1.guardduty-data と入力します。

    必ず us-east-1 を正しいリージョンに置き換えてください。これは、AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。

  6. [サービスの確認] を選択します。

  7. サービス名が正常に確認されたら、クラスターが置かれている [VPC] を選択します。次のポリシーを追加して、VPC エンドポイントの使用を指定されたアカウントのみに制限します。このポリシー下で提供されている組織 Condition を使用して、次のポリシーを更新してエンドポイントへのアクセスを制限できます。組織内の特定のアカウント ID に VPC エンドポイントサポートを提供するには、「Organization condition to restrict access to your endpoint」を参照してください。

    { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

    aws:PrincipalAccount アカウント ID は、VPC と VPC エンドポイントを含むアカウントと一致する必要があります。次のリストは、VPC エンドポイントを他の AWS アカウント ID と共有する方法を示しています。

    エンドポイントへのアクセスを制限する組織の条件
    • VPC エンドポイントにアクセスする複数のアカウントを指定するには、"aws:PrincipalAccount": "111122223333"を以下に置き換えます。

      "aws:PrincipalAccount": [ "666666666666", "555555555555" ]
    • 組織のすべてのメンバーが VPC エンドポイントにアクセスできるようにするには、"aws:PrincipalAccount": "111122223333" を以下に置き換えます。

      "aws:PrincipalOrgID": "o-abcdef0123"
    • リソースへのアクセスを組織 ID に制限するには、ResourceOrgID をポリシーに追加します。

      詳細については、「ResourceOrgID」を参照してください。

      "aws:ResourceOrgID": "o-abcdef0123"
  8. [追加設定][DNS 名を有効にする] を選択します。

  9. [サブネット] で、クラスターが存在するサブネットを選択します。

  10. [セキュリティグループ] で、VPC (または EKS クラスター) からのインバウンドポート 443 が有効になっているセキュリティグループを選択します。インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、セキュリティグループを作成します。

    VPC (またはインスタンス) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス (0.0.0.0/0) からのインバウンド 443 ポートをサポートできます。ただし、GuardDuty では、VPC の CIDR ブロックに一致する IP アドレスを使用することをお勧めします。詳細については、「Amazon VPC ユーザーガイド」の「VPC CIDR ブロック」を参照してください。

API/CLI
VPC エンドポイントを作成するには
  • CreateVpcEndpoint を呼び出します。

  • パラメータで以下の値を使用します。

    • [サービス名]com.amazonaws.us-east-1.guardduty-data と入力します。

      必ず us-east-1 を正しいリージョンに置き換えてください。これは、AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。

    • DNSOptions には、プライベート DNS オプションを true に設定して有効にします。

  • AWS Command Line Interface については、「create-vpc-endpoint」を参照してください。

ステップに従った後、「VPC エンドポイント設定の検証」を参照して、VPC エンドポイントが正しく設定されていることを確認します。