Pré-requisito — Criando um endpoint da Amazon VPC manualmente - Amazon GuardDuty

Pré-requisito — Criando um endpoint da Amazon VPC manualmente

Antes de instalar o agente de segurança do GuardDuty, você deve criar um endpoint da Amazon Virtual Private Cloud (Amazon VPC). Isso ajudará o GuardDuty a receber os eventos de runtime de instâncias do Amazon EC2.

nota

Não há custo adicional para usar o endpoint da VPC.

Para criar um endpoint da VPC do Amazon

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, em Nuvem privada VPC, escolha Endpoints.

  3. Escolha Criar Endpoint.

  4. Na página Criar endpoint, para a Categoria de serviço, escolha Outros serviços de endpoint.

  5. Em Nome do serviço, digite com.amazonaws.us-east-1.guardduty-data.

    Lembre-se de substituir us-east-1 por seu Região da AWS. Essa deve ser a mesma Região da instância do Amazon EC2 que pertence ao seu ID de conta AWS.

  6. Selecione Verificar serviço.

  7. Depois que o nome do serviço for verificado com sucesso, escolha a VPC em que reside sua instância. Adicione a política a seguir para restringir o uso do endpoint da Amazon VPC somente à conta especificada. Com a Condition da organização fornecida abaixo desta política, você pode atualizar a política a seguir para restringir o acesso ao seu endpoint. Para fornecer suporte de endpoint da Amazon VPC para IDs de conta específicos em sua organização, consulte Organization condition to restrict access to your endpoint.

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "111122223333" 
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}

    O ID de conta aws:PrincipalAccount deve corresponder à conta que contém a VPC e o endpoint da VPC. A lista a seguir mostra como compartilhar o endpoint da VPC com outros IDs de conta AWS:

    • Para especificar várias contas para acessar o endpoint da VPC, substitua "aws:PrincipalAccount: "111122223333" pelo seguinte bloco:

      "aws:PrincipalAccount": [
          "666666666666",
          "555555555555"
      ]

      Certifique-se de substituir os IDs da conta AWS pelos IDs da conta que precisam acessar o endpoint da VPC.

    • Para permitir que todos os membros de uma organização acessem o endpoint da VPC, substitua "aws:PrincipalAccount: "111122223333" pela seguinte linha:

      "aws:PrincipalOrgID": "o-abcdef0123"

      Certifique-se de substituir a organização o-abcdef0123 pela sua ID da organização.

    • Para restringir o acesso para um recurso a um ID de organização, adicione seu ResourceOrgID à política. Para obter mais informações, consulteaws:ResourceOrgID no Guia do usuário do IAM.

      "aws:ResourceOrgID": "o-abcdef0123"

  8. Em Configurações adicionais, selecione Habilitar nome DNS.

  9. Em Sub-redes, escolha as sub-redes em que reside sua instância.

  10. Em Grupos de segurança, escolha um grupo de segurança que tenha a porta de entrada 443 habilitada em sua VPC (ou em sua instância do Amazon EC2). Se você ainda não tem um grupo de segurança que tenha uma porta de entrada 443 habilitada, consulte Criar um grupo de segurança para sua VPC no Guia do usuário da Amazon VPC.

    Se houver um problema ao restringir as permissões de entrada para sua VPC (ou instância), é possível usar a porta de entrada 443 de qualquer endereço IP (0.0.0.0/0). No entanto, o GuardDuty recomenda usar endereços IP que correspondam ao bloco CIDR da sua VPC. Para obter mais informações, consulte Blocos VPC CIDR no Guia do usuário da Amazon VPC.

Depois de seguir as etapas, verifique em Validando a configuração do endpoint da VPC se o endpoint da VPC foi configurado corretamente.