先决条件 – 手动创建 Amazon VPC 端点
安装 GuardDuty 安全代理之前,您必须首先创建一个 Amazon Virtual Private Cloud(Amazon VPC)端点。这将有助于 GuardDuty 接收 Amazon EC2 实例的运行时事件。
注意
使用 VPC 端点不会产生额外的成本。
创建 Amazon VPC 端点
通过 https://console.aws.amazon.com/vpc/
登录到AWS Management Console并打开 Amazon VPC 控制台。 -
在导航窗格中的 VPC 私有云下,选择端点。
-
选择 Create Endpoint(创建端点)。
-
在创建端点页面上,对于服务类别,选择其他端点服务。
-
对于服务名称,输入
com.amazonaws.。us-east-1.guardduty-data务必要将
us-east-1替换为您所在的 AWS 区域。该区域必须与属于您的 AWS 账户 ID 的 Amazon EC2 实例所在区域相同。 -
选择验证服务。
-
成功验证服务名称后,选择实例所在的 VPC。添加以下策略,以仅允许指定账户使用该 Amazon VPC 端点。使用此策略下面提供的组织
Condition,您可以更新以下策略来限制对端点的访问。要为组织中的特定账户 ID 提供 Amazon VPC 端点支持,请参阅Organization condition to restrict access to your endpoint。{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }aws:PrincipalAccount账户 ID 必须与包含 VPC 和 VPC 端点的账户匹配。以下列表展示了如何与其他 AWS 账户 ID 共享 VPC 端点:-
要指定多个账户访问该 VPC 端点的权限,请将
"aws:PrincipalAccount: "替换为以下代码块:111122223333""aws:PrincipalAccount": [ "666666666666", "555555555555" ]务必要将 AWS 账户 ID 替换为需要访问该 VPC 端点的账户的账户 ID。
-
要允许组织中的所有成员访问 VPC 端点,请将
"aws:PrincipalAccount: "替换为以下行:111122223333""aws:PrincipalOrgID": "o-abcdef0123"务必要用组织 ID 替换组织
o-abcdef0123。 -
要按组织 ID 限制资源访问权限,请将您的
ResourceOrgID添加到策略中。有关更多信息,请参阅 IAM 用户指南中的aws:ResourceOrgID。"aws:ResourceOrgID": "o-abcdef0123"
-
-
在其他设置下,选择启用 DNS 名称。
-
在子网下,选择实例所在的子网。
-
在安全组下,选择从 VPC(或 Amazon EC2 实例)启用了入站端口 443 的安全组。如果您还没有启用了入站端口 443 的安全组,请参阅《Amazon VPC 用户指南》中的创建为 VPC 创建安全组。
如果将入站权限限定为您的 VPC(或实例)时出现问题,您可以从任何 IP 地址
(0.0.0.0/0)提供入站 443 端口支持。但是,GuardDuty 建议使用与 VPC 的 CIDR 块匹配的 IP 地址。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC CIDR 块。
完成这些步骤后,请参阅验证 VPC 端点配置以确保 VPC 端点的设置正确。
