先决条件 – 创建 Amazon VPC 端点 - Amazon GuardDuty

先决条件 – 创建 Amazon VPC 端点

安装 GuardDuty 安全代理之前,您必须首先创建一个 Amazon Virtual Private Cloud(Amazon VPC)端点。这将有助于 GuardDuty 接收 Amazon EKS 资源的运行时事件。

注意

使用 VPC 端点不会产生额外的成本。

选择一种您偏好的访问方法,创建一个 Amazon VPC 端点。

Console
创建 VPC 端点
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中的虚拟私有云下,选择端点

  3. 选择 Create Endpoint(创建端点)。

  4. 创建端点页面​​上,对于服务类别,选择其他端点服务

  5. 对于服务名称,输入 com.amazonaws.us-east-1.guardduty-data

    确保将 us-east-1 替换为正确的区域。必须与属于您 AWS 账户 ID 的 EKS 集群位于同一区域。

  6. 选择验证服务

  7. 成功验证服务名称后,选择集群所在的 VPC。添加以下策略,仅限指定账户使用 VPC 端点。使用此策略下面提供的组织 Condition,您可以更新以下策略来限制对端点的访问。要为组织中的特定账户 ID 提供 VPC 端点支持,请参阅 Organization condition to restrict access to your endpoint

    { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

    aws:PrincipalAccount 账户 ID 必须与包含 VPC 和 VPC 端点的账户匹配。以下列表显示了如何与其他 AWS 账户 ID 共享 VPC 端点:

    限制访问端点的组织条件
    • 要指定多个账户访问 VPC 端点,请将 "aws:PrincipalAccount": "111122223333" 替换为以下内容:

      "aws:PrincipalAccount": [ "666666666666", "555555555555" ]
    • 要允许组织中的所有成员访问 VPC 端点,请将 "aws:PrincipalAccount": "111122223333" 替换为以下内容:

      "aws:PrincipalOrgID": "o-abcdef0123"
    • 要限制组织 ID 的访问资源,请将您的 ResourceOrgID 添加到策略中。

      有关更多信息,请参阅 ResourceOrgID

      "aws:ResourceOrgID": "o-abcdef0123"
  8. 其他设置下,选择启用 DNS 名称

  9. 子网下,选择集群所在的子网。

  10. 安全组下,选择从 VPC(或 EKS 集群)启用了入站端口 443 的安全组。如果您还没有启用入站端口 443 的安全组,请创建安全组

    如果将入站权限限定为您的 VPC(或实例)时出现问题,您可以从任何 IP 地址 (0.0.0.0/0) 提供入站 443 端口支持。但是,GuardDuty 建议使用与 VPC 的 CIDR 块匹配的 IP 地址。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC CIDR 块

API/CLI
创建 VPC 端点
  • 调用 CreateVpcEndpoint

  • 为参数使用以下值:

    • 对于服务名称,输入 com.amazonaws.us-east-1.guardduty-data

      确保将 us-east-1 替换为正确的区域。必须与属于您 AWS 账户 ID 的 EKS 集群位于同一区域。

    • 对于 DNSOptions,通过将其设置为 true 来启用私有 DNS 选项。

  • 对于 AWS Command Line Interface,请参阅 create-vpc-endpoint

完成这些步骤后,请参阅验证 VPC 端点配置以确保 VPC 端点的设置正确。