先决条件 – 创建 Amazon VPC 端点
安装 GuardDuty 安全代理之前,您必须首先创建一个 Amazon Virtual Private Cloud(Amazon VPC)端点。这将有助于 GuardDuty 接收 Amazon EKS 资源的运行时事件。
注意
使用 VPC 端点不会产生额外的成本。
选择一种您偏好的访问方法,创建一个 Amazon VPC 端点。
- Console
-
创建 VPC 端点
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中的虚拟私有云下,选择端点。
-
选择 Create Endpoint(创建端点)。
-
在创建端点页面上,对于服务类别,选择其他端点服务。
-
对于服务名称,输入
com.amazonaws.
。us-east-1
.guardduty-data确保将
us-east-1
替换为正确的区域。必须与属于您 AWS 账户 ID 的 EKS 集群位于同一区域。 -
选择验证服务。
-
成功验证服务名称后,选择集群所在的 VPC。添加以下策略,仅限指定账户使用 VPC 端点。使用此策略下面提供的组织
Condition
,您可以更新以下策略来限制对端点的访问。要为组织中的特定账户 ID 提供 VPC 端点支持,请参阅 Organization condition to restrict access to your endpoint。{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "
111122223333
" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }aws:PrincipalAccount
账户 ID 必须与包含 VPC 和 VPC 端点的账户匹配。以下列表显示了如何与其他 AWS 账户 ID 共享 VPC 端点:限制访问端点的组织条件
-
要指定多个账户访问 VPC 端点,请将
"aws:PrincipalAccount": "
替换为以下内容:111122223333
""aws:PrincipalAccount": [ "
666666666666
", "555555555555
" ] -
要允许组织中的所有成员访问 VPC 端点,请将
"aws:PrincipalAccount": "
替换为以下内容:111122223333
""aws:PrincipalOrgID": "
o-abcdef0123
" -
要限制组织 ID 的访问资源,请将您的
ResourceOrgID
添加到策略中。有关更多信息,请参阅 ResourceOrgID。
"aws:ResourceOrgID": "
o-abcdef0123
"
-
-
在其他设置下,选择启用 DNS 名称。
-
在子网下,选择集群所在的子网。
-
在安全组下,选择从 VPC(或 EKS 集群)启用了入站端口 443 的安全组。如果您还没有启用入站端口 443 的安全组,请创建安全组。
如果将入站权限限定为您的 VPC(或实例)时出现问题,您可以从任何 IP 地址
(0.0.0.0/0)
提供入站 443 端口支持。但是,GuardDuty 建议使用与 VPC 的 CIDR 块匹配的 IP 地址。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC CIDR 块。
- API/CLI
-
创建 VPC 端点
-
为参数使用以下值:
-
对于服务名称,输入
com.amazonaws.
。us-east-1
.guardduty-data确保将
us-east-1
替换为正确的区域。必须与属于您 AWS 账户 ID 的 EKS 集群位于同一区域。 -
对于 DNSOptions,通过将其设置为
true
来启用私有 DNS 选项。
-
-
对于 AWS Command Line Interface,请参阅 create-vpc-endpoint
。
完成这些步骤后,请参阅验证 VPC 端点配置以确保 VPC 端点的设置正确。