先決條件 – 手動建立 Amazon VPC端點 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

先決條件 – 手動建立 Amazon VPC端點

您必須先建立 Amazon Virtual Private Cloud (Amazon VPC) 端點,才能安裝 GuardDuty 安全代理程式。這將有助於 GuardDuty 接收 Amazon EC2執行個體的執行期事件。

注意

端點的使用無需額外費用VPC。

建立 Amazon VPC端點
  1. 登入 AWS Management Console 並在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中的VPC私有雲端 下,選擇端點

  3. 選擇建立端點

  4. 建立端點頁面上,為服務類別選擇其他端點服務

  5. 對於服務名稱,輸入 com.amazonaws.us-east-1.guardduty-data

    請務必取代 us-east-1 您的 AWS 區域。這必須與屬於您 AWS 帳戶 ID 的 Amazon EC2執行個體相同的區域。

  6. 選擇驗證服務

  7. 成功驗證服務名稱後,請選擇VPC執行個體所在的 。新增下列政策,以限制 Amazon VPC端點使用量,僅限指定帳戶。您可以透過本政策下方提供的組織 Condition,更新下列政策以限制對端點的存取權限。若要為IDs組織中的特定帳戶提供 Amazon VPC端點支援,請參閱 Organization condition to restrict access to your endpoint

    { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

    aws:PrincipalAccount 帳戶 ID 必須與包含 VPC和 VPC端點的帳戶相符。下列清單說明如何與其他 AWS 帳戶共用VPC端點IDs:

    • 若要指定多個帳戶來存取VPC端點,請將 取代"aws:PrincipalAccount: "111122223333"為下列區塊:

      "aws:PrincipalAccount": [ "666666666666", "555555555555" ]

      請務必將 AWS 帳戶取代IDs為需要存取VPC端點IDs的帳戶。

    • 若要允許組織的所有成員存取VPC端點,請將 取代"aws:PrincipalAccount: "111122223333"為下列行:

      "aws:PrincipalOrgID": "o-abcdef0123"

      請務必取代組織 o-abcdef0123 您的組織 ID。

    • 若要限制依組織 ID 存取資源,ResourceOrgID請將您的 新增至政策。如需詳細資訊,請參閱 使用者指南 aws:ResourceOrgID 中的 。 IAM

      "aws:ResourceOrgID": "o-abcdef0123"
  8. 其他設定 下,選擇啟用DNS名稱

  9. 子網路 下,選擇執行個體所在的子網路。

  10. 安全群組 下,選擇從您的 VPC(或您的 Amazon EC2執行個體) 啟用傳入連接埠 443 的安全群組。如果您尚未擁有已啟用傳入連接埠 443 的安全群組,請參閱 Amazon VPC使用者指南 中的為您的 建立安全群組VPC

    如果限制傳入許可至您的 VPC(或執行個體) 時發生問題,您可以從任何 IP 地址 傳入 443 連接埠(0.0.0.0/0)。不過, GuardDuty 建議使用與 CIDR區塊相符的 IP 地址VPC。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的VPCCIDR區塊

遵循步驟後,請參閱 驗證VPC端點組態以確保VPC端點設定正確。