本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
先決條件 – 手動建立 Amazon VPC端點
您必須先建立 Amazon Virtual Private Cloud (Amazon VPC) 端點,才能安裝 GuardDuty 安全代理程式。這將有助於 GuardDuty 接收 Amazon EC2執行個體的執行期事件。
注意
端點的使用無需額外費用VPC。
建立 Amazon VPC端點
登入 AWS Management Console 並在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中的VPC私有雲端 下,選擇端點 。
-
選擇建立端點。
-
在建立端點頁面上,為服務類別選擇其他端點服務。
-
對於服務名稱,輸入
com.amazonaws.
。us-east-1
.guardduty-data請務必取代
us-east-1
您的 AWS 區域。這必須與屬於您 AWS 帳戶 ID 的 Amazon EC2執行個體相同的區域。 -
選擇驗證服務。
-
成功驗證服務名稱後,請選擇VPC執行個體所在的 。新增下列政策,以限制 Amazon VPC端點使用量,僅限指定帳戶。您可以透過本政策下方提供的組織
Condition
,更新下列政策以限制對端點的存取權限。若要為IDs組織中的特定帳戶提供 Amazon VPC端點支援,請參閱 Organization condition to restrict access to your endpoint。{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "
111122223333
" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }aws:PrincipalAccount
帳戶 ID 必須與包含 VPC和 VPC端點的帳戶相符。下列清單說明如何與其他 AWS 帳戶共用VPC端點IDs:-
若要指定多個帳戶來存取VPC端點,請將 取代
"aws:PrincipalAccount: "
為下列區塊:111122223333
""aws:PrincipalAccount": [ "666666666666", "555555555555" ]
請務必將 AWS 帳戶取代IDs為需要存取VPC端點IDs的帳戶。
-
若要允許組織的所有成員存取VPC端點,請將 取代
"aws:PrincipalAccount: "
為下列行:111122223333
""aws:PrincipalOrgID": "
o-abcdef0123
"請務必取代組織
o-abcdef0123
您的組織 ID。 -
若要限制依組織 ID 存取資源,
ResourceOrgID
請將您的 新增至政策。如需詳細資訊,請參閱 使用者指南aws:ResourceOrgID
中的 。 IAM"aws:ResourceOrgID": "o-abcdef0123"
-
-
在其他設定 下,選擇啟用DNS名稱 。
-
在子網路 下,選擇執行個體所在的子網路。
-
在安全群組 下,選擇從您的 VPC(或您的 Amazon EC2執行個體) 啟用傳入連接埠 443 的安全群組。如果您尚未擁有已啟用傳入連接埠 443 的安全群組,請參閱 Amazon VPC使用者指南 中的為您的 建立安全群組VPC。
如果限制傳入許可至您的 VPC(或執行個體) 時發生問題,您可以從任何 IP 地址 傳入 443 連接埠
(0.0.0.0/0)
。不過, GuardDuty 建議使用與 CIDR區塊相符的 IP 地址VPC。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的VPCCIDR區塊。
遵循步驟後,請參閱 驗證VPC端點組態以確保VPC端點設定正確。