本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
先決條件 – 建立 Amazon VPC端點
您必須先建立 Amazon Virtual Private Cloud (AmazonVPC) 端點,才能安裝 GuardDuty 安全代理程式。這將有助於 GuardDuty 接收 Amazon EKS 資源的執行期事件。
注意
端點的使用無需額外費用VPC。
選擇偏好的存取方法以建立 Amazon VPC端點。
- Console
-
建立VPC端點
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中的虛擬私有雲端下,選擇端點。
-
選擇建立端點。
-
在建立端點頁面上,為服務類別選擇其他端點服務。
-
對於服務名稱,輸入
com.amazonaws.。us-east-1.guardduty-data請務必取代
us-east-1使用正確的區域。這必須與屬於您 AWS 帳戶 ID 的EKS叢集區域相同。 -
選擇驗證服務。
-
成功驗證服務名稱後,請選擇VPC叢集所在的 。新增下列政策,將VPC端點用量限制為指定的帳戶。您可以透過本政策下方提供的組織
Condition,更新下列政策以限制對端點的存取權限。若要為IDs組織中的特定帳戶提供VPC端點支援,請參閱 Organization condition to restrict access to your endpoint。{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }aws:PrincipalAccount帳戶 ID 必須與包含 VPC和 VPC端點的帳戶相符。下列清單說明如何與其他 AWS 帳戶 共用VPC端點IDs:限制端點存取的組織條件
-
若要指定多個帳戶來存取VPC端點,請將 取代
"aws:PrincipalAccount": "為下列項目:111122223333""aws:PrincipalAccount": [ "666666666666", "555555555555" ] -
若要允許組織的所有成員存取VPC端點,請將 取代
"aws:PrincipalAccount": "為下列內容:111122223333""aws:PrincipalOrgID": "o-abcdef0123" -
若要限制存取組織 ID 的資源,請將您的
ResourceOrgID新增至該政策。如需詳細資訊,請參閱 ResourceOrgID 。
"aws:ResourceOrgID": "o-abcdef0123"
-
-
在其他設定 下,選擇啟用DNS名稱 。
-
在子網路下方,選擇叢集所在的子網路。
-
在安全群組 下,選擇從您的 VPC(或EKS叢集) 啟用傳入連接埠 443 的安全群組。如果您尚未擁有已啟用輸入連接埠 443 的安全群組,則建立安全群組。
如果限制傳入許可至您的 VPC(或執行個體) 時發生問題,您可以從任何 IP 地址 傳入 443 連接埠
(0.0.0.0/0)。不過, GuardDuty 建議使用符合您 CIDR區塊的 IP 地址VPC。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的VPCCIDR區塊。
- API/CLI
-
建立VPC端點
-
使用下列值做為參數︰
-
對於服務名稱,輸入
com.amazonaws.。us-east-1.guardduty-data請務必取代
us-east-1使用正確的區域。這必須與屬於您 AWS 帳戶 ID 的EKS叢集區域相同。 -
對於 DNSOptions,將私有DNS選項設定為 以啟用私有選項
true。
-
-
對於 AWS Command Line Interface,請參閱 create-vpc-endpoint
。
遵循步驟後,請參閱 驗證VPC端點組態以確保VPC端點設定正確。
