Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Voraussetzung — Erstellen eines Amazon VPC-Endpunkts Bevor Sie den GuardDuty Security Agent installieren können, müssen Sie einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt erstellen. Dies hilft beim GuardDuty Empfang der Runtime-Ereignisse Ihrer Amazon EKS-Ressourcen. **Anmerkung** Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an. Wählen Sie eine bevorzugte Zugriffsmethode, um einen Amazon VPC-Endpunkt zu erstellen. ------ #### [ Console ] **So erstellen Sie einen VPC-Endpunkt** 1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 1. Wählen Sie im Navigationsmenü unter **Virtual Private Cloud** die Option **Endpunkte**. 1. Klicken Sie auf **Endpunkt erstellen**. 1. Wählen Sie auf der Seite **Endpunkt erstellen** für **Servicekategorie** die Option **Andere Endpunkt-Services**. 1. Geben Sie unter **Servicename** **com.amazonaws.*us-east-1*.guardduty-data** ein. Stellen Sie sicher, dass Sie *us-east-1* durch die richtige Region ersetzen. Dies muss dieselbe Region sein wie der EKS-Cluster, der zu Ihrer AWS-Konto ID gehört. 1. Wählen Sie **Service verifizieren**. 1. Nachdem der Servicename erfolgreich verifiziert wurde, wählen Sie die **VPC** aus, in der sich Ihr Cluster befindet. Fügen Sie die folgende Richtlinie hinzu, um die Nutzung von VPC-Endpunkten auf das angegebene Konto zu beschränken. Unter Angabe der unter dieser Richtlinie angegebenen Organisations-`Condition` können Sie die folgende Richtlinie aktualisieren, um den Zugriff auf Ihren Endpunkt einzuschränken. Informationen zur Bereitstellung von VPC-Endpunktunterstützung für ein bestimmtes Konto IDs in Ihrer Organisation finden Sie unter[Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ Die `aws:PrincipalAccount`-Konto-ID muss mit dem Konto übereinstimmen, das die VPC und den VPC-Endpunkt enthält. Die folgende Liste zeigt, wie Sie den VPC-Endpunkt mit anderen AWS-Konto IDs teilen können: **Organisationsbedingung , um den Zugriff auf Ihren Endpunkt einzuschränken** + Um mehrere Konten für den Zugriff auf den VPC-Endpunkt anzugeben, ersetzen Sie `"aws:PrincipalAccount": "111122223333"` durch Folgendes: ``` "aws:PrincipalAccount": [ "666666666666", "555555555555" ] ``` + Um allen Mitgliedern einer Organisation den Zugriff auf den VPC-Endpunkt zu ermöglichen, ersetzen Sie `"aws:PrincipalAccount": "111122223333"` durch Folgendes: ``` "aws:PrincipalOrgID": "o-abcdef0123" ``` + Um den Zugriff auf eine Ressource auf eine Organisations-ID zu beschränken, fügen Sie Ihre `ResourceOrgID` zur Richtlinie hinzu. Weitere Informationen finden Sie unter [ResourceOrgID.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) ``` "aws:ResourceOrgID": "o-abcdef0123" ``` 1. Wählen Sie unter **Zusätzliche Einstellungen** die Option **DNS-Name aktivieren**. 1. Wählen Sie unter **Subnetze** die Subnetze aus, in denen sich Ihr Cluster befindet. 1. Wählen Sie unter **Sicherheitsgruppen** eine Sicherheitsgruppe aus, für die der eingehende Port 443 von Ihrer VPC (oder Ihrem EKS-Cluster) aktiviert ist. Wenn Sie noch keine Sicherheitsgruppe haben, für die der eingehende Port 443 aktiviert ist, [Erstellen Sie eine Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group). Wenn bei der Einschränkung der eingehenden Berechtigungen für Ihre VPC (oder Instance) ein Problem auftritt, können Sie den eingehenden Port 443 von einer beliebigen IP-Adresse aus verwenden. `(0.0.0.0/0)` GuardDuty Empfiehlt jedoch, IP-Adressen zu verwenden, die dem CIDR-Block für Ihre VPC entsprechen. Weitere Informationen finden Sie unter [VPC CIDR-Blöcke](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) im *Amazon VPC-Benutzerhandbuch*. ------ #### [ API/CLI ] **So erstellen Sie einen VPC-Endpunkt** + Aufrufen [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html). + Verwenden Sie die folgenden Werte für die Parameter: + Geben Sie unter **Servicename** **com.amazonaws.*us-east-1*.guardduty-data** ein. Stellen Sie sicher, dass Sie es *us-east-1* durch die richtige Region ersetzen. Dies muss dieselbe Region sein wie der EKS-Cluster, der zu Ihrer AWS-Konto ID gehört. + Aktivieren Sie für die private DNS-Option [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), indem Sie sie auf setzen`true`. + AWS Command Line Interface Näheres dazu finden Sie unter [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html). ------ Nachdem Sie die Schritte ausgeführt haben, stellen [Validierung der VPC-Endpunktkonfiguration](validate-vpc-endpoint-config-runtime-monitoring.md) Sie sicher, dass der VPC-Endpunkt korrekt eingerichtet wurde.