Amazon GuardDuty y puntos de conexión de VPC de interfaz (AWS PrivateLink) - Amazon GuardDuty
Consideraciones sobre los puntos de conexión de VPC de GuardDutyCrear un punto de conexión de VPC de interfaz para GuardDutyCrear una política de punto de conexión de VPC para GuardDutySubredes compartidas

Amazon GuardDuty y puntos de conexión de VPC de interfaz (AWS PrivateLink)

Puede establecer una conexión privada entre la VPC y Amazon GuardDuty mediante la creación de un punto de conexión de VPC de interfaz. Los puntos de conexión de interfaz cuentan con tecnología de AWS PrivateLink, que permite acceder de forma privada a las API de GuardDuty sin una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para establecer comunicación con las API de GuardDuty. El tráfico entre la VPC y GuardDuty no sale de la red de Amazon.

Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes.

Para obtener más información, consulte Puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía de AWS PrivateLink.

Consideraciones sobre los puntos de conexión de VPC de GuardDuty

Antes de configurar un punto de conexión de VPC de interfaz para GuardDuty, revise Propiedades y limitaciones de los puntos de conexión de interfaz en la Guía de AWS PrivateLink.

GuardDuty admite realizar llamadas a todas las acciones de la API desde la VPC.

Crear un punto de conexión de VPC de interfaz para GuardDuty

Puede crear un punto de conexión de VPC para el servicio de GuardDuty mediante la consola de Amazon VPC o AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink.

Cree un punto de conexión de VPC para GuardDuty mediante el siguiente nombre de servicio:

  • com.amazonaws.region.guardduty

  • com.amazonaws.region.guardduty-fips (punto de conexión de FIPS)

Si habilita el DNS privado para el punto conexión, puede realizar solicitudes de API a GuardDuty mediante el nombre de DNS predeterminado para la región, por ejemplo, guardduty.us-east-1.amazonaws.com.

Para obtener más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía de AWS PrivateLink.

Crear una política de punto de conexión de VPC para GuardDuty

Puede asociar una política de punto de conexión al punto de conexión de VPC que controla el acceso a GuardDuty. La política especifica la siguiente información:

  • La entidad principal que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía de AWS PrivateLink.

Ejemplo: política de punto de conexión de VPC para acciones de GuardDuty

A continuación, se muestra un ejemplo de una política de punto de conexión para GuardDuty. Cuando se asocia a un punto de conexión, esta política concede acceso a las acciones de GuardDuty enumeradas para todas las entidades principales en todos los recursos.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "guardduty:listDetectors",
            "guardduty:getDetector",
            "guardduty:getFindings"
         ],
         "Resource":"*"
      }
   ]
}

Subredes compartidas

No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon VPC.