Prasyarat - Membuat titik akhir Amazon VPC secara manual - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat - Membuat titik akhir Amazon VPC secara manual

Sebelum Anda dapat menginstal agen GuardDuty keamanan, Anda harus membuat titik akhir Amazon Virtual Private Cloud (Amazon VPC). Ini akan membantu GuardDuty menerima peristiwa runtime dari EC2 instans Amazon Anda.

catatan

Tidak ada biaya tambahan untuk penggunaan titik akhir VPC.

Untuk membuat titik akhir VPC Amazon

  1. Masuk ke AWS Management Console dan buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, di bawah VPC private cloud, pilih Endpoints.

  3. Pilih Buat Titik Akhir.

  4. Pada halaman Buat titik akhir, untuk kategori Layanan, pilih Layanan titik akhir lainnya.

  5. Untuk nama Layanan, masukkancom.amazonaws.us-east-1.guardduty-data.

    Pastikan untuk mengganti us-east-1 dengan Anda Wilayah AWS. Ini harus Wilayah yang sama dengan EC2 instans Amazon yang termasuk dalam ID AWS akun Anda.

  6. Pilih Verifikasi layanan.

  7. Setelah nama layanan berhasil diverifikasi, pilih VPC tempat instans Anda berada. Tambahkan kebijakan berikut untuk membatasi penggunaan titik akhir VPC Amazon hanya ke akun yang ditentukan. Dengan organisasi yang Condition disediakan di bawah kebijakan ini, Anda dapat memperbarui kebijakan berikut untuk membatasi akses ke titik akhir Anda. Untuk memberikan dukungan endpoint Amazon VPC ke akun tertentu IDs di organisasi Anda, lihat. Organization condition to restrict access to your endpoint

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "111122223333" 
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}

    ID aws:PrincipalAccount akun harus cocok dengan akun yang berisi titik akhir VPC dan VPC. Daftar berikut menunjukkan cara berbagi titik akhir VPC dengan akun lain: AWS IDs

    • Untuk menentukan beberapa akun untuk mengakses titik akhir VPC, ganti "aws:PrincipalAccount: "111122223333" dengan blok berikut:

      "aws:PrincipalAccount": [
          "666666666666",
          "555555555555"
      ]

      Pastikan untuk mengganti AWS akun IDs dengan akun akun IDs yang perlu mengakses titik akhir VPC.

    • Untuk mengizinkan semua anggota dari organisasi mengakses titik akhir VPC, ganti "aws:PrincipalAccount: "111122223333" dengan baris berikut:

      "aws:PrincipalOrgID": "o-abcdef0123"

      Pastikan untuk mengganti organisasi o-abcdef0123 dengan ID organisasi Anda.

    • Untuk membatasi akses sumber daya berdasarkan ID organisasi, tambahkan ResourceOrgID ke kebijakan. Untuk informasi lebih lanjut, lihat aws:ResourceOrgID dalam Panduan Pengguna IAM.

      "aws:ResourceOrgID": "o-abcdef0123"

  8. Di bawah Pengaturan tambahan, pilih Aktifkan nama DNS.

  9. Di bawah Subnet, pilih subnet tempat instance Anda berada.

  10. Di bawah Grup keamanan, pilih grup keamanan yang mengaktifkan port 443 dalam terikat dari VPC Anda (atau instans Amazon Anda). EC2 Jika Anda belum memiliki grup keamanan yang mengaktifkan port 443 dalam ikatan, lihat Membuat grup keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.

    Jika ada masalah saat membatasi izin masuk ke VPC (atau instance), Anda dapat menggunakan port 443 yang di-bound dari alamat IP apa pun. (0.0.0.0/0) Namun, GuardDuty rekomendasikan untuk menggunakan alamat IP yang cocok dengan blok CIDR untuk VPC Anda. Untuk informasi selengkapnya, lihat blok CIDR VPC di Panduan Pengguna Amazon VPC.

Setelah Anda mengikuti langkah-langkahnya, lihat Memvalidasi konfigurasi titik akhir VPC untuk memastikan bahwa titik akhir VPC telah diatur dengan benar.