前提条件 – Amazon VPC エンドポイントの作成 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件 – Amazon VPC エンドポイントの作成

GuardDuty セキュリティエージェントをインストールする前に、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成する必要があります。これにより、GuardDuty は Amazon EKS リソースのランタイムイベントを受信できるようになります。

注記

VPC エンドポイントの使用に追加コストはかかりません。

任意のアクセス方法を選択して、Amazon VPC エンドポイントを作成します。

Console
VPC エンドポイントを作成するには

  1. Amazon VPC コンソールの https://console.aws.amazon.com/vpc/ を開いてください。

  2. ナビゲーションペインの [仮想プライベートクラウド] で、[VPC] を選択します。

  3. [エンドポイントの作成] を選択します。

  4. [エンドポイントの作成] ページの [サービスカテゴリ][その他のエンドポイントサービス] を選択します。

  5. [サービス名]com.amazonaws.us-east-1.guardduty-data と入力します。

    必ず us-east-1 を正しいリージョンに置き換えてください。これは、 AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。

  6. [サービスの確認] を選択します。

  7. サービス名が正常に確認されたら、クラスターが置かれている [VPC] を選択します。次のポリシーを追加して、VPC エンドポイントの使用を指定されたアカウントのみに制限します。このポリシー下で提供されている組織 Condition を使用して、次のポリシーを更新してエンドポイントへのアクセスを制限できます。組織内の特定のアカウント ID に VPC エンドポイントサポートを提供するには、「Organization condition to restrict access to your endpoint」を参照してください。

    JSON
    JSON
    {
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "111122223333" 
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}

    aws:PrincipalAccount アカウント ID は、VPC と VPC エンドポイントを含むアカウントと一致する必要があります。次のリストは、VPC エンドポイントを他の AWS アカウント ID と共有する方法を示しています。

    エンドポイントへのアクセスを制限する組織の条件

    • VPC エンドポイントにアクセスする複数のアカウントを指定するには、"aws:PrincipalAccount": "111122223333"を以下に置き換えます。

      "aws:PrincipalAccount": [
          "666666666666",
          "555555555555"
    ]

    • 組織のすべてのメンバーが VPC エンドポイントにアクセスできるようにするには、"aws:PrincipalAccount": "111122223333" を以下に置き換えます。

      "aws:PrincipalOrgID": "o-abcdef0123"

    • リソースへのアクセスを組織 ID に制限するには、ResourceOrgID をポリシーに追加します。

      詳細については、「ResourceOrgID」を参照してください。

      "aws:ResourceOrgID": "o-abcdef0123"

  8. [追加設定][DNS 名を有効にする] を選択します。

  9. [サブネット] で、クラスターが存在するサブネットを選択します。

  10. [セキュリティグループ] で、VPC (または EKS クラスター) からのインバウンドポート 443 が有効になっているセキュリティグループを選択します。インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、セキュリティグループを作成します。

    VPC (またはインスタンス) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス (0.0.0.0/0) からのインバウンド 443 ポートをサポートできます。ただし、GuardDuty では、VPC の CIDR ブロックに一致する IP アドレスを使用することをお勧めします。詳細については、「Amazon VPC ユーザーガイド」の「VPC CIDR ブロック」を参照してください。

API/CLI
VPC エンドポイントを作成するには

  • CreateVpcEndpoint を呼び出します。

  • パラメータで以下の値を使用します。

    • [サービス名]com.amazonaws.us-east-1.guardduty-data と入力します。

      必ず us-east-1 を正しいリージョンに置き換えてください。これは、 AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。

    • DNSOptions には、プライベート DNS オプションを true に設定して有効にします。

  • 詳細については AWS Command Line Interface、「create-vpc-endpoint」を参照してください。

ステップに従った後、「VPC エンドポイント設定の検証」を参照して、VPC エンドポイントが正しく設定されていることを確認します。