翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 前提条件 – Amazon VPC エンドポイントの作成 GuardDuty セキュリティエージェントをインストールする前に、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成する必要があります。これにより、GuardDuty は Amazon EKS リソースのランタイムイベントを受信できるようになります。 **注記** VPC エンドポイントの使用に追加コストはかかりません。 任意のアクセス方法を選択して、Amazon VPC エンドポイントを作成します。 ------ #### [ Console ] **VPC エンドポイントを作成するには** 1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。 1. ナビゲーションペインの **[仮想プライベートクラウド]** で、**[VPC]** を選択します。 1. **[エンドポイントの作成]** を選択します。 1. **[エンドポイントの作成]** ページの **[サービスカテゴリ]** で **[その他のエンドポイントサービス**] を選択します。 1. **[サービス名]** に **com.amazonaws.{{us-east-1}}.guardduty-data** と入力します。 必ず {{us-east-1}} を正しいリージョンに置き換えてください。これは、 AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。 1. **[サービスの確認]** を選択します。 1. サービス名が正常に確認されたら、クラスターが置かれている **[VPC]** を選択します。次のポリシーを追加して、VPC エンドポイントの使用を指定されたアカウントのみに制限します。このポリシー下で提供されている組織 `Condition` を使用して、次のポリシーを更新してエンドポイントへのアクセスを制限できます。組織内の特定のアカウント ID に VPC エンドポイントサポートを提供するには、「[Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)」を参照してください。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "{{111122223333}}" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ `aws:PrincipalAccount` アカウント ID は、VPC と VPC エンドポイントを含むアカウントと一致する必要があります。次のリストは、VPC エンドポイントを他の AWS アカウント ID と共有する方法を示しています。 **エンドポイントへのアクセスを制限する組織の条件** + VPC エンドポイントにアクセスする複数のアカウントを指定するには、`"aws:PrincipalAccount": "{{111122223333}}"`を以下に置き換えます。 ``` "aws:PrincipalAccount": [ "{{666666666666}}", "{{555555555555}}" ] ``` + 組織のすべてのメンバーが VPC エンドポイントにアクセスできるようにするには、`"aws:PrincipalAccount": "{{111122223333}}"` を以下に置き換えます。 ``` "aws:PrincipalOrgID": "{{o-abcdef0123}}" ``` + リソースへのアクセスを組織 ID に制限するには、`ResourceOrgID` をポリシーに追加します。 詳細については、「[ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)」を参照してください。 ``` "aws:ResourceOrgID": "{{o-abcdef0123}}" ``` 1. **[追加設定]** で **[DNS 名を有効にする]** を選択します。 1. **[サブネット]** で、クラスターが存在するサブネットを選択します。 1. **[セキュリティグループ]** で、VPC (または EKS クラスター) からのインバウンドポート 443 が有効になっているセキュリティグループを選択します。インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、[セキュリティグループを作成](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)します。 VPC (またはインスタンス) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス `(0.0.0.0/0)` からのインバウンド 443 ポートをサポートできます。ただし、GuardDuty では、VPC の CIDR ブロックに一致する IP アドレスを使用することをお勧めします。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC CIDR ブロック](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)」を参照してください。 ------ #### [ API/CLI ] **VPC エンドポイントを作成するには** + [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) を呼び出します。 + パラメータで以下の値を使用します。 + **[サービス名]** に **com.amazonaws.{{us-east-1}}.guardduty-data** と入力します。 必ず {{us-east-1}} を正しいリージョンに置き換えてください。これは、 AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。 + [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html) には、プライベート DNS オプションを `true` に設定して有効にします。 + 詳細については AWS Command Line Interface、「[create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)」を参照してください。 ------ ステップに従った後、「[VPC エンドポイント設定の検証](validate-vpc-endpoint-config-runtime-monitoring.md)」を参照して、VPC エンドポイントが正しく設定されていることを確認します。