翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon GuardDuty とインターフェイス VPC エンドポイント (AWS PrivateLink)
<a name="security-vpc-endpoints"></a>

VPC と Amazon GuardDuty とのプライベート接続を確立するには、*インターフェイス VPC エンドポイント*を作成します。インターフェイスエンドポイントは、[AWS PrivateLink](https://aws.amazon.com/privatelink) を利用しており、インターネットゲートウェイ、NAT デバイス、VPN 接続、 AWS Direct Connect 接続のいずれも使用することなく、GuardDuty API へのプライベートアクセスを可能にする技術です。VPC のインスタンスは、パブリック IP アドレスがなくても GuardDuty API と通信できます。VPC と GuardDuty 間のトラフィックは、Amazon ネットワークを離れません。

各インターフェイスエンドポイントは、サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) によって表されます。

詳細については、「AWS PrivateLink ガイド」の「[インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)」を参照してください。

## GuardDuty VPC エンドポイントに関する考慮事項
<a name="vpc-endpoint-considerations"></a>

GuardDuty 用の VPC エンドポイントを設定する前に、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)」を確認してください。

GuardDuty は、VPC からのすべての API アクションの呼び出しをサポートしています。

## GuardDuty 用のインターフェイス VPC エンドポイントの作成
<a name="vpc-endpoint-create"></a>

Amazon VPC コンソールまたは AWS Command Line Interface () を使用して、GuardDuty サービスの VPC エンドポイントを作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)」を参照してください。

GuardDuty 用の VPC エンドポイントを作成する場合は、以下のサービス名を使用します。

 
+ com.amazonaws.{{region}}.guardduty
+ com.amazonaws.{{region}}.guardduty-fips (FIPS エンドポイント)

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (`guardduty.us-east-1.amazonaws.com` など) を使用して、GuardDuty への API リクエストを実行できます。

詳細については、AWS PrivateLink ガイドの[インターフェイスエンドポイントを介したサービスへのアクセス](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)を参照してください。

## GuardDuty 用の VPC エンドポイントポリシーの作成
<a name="vpc-endpoint-policy"></a>

VPC エンドポイントには、GuardDuty へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ このアクションを実行できるリソース。

詳細については、「*AWS PrivateLink ガイド*」の「[Control access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。

**例: GuardDuty アクション用の VPC エンドポイントポリシー**  
以下は、GuardDuty 用のエンドポイントポリシーの例です。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている GuardDuty アクションへのアクセス権を付与します。

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "guardduty:listDetectors",
            "guardduty:getDetector",
            "guardduty:getFindings"
         ],
         "Resource":"*"
      }
   ]
}
```

## 共有サブネット
<a name="sh-vpc-endpoint-shared-subnets"></a>

自分と共有されているサブネットで VPC エンドポイントを作成、説明、変更、または削除することはできません。ただし、自分と共有されているサブネットでVPC エンドポイントを使用することはできます。VPC 共有の詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC を他のアカウントと共有する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。