As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Pré-requisito — Como criar um endpoint da VPC da Amazon Antes de instalar o agente de GuardDuty segurança, você deve criar um endpoint da Amazon Virtual Private Cloud (Amazon VPC). Isso ajudará a GuardDuty receber os eventos de tempo de execução dos seus recursos do Amazon EKS. **nota** Não há custo adicional para usar o endpoint da VPC. Escolha um método de acesso preferido para criar um endpoint da Amazon VPC. ------ #### [ Console ] **Para criar um endpoint da VPC** 1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 1. No menu à de navegação, em **Nuvem privada virtual**, escolha **Endpoints**. 1. Escolha **Criar endpoint**. 1. Na página **Criar endpoint**, para a **Categoria de serviço**, escolha **Outros serviços de endpoint**. 1. Em **Nome do serviço**, digite **com.amazonaws.{{us-east-1}}.guardduty-data**. Certifique-se de {{us-east-1}} substituir pela região correta. Essa deve ser a mesma região do cluster EKS que pertence ao seu Conta da AWS ID. 1. Selecione **Verificar serviço**. 1. Depois que o nome do serviço for verificado com sucesso, escolha a **VPC** em que reside o cluster. Adicione a política a seguir para restringir o uso do endpoint da VPC somente à conta especificada. Com a `Condition` da organização fornecida abaixo desta política, você pode atualizar a política a seguir para restringir o acesso ao seu endpoint. Para fornecer suporte de endpoint da VPC para IDs de conta específicos em sua organização, consulte [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "{{111122223333}}" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ O ID de conta `aws:PrincipalAccount` deve corresponder à conta que contém a VPC e o endpoint da VPC. A lista a seguir mostra como compartilhar o endpoint da VPC com outros IDs de Conta da AWS : **Condição da organização para restringir o acesso ao endpoint** + Para especificar várias contas para acessar o endpoint da VPC, substitua `"aws:PrincipalAccount": "{{111122223333}}"` pelo seguinte: ``` "aws:PrincipalAccount": [ "{{666666666666}}", "{{555555555555}}" ] ``` + Para permitir que todos os membros de uma organização acessem o endpoint da VPC, substitua `"aws:PrincipalAccount": "{{111122223333}}"` pelo seguinte: ``` "aws:PrincipalOrgID": "{{o-abcdef0123}}" ``` + Para restringir o acesso para um recurso a um ID de organização, adicione seu `ResourceOrgID` à política. Para obter mais informações, consulte [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid). ``` "aws:ResourceOrgID": "{{o-abcdef0123}}" ``` 1. Em **Configurações adicionais**, selecione **Habilitar nome DNS**. 1. Em **Sub-redes**, escolha as sub-redes em que reside seu cluster. 1. Em **Grupos de segurança**, escolha um grupo de segurança que tenha a porta de entrada 443 habilitada em sua VPC (ou em seu cluster do EKS). [Crie um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) se ainda não tiver um com uma porta de entrada 443 habilitada. Se houver um problema ao restringir as permissões de entrada para sua VPC (ou instância), é possível usar a porta de entrada 443 de qualquer endereço IP `(0.0.0.0/0)`. No entanto, GuardDuty recomenda o uso de endereços IP que correspondam ao bloco CIDR da sua VPC. Para obter mais informações, consulte [Blocos VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) no *Guia do usuário da Amazon VPC*. ------ #### [ API/CLI ] **Para criar um endpoint da VPC** + Invocar. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) + Use os valores a seguir para os parâmetros. + Em **Nome do serviço**, digite **com.amazonaws.{{us-east-1}}.guardduty-data**. Certifique-se de {{us-east-1}} substituir pela região correta. Essa deve ser a mesma região do cluster EKS que pertence ao seu Conta da AWS ID. + Para [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), habilite a opção de DNS privado definindo-a como `true`. + Para isso AWS Command Line Interface, consulte [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html). ------ Depois de seguir as etapas, verifique em [Validando a configuração do endpoint da VPC](validate-vpc-endpoint-config-runtime-monitoring.md) se o endpoint da VPC foi configurado corretamente.