本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件 – 手动创建 Amazon VPC 端点
在安装 GuardDuty 安全代理之前,必须先创建亚马逊虚拟私有云 (Amazon VPC) 终端节点。这将有助于 GuardDuty 接收您的 Amazon EC2 实例的运行时事件。
注意
使用 VPC 端点不会产生额外的成本。
创建 Amazon VPC 端点
登录 AWS 管理控制台 并打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中的 VPC 私有云下,选择端点。
-
选择 Create Endpoint(创建端点)。
-
在创建端点页面上,对于服务类别,选择其他端点服务。
-
对于服务名称,输入
com.amazonaws.。us-east-1.guardduty-data请务必
us-east-1用您的 AWS 区域。该区域必须与属于您的 AWS 账户 ID 的 Amazon EC2 实例位于同一区域。 -
选择验证服务。
-
成功验证服务名称后,选择实例所在的 VPC。添加以下策略,以仅允许指定账户使用该 Amazon VPC 端点。使用此策略下面提供的组织
Condition,您可以更新以下策略来限制对端点的访问。要向您组织 IDs 中的特定账户提供 Amazon VPC 终端节点支持,请参阅Organization condition to restrict access to your endpoint。aws:PrincipalAccount账户 ID 必须与包含 VPC 和 VPC 端点的账户匹配。以下列表显示如何与其他 AWS 账户共享 VPC 终端节点 IDs:-
要指定多个账户访问该 VPC 端点的权限,请将
"aws:PrincipalAccount: "替换为以下代码块:111122223333""aws:PrincipalAccount": [ "666666666666", "555555555555" ]请务必将该 AWS 账户 IDs 替换为需要访问 VPC 终端节点的账户的账户。 IDs
-
要允许组织中的所有成员访问 VPC 端点,请将
"aws:PrincipalAccount: "替换为以下行:111122223333""aws:PrincipalOrgID": "o-abcdef0123"请务必
o-abcdef0123用您的组织 ID 替换组织。 -
要按组织 ID 限制资源访问权限,请将您的
ResourceOrgID添加到策略中。有关更多信息,请参阅 IAM 用户指南中的aws:ResourceOrgID。"aws:ResourceOrgID": "o-abcdef0123"
-
-
在其他设置下,选择启用 DNS 名称。
-
在子网下,选择实例所在的子网。
-
在安全组下,选择一个已从您的 VPC(或您的 Amazon EC2 实例)启用入站端口 443 的安全组。如果您还没有启用了入站端口 443 的安全组,请参阅《Amazon VPC 用户指南》中的创建为 VPC 创建安全组。
如果将入站权限限定为您的 VPC(或实例)时出现问题,您可以从任何 IP 地址
(0.0.0.0/0)提供入站 443 端口支持。但是, GuardDuty 建议使用与您的 VPC 的 CIDR 块相匹配的 IP 地址。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC CIDR 块。
完成这些步骤后,请参阅验证 VPC 端点配置以确保 VPC 端点的设置正确。
