Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Prérequis — Création manuelle d'un point de terminaison Amazon VPC
<a name="creating-vpc-endpoint-ec2-agent-manually"></a>

Avant de pouvoir installer l'agent GuardDuty de sécurité, vous devez créer un point de terminaison Amazon Virtual Private Cloud (Amazon VPC). Cela vous aidera à GuardDuty recevoir les événements d'exécution de vos instances Amazon EC2.

**Note**  
L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.

**Pour créer un point de terminaison Amazon VPC**

1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. **Dans le volet de navigation, sous **Cloud privé VPC**, sélectionnez Endpoints.**

1. Choisissez **Créer un point de terminaison**.

1. Sur la page **Créer un point de terminaison**, pour **Catégorie de services**, choisissez **Autres services de points de terminaison**.

1. Pour **Nom du service**, entrez **com.amazonaws.*us-east-1*.guardduty-data**.

   Assurez-vous de le remplacer *us-east-1* par votre Région AWS. Il doit s'agir de la même région que l'instance Amazon EC2 associée à votre identifiant de AWS compte.

1. Choisissez **Vérifier le service**.

1. Une fois le nom du service vérifié avec succès, choisissez le **VPC où réside** votre instance. Ajoutez la politique suivante pour limiter l'utilisation des points de terminaison Amazon VPC au compte spécifié uniquement. Avec l'organisation `Condition` indiquée sous cette stratégie, vous pouvez mettre à jour la stratégie suivante pour restreindre l'accès à votre point de terminaison. Pour fournir le support des points de terminaison Amazon VPC à un compte spécifique IDs de votre organisation, consultez. [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   L'ID de compte `aws:PrincipalAccount` doit correspondre au compte contenant le VPC et le point de terminaison d'un VPC. La liste suivante indique comment partager le point de terminaison VPC avec un autre AWS compte : IDs<a name="gdu-runtime-ec2-organization-restrict-access-vpc-endpoint"></a>
   + Pour spécifier plusieurs comptes pour accéder au point de terminaison VPC, remplacez-le `"aws:PrincipalAccount: "111122223333"` par le bloc suivant :

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]
     ```

     Assurez-vous de remplacer le AWS compte par le compte IDs IDs des comptes qui doivent accéder au point de terminaison du VPC.
   + Pour autoriser tous les membres d'une organisation à accéder au point de terminaison VPC, remplacez-le `"aws:PrincipalAccount: "111122223333"` par la ligne suivante :

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```

     Assurez-vous de remplacer l'organisation *o-abcdef0123* par votre identifiant d'organisation.
   + Pour restreindre l'accès à une ressource par un identifiant d'organisation, ajoutez votre `ResourceOrgID` nom à la politique. Pour plus d’informations, consultez [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) dans le *Guide de l’utilisateur IAM*.

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. Sous **Paramètres supplémentaires**, choisissez **Activer le nom DNS**.

1. Sous **Sous-réseaux**, choisissez les sous-réseaux dans lesquels réside votre instance.

1. Sous **Groupes de sécurité**, choisissez un groupe de sécurité dont le port entrant 443 est activé depuis votre VPC (ou votre instance Amazon EC2). Si vous ne possédez pas encore de groupe de sécurité dont le port entrant 443 est activé, consultez la section [Créer un groupe de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) dans le guide de l'utilisateur *Amazon VPC*.

   En cas de problème lors de la restriction des autorisations entrantes sur votre VPC (ou instance), vous pouvez accéder au port 443 entrant depuis n'importe quelle adresse IP. `(0.0.0.0/0)` Il GuardDuty recommande toutefois d'utiliser des adresses IP correspondant au bloc CIDR de votre VPC. Pour plus d'informations, consultez la section [Blocs d'adresse CIDR VPC dans le guide](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) de l'utilisateur Amazon *VPC.*

Après avoir suivi les étapes, consultez [Validation de la configuration des points de terminaison VPC](validate-vpc-endpoint-config-runtime-monitoring.md) pour vous assurer que le point de terminaison VPC a été correctement configuré.