Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Prérequis — Création d'un point de terminaison Amazon VPC Avant de pouvoir installer l'agent GuardDuty de sécurité, vous devez créer un point de terminaison Amazon Virtual Private Cloud (Amazon VPC). Cela vous aidera à GuardDuty recevoir les événements d'exécution de vos ressources Amazon EKS. **Note** L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire. Choisissez une méthode d'accès préférée pour créer un point de terminaison Amazon VPC. ------ #### [ Console ] **Pour créer un point de terminaison VPC** 1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 1. Dans le panneau de navigation, sous **Cloud privé virtuel**, choisissez **Points de terminaison**. 1. Choisissez **Créer un point de terminaison**. 1. Sur la page **Créer un point de terminaison**, pour **Catégorie de services**, choisissez **Autres services de points de terminaison**. 1. Pour **Nom du service**, entrez **com.amazonaws.*us-east-1*.guardduty-data**. Assurez-vous de le remplacer *us-east-1* par la bonne région. Il doit s'agir de la même région que le cluster EKS qui appartient à votre Compte AWS identifiant. 1. Choisissez **Vérifier le service**. 1. Une fois le nom du service vérifié, choisissez le **VPC** dans lequel réside votre cluster. Ajoutez la stratégie suivante pour limiter l'utilisation de point de terminaison d'un VPC au compte spécifié uniquement. Avec l'organisation `Condition` indiquée sous cette stratégie, vous pouvez mettre à jour la stratégie suivante pour restreindre l'accès à votre point de terminaison. Pour fournir un support de point de terminaison VPC à un compte spécifique IDs de votre organisation, consultez. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org) ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ L'ID de compte `aws:PrincipalAccount` doit correspondre au compte contenant le VPC et le point de terminaison d'un VPC. La liste suivante indique comment partager le point de terminaison VPC avec d'autres personnes : Compte AWS IDs **Condition d'organisation pour restreindre l'accès à votre point de terminaison** + Pour spécifier plusieurs comptes afin d'accéder au point de terminaison d'un VPC, remplacez `"aws:PrincipalAccount": "111122223333"` par ce qui suit : ``` "aws:PrincipalAccount": [ "666666666666", "555555555555" ] ``` + Pour autoriser tous les membres d'une organisation à accéder au point de terminaison d'un VPC, remplacez `"aws:PrincipalAccount": "111122223333"` par ce qui suit : ``` "aws:PrincipalOrgID": "o-abcdef0123" ``` + Pour restreindre l'accès à une ressource à un ID d'organisation, ajoutez votre `ResourceOrgID` à la stratégie. Pour plus d'informations, voir [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid). ``` "aws:ResourceOrgID": "o-abcdef0123" ``` 1. Sous **Paramètres supplémentaires**, choisissez **Activer le nom DNS**. 1. Sous **Sous-réseaux**, choisissez les sous-réseaux dans lesquels réside votre cluster. 1. Sous **Groupes de sécurité**, choisissez un groupe de sécurité dont le port entrant 443 est activé depuis votre VPC (ou votre cluster EKS). Si vous ne possédez pas encore de groupe de sécurité dont le port entrant 443 est activé, [créez un groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group). En cas de problème lors de la restriction des autorisations entrantes sur votre VPC (ou instance), vous pouvez accéder au port 443 entrant depuis n'importe quelle adresse IP. `(0.0.0.0/0)` Il GuardDuty recommande toutefois d'utiliser des adresses IP correspondant au bloc CIDR de votre VPC. Pour plus d'informations, consultez la section [Blocs d'adresse CIDR VPC dans le guide](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) de l'utilisateur Amazon *VPC.* ------ #### [ API/CLI ] **Pour créer un point de terminaison VPC** + Invoquer [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html). + Utilisez les valeurs suivantes pour les paramètres : + Pour **Nom du service**, entrez **com.amazonaws.*us-east-1*.guardduty-data**. Assurez-vous de le remplacer *us-east-1* par la bonne région. Il doit s'agir de la même région que le cluster EKS qui appartient à votre Compte AWS identifiant. + Pour [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html)activer l'option DNS privé en la définissant sur`true`. + Pour AWS Command Line Interface, voir [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html). ------ Après avoir suivi les étapes, consultez [Validation de la configuration des points de terminaison VPC](validate-vpc-endpoint-config-runtime-monitoring.md) pour vous assurer que le point de terminaison VPC a été correctement configuré.