Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Prasyarat - Membuat titik akhir VPC Amazon Sebelum Anda dapat menginstal agen GuardDuty keamanan, Anda harus membuat titik akhir Amazon Virtual Private Cloud (Amazon VPC). Ini akan membantu GuardDuty menerima peristiwa runtime dari sumber daya Amazon EKS Anda. **catatan** Tidak ada biaya tambahan untuk penggunaan titik akhir VPC. Pilih metode akses yang disukai untuk membuat titik akhir VPC Amazon. ------ #### [ Console ] **Untuk membuat titik akhir VPC** 1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 1. Di panel navigasi, di bawah **Virtual Private Cloud**, pilih **Endpoints**. 1. Pilih **Buat Titik Akhir**. 1. Pada halaman **Buat titik akhir**, untuk **kategori Layanan**, pilih Layanan **titik akhir lainnya**. 1. Untuk **nama Layanan**, masukkan**com.amazonaws.*us-east-1*.guardduty-data**. Pastikan untuk mengganti *us-east-1* dengan Region yang benar. Ini harus Region yang sama dengan cluster EKS milik Akun AWS ID Anda. 1. Pilih **Verifikasi layanan**. 1. Setelah nama layanan berhasil diverifikasi, pilih **VPC** tempat klaster Anda berada. Tambahkan kebijakan berikut untuk membatasi penggunaan titik akhir VPC hanya ke akun tertentu. Dengan organisasi yang `Condition` disediakan di bawah kebijakan ini, Anda dapat memperbarui kebijakan berikut untuk membatasi akses ke titik akhir Anda. Untuk memberikan dukungan titik akhir VPC ke akun tertentu IDs di organisasi Anda, lihat. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org) ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ ID `aws:PrincipalAccount` akun harus cocok dengan akun yang berisi titik akhir VPC dan VPC. Daftar berikut menunjukkan cara berbagi titik akhir VPC dengan yang lain: Akun AWS IDs **Kondisi organisasi untuk membatasi akses ke titik akhir Anda** + Untuk menentukan beberapa akun untuk mengakses titik akhir VPC, ganti `"aws:PrincipalAccount": "111122223333"` dengan yang berikut: ``` "aws:PrincipalAccount": [ "666666666666", "555555555555" ] ``` + Untuk mengizinkan semua anggota dari organisasi mengakses titik akhir VPC, ganti `"aws:PrincipalAccount": "111122223333"` dengan yang berikut ini: ``` "aws:PrincipalOrgID": "o-abcdef0123" ``` + Untuk membatasi akses sumber daya ke ID organisasi, tambahkan `ResourceOrgID` ke kebijakan. Untuk informasi selengkapnya, lihat [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid). ``` "aws:ResourceOrgID": "o-abcdef0123" ``` 1. Di bawah **Pengaturan tambahan**, pilih **Aktifkan nama DNS**. 1. Di bawah **Subnet**, pilih subnet tempat klaster Anda berada. 1. Di bawah **Grup keamanan**, pilih grup keamanan yang mengaktifkan port 443 in-bound dari VPC Anda (atau kluster EKS Anda). Jika Anda belum memiliki grup keamanan yang mengaktifkan port 443 dalam terikat, [Buat grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group). Jika ada masalah saat membatasi izin masuk ke VPC (atau instance), Anda dapat menggunakan port 443 yang di-bound dari alamat IP apa pun. `(0.0.0.0/0)` Namun, GuardDuty rekomendasikan untuk menggunakan alamat IP yang cocok dengan blok CIDR untuk VPC Anda. Untuk informasi selengkapnya, lihat [blok CIDR VPC di Panduan](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) Pengguna Amazon *VPC*. ------ #### [ API/CLI ] **Untuk membuat titik akhir VPC** + Memohon. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) + Gunakan nilai berikut untuk parameter: + Untuk **nama Layanan**, masukkan**com.amazonaws.*us-east-1*.guardduty-data**. Pastikan untuk mengganti *us-east-1* dengan Region yang benar. Ini harus Region yang sama dengan cluster EKS milik Akun AWS ID Anda. + Untuk [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), aktifkan opsi DNS pribadi dengan menyetelnya ke`true`. + Untuk AWS Command Line Interface, lihat [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html). ------ Setelah Anda mengikuti langkah-langkahnya, lihat [Memvalidasi konfigurasi titik akhir VPC](validate-vpc-endpoint-config-runtime-monitoring.md) untuk memastikan bahwa titik akhir VPC telah diatur dengan benar.