Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Prerequisito: creazione di un endpoint Amazon VPC Prima di poter installare il GuardDuty security agent, devi creare un endpoint Amazon Virtual Private Cloud (Amazon VPC). Questo ti aiuterà a GuardDuty ricevere gli eventi di runtime delle tue risorse Amazon EKS. **Nota** Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC. Scegli un metodo di accesso preferito per creare un endpoint Amazon VPC. ------ #### [ Console ] **Per creare un endpoint VPC** 1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 1. Dal riquadro di navigazione, in **Cloud privato virtuale**, scegli **Endpoint**. 1. Scegliere **Create Endpoint** (Crea endpoint). 1. Nella pagina **Crea endpoint** per **Categoria servizio**, scegli **Altri servizi endpoint**. 1. Per **Nome servizio**, inserisci **com.amazonaws.*us-east-1*.guardduty-data**. Assicurati di sostituirlo *us-east-1* con la regione corretta. Questa deve essere la stessa regione del cluster EKS che appartiene al tuo Account AWS ID. 1. Scegli **Verifica del servizio**. 1. Dopo aver verificato correttamente il nome del servizio, scegli il **VPC** in cui risiede il cluster. Aggiungi la policy seguente per limitare l'utilizzo degli endpoint VPC solo all'account specificato. Con la `Condition` dell'organizzazione fornita sotto a questa policy, puoi aggiornare la policy seguente per limitare l'accesso all'endpoint. Per fornire il supporto degli endpoint VPC a un account IDs specifico della tua organizzazione, consulta. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org) ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ L'ID account di `aws:PrincipalAccount` deve corrispondere all'account contenente il VPC e l'endpoint VPC. L'elenco seguente mostra come condividere l'endpoint VPC con altri: Account AWS IDs **Condizione dell'organizzazione per limitare l'accesso all'endpoint** + Per specificare più account per accedere all'endpoint VPC, sostituisci `"aws:PrincipalAccount": "111122223333"` con quanto segue: ``` "aws:PrincipalAccount": [ "666666666666", "555555555555" ] ``` + Per consentire a tutti i membri di un'organizzazione di accedere all'endpoint VPC, sostituisci `"aws:PrincipalAccount": "111122223333"` con quanto segue: ``` "aws:PrincipalOrgID": "o-abcdef0123" ``` + Per limitare l'accesso a una risorsa da parte di un ID organizzazione, aggiungi il tuo `ResourceOrgID` alla policy. [Per ulteriori informazioni, consulta ResourceOrg ID.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) ``` "aws:ResourceOrgID": "o-abcdef0123" ``` 1. In **Impostazioni aggiuntive**, scegli **Abilita nome DNS**. 1. In **Sottoreti**, scegli le sottoreti in cui risiede il cluster. 1. In **Gruppi di sicurezza**, scegli un gruppo di sicurezza con la porta 443 in ingresso abilitata dal tuo VPC (o dal cluster EKS). Se non disponi già di un gruppo di sicurezza con una porta 443 in ingresso abilitata, [Crea un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group). Se c'è un problema durante la limitazione delle autorizzazioni in ingresso al tuo VPC (o istanza), puoi utilizzare la porta 443 in ingresso da qualsiasi indirizzo IP. `(0.0.0.0/0)` Tuttavia, GuardDuty consiglia di utilizzare indirizzi IP che corrispondano al blocco CIDR per il VPC. Per ulteriori informazioni, consulta i [blocchi VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) nella Amazon *VPC* User Guide. ------ #### [ API/CLI ] **Per creare un endpoint VPC** + Invoca. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) + Utilizza i seguenti valori per i parametri: + Per **Nome servizio**, inserisci **com.amazonaws.*us-east-1*.guardduty-data**. Assicurati di sostituirlo *us-east-1* con la regione corretta. Questa deve essere la stessa regione del cluster EKS che appartiene al tuo Account AWS ID. + Per [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), abilita l'opzione DNS privato impostandola su`true`. + Per AWS Command Line Interface, vedi [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html). ------ Dopo aver seguito i passaggi, verifica [Convalida della configurazione degli endpoint VPC](validate-vpc-endpoint-config-runtime-monitoring.md) che l'endpoint VPC sia stato configurato correttamente.