기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 사전 조건 - Amazon VPC 엔드포인트 수동 생성
GuardDuty 보안 에이전트를 설치하려면 먼저 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 생성해야 합니다. 이렇게 하면 GuardDuty가 Amazon EC2 인스턴스의 런타임 이벤트를 수신하는 데 도움이 됩니다.
**참고**
VPC 엔드포인트 사용에 대한 추가 비용은 없습니다.
**Amazon VPC 엔드포인트를 생성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **VPC 프라이빗 클라우드**에서 **엔드포인트**를 선택합니다.
1. **엔드포인트 생성**을 선택합니다.
1. **엔드포인트 생성** 페이지에서 **서비스 범주**에 대해 **기타 엔드포인트 서비스**를 선택합니다.
1. **서비스 이름**에 **com.amazonaws.*us-east-1*.guardduty-data**를 입력합니다.
*us-east-1*을 AWS 리전로 대체해야 합니다. 이 리전은 AWS 계정 ID에 속한 Amazon EC2 인스턴스와 동일한 리전이어야 합니다.
1. **서비스 확인**을 선택합니다.
1. 서비스 이름이 성공적으로 확인되면 인스턴스가 상주하는 **VPC**를 선택합니다. 다음 정책을 추가하여 Amazon VPC 엔드포인트 사용을 지정된 계정으로만 제한합니다. 이 정책 아래에 제공된 조직 `Condition`을 사용하여 다음 정책을 업데이트하고 엔드포인트에 대한 액세스를 제한할 수 있습니다. 조직의 특정 계정 ID에 Amazon VPC 엔드포인트 지원을 제공하려면 [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
`aws:PrincipalAccount` 계정 ID는 VPC 및 VPC 엔드포인트를 포함하는 계정과 일치해야 합니다. 다음 목록은 VPC 엔드포인트를 다른 AWS 계정 IDs와 공유하는 방법을 보여줍니다.
+ VPC 엔드포인트에 액세스할 계정을 여러 개 지정하려면 `"aws:PrincipalAccount: "111122223333"`을 다음 블럭과 같이 바꿉니다.
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
AWS 계정 IDs를 VPC 엔드포인트에 액세스해야 하는 계정의 계정 IDs로 바꿔야 합니다.
+ 조직의 모든 멤버가 VPC 엔드포인트에 액세스할 수 있도록 허용하려면 `"aws:PrincipalAccount: "111122223333"`을 다음 라인과 같이 바꿉니다.
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
조직 *o-abcdef0123*을 조직 ID로 교체해야 합니다.
+ 리소스 액세스를 조직 ID로 제한하려면 정책에 `ResourceOrgID`를 추가합니다. 자세한 내용은 *IAM 사용 설명서*에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)를 참조하세요.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. **추가 설정**에서 **DNS 이름 활성화**를 선택합니다.
1. **서브넷**에서 인스턴스가 상주하는 서브넷을 선택합니다.
1. **보안 그룹**에서 VPC(또는 Amazon EC2 인스턴스)에서 인바운드 포트 443이 활성화된 보안 그룹을 선택합니다. 인바운드 포트 443이 활성화된 보안 그룹이 아직 없는 경우 *Amazon VPC 사용 설명서*의 [VPC에 대한 보안 그룹 만들기](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)를 참조하세요.
VPC(또는 인스턴스)에 대한 인바운드 권한을 제한하는 동안 문제가 있는 경우 모든 IP 주소 `(0.0.0.0/0)`에서 인바운드 443 포트를 사용할 수 있습니다. 그러나 GuardDuty는 VPC의 CIDR 블록과 일치하는 IP 주소를 사용할 것을 권장합니다. 자세한 내용은 *Amazon VPC 사용 설명서*에서 [VPC CIDR 블록](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)을 참조하세요.
단계를 따른 후 [VPC 엔드포인트 구성 검증](validate-vpc-endpoint-config-runtime-monitoring.md)를 참조하여 VPC 엔드포인트가 올바르게 설정되었는지 확인합니다.