기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 사전 조건 - Amazon VPC 엔드포인트 생성 GuardDuty 보안 에이전트를 설치하려면 먼저 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 생성해야 합니다. 이렇게 하면 GuardDuty가 Amazon EKS 리소스의 런타임 이벤트를 수신하는 데 도움이 됩니다. **참고** VPC 엔드포인트 사용에 대한 추가 비용은 없습니다. 선호하는 액세스 방법을 선택하여 Amazon VPC 엔드포인트를 생성합니다. ------ #### [ Console ] **VPC 엔드포인트 생성하기** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창의 **Virtual Private Cloud**에서 **엔드포인트**를 선택합니다. 1. **엔드포인트 생성**을 선택합니다. 1. **엔드포인트 생성** 페이지에서 **서비스 범주**에 대해 **기타 엔드포인트 서비스**를 선택합니다. 1. **서비스 이름**에 **com.amazonaws.*us-east-1*.guardduty-data**를 입력합니다. *us-east-1*을 올바른 리전으로 바꿉니다. ID에 속하는 EKS 클러스터와 동일한 리전이어야 합니다 AWS 계정 . 1. **서비스 확인**을 선택합니다. 1. 서비스 이름이 성공적으로 확인되면 클러스터가 상주하는 **VPC**를 선택합니다. 다음 정책을 추가하여 VPC 엔드포인트 사용을 지정된 계정으로만 제한합니다. 이 정책 아래에 제공된 조직 `Condition`을 사용하여 다음 정책을 업데이트하고 엔드포인트에 대한 액세스를 제한할 수 있습니다. 조직의 특정 계정 ID에 VPC 엔드포인트 지원을 제공하려면 [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org) 섹션을 참조하세요. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ `aws:PrincipalAccount` 계정 ID는 VPC 및 VPC 엔드포인트를 포함하는 계정과 일치해야 합니다. 다음 목록은 VPC 엔드포인트를 다른 AWS 계정 ID와 공유하는 방법을 보여줍니다. **엔드포인트 액세스를 제한하는 조직 조건** + VPC 엔드포인트에 액세스할 계정을 여러 개 지정하려면 `"aws:PrincipalAccount": "111122223333"`을 다음과 같이 바꿉니다. ``` "aws:PrincipalAccount": [ "666666666666", "555555555555" ] ``` + 조직의 모든 멤버가 VPC 엔드포인트에 액세스할 수 있도록 허용하려면 `"aws:PrincipalAccount": "111122223333"`을 다음과 같이 바꿉니다. ``` "aws:PrincipalOrgID": "o-abcdef0123" ``` + 리소스 액세스를 조직 ID로 제한하려면 정책에 `ResourceOrgID`를 추가합니다. 자세한 내용은 [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)를 참조하세요. ``` "aws:ResourceOrgID": "o-abcdef0123" ``` 1. **추가 설정**에서 **DNS 이름 활성화**를 선택합니다. 1. **서브넷**에서 클러스터가 상주하는 서브넷을 선택합니다. 1. **보안 그룹**에서 VPC(또는 EKS 클러스터)로부터 인바운드 포트 443이 활성화된 보안 그룹을 선택합니다. 인바운드 포트 443이 활성화된 보안 그룹이 아직 없는 경우 [보안 그룹을 생성](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)합니다. VPC(또는 인스턴스)에 대한 인바운드 권한을 제한하는 동안 문제가 있는 경우 모든 IP 주소 `(0.0.0.0/0)`에서 인바운드 443 포트를 사용할 수 있습니다. 그러나 GuardDuty는 VPC의 CIDR 블록과 일치하는 IP 주소를 사용할 것을 권장합니다. 자세한 내용은 *Amazon VPC 사용 설명서*에서 [VPC CIDR 블록](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)을 참조하세요. ------ #### [ API/CLI ] **VPC 엔드포인트 생성하기** + [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)를 간접적으로 호출합니다. + 파라미터에 대해 다음 값을 사용합니다. + **서비스 이름**에 **com.amazonaws.*us-east-1*.guardduty-data**를 입력합니다. *us-east-1*을 올바른 리전으로 바꿉니다. ID에 속하는 EKS 클러스터와 동일한 리전이어야 합니다 AWS 계정 . + [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html)에서 `true`로 설정하여 프라이빗 DNS 옵션을 활성화합니다. + 의 경우 [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)를 AWS Command Line Interface참조하세요. ------ 단계를 따른 후 [VPC 엔드포인트 구성 검증](validate-vpc-endpoint-config-runtime-monitoring.md)를 참조하여 VPC 엔드포인트가 올바르게 설정되었는지 확인합니다.