本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 先决条件 – 手动创建 Amazon VPC 端点
<a name="creating-vpc-endpoint-ec2-agent-manually"></a>

在安装 GuardDuty 安全代理之前，必须先创建亚马逊虚拟私有云 (Amazon VPC) 终端节点。这将有助于 GuardDuty 接收您的 Amazon EC2 实例的运行时事件。

**注意**  
使用 VPC 端点不会产生额外的成本。

**创建 Amazon VPC 端点**

1. 登录 AWS 管理控制台 并打开 Amazon VPC 控制台，网址为[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中的 **VPC 私有云**下，选择**端点**。

1. 选择**创建端点**。

1. 在**创建端点**页面​​上，对于**服务类别**，选择**其他端点服务**。

1. 对于**服务名称**，输入 **com.amazonaws.*us-east-1*.guardduty-data**。

   请务必*us-east-1*用您的 AWS 区域。该区域必须与属于您的 AWS 账户 ID 的 Amazon EC2 实例位于同一区域。

1. 选择**验证服务**。

1. 成功验证服务名称后，选择实例所在的 **VPC**。添加以下策略，以仅允许指定账户使用该 Amazon VPC 端点。使用此策略下面提供的组织 `Condition`，您可以更新以下策略来限制对端点的访问。要向您组织 IDs 中的特定账户提供 Amazon VPC 终端节点支持，请参阅[Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)。

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   `aws:PrincipalAccount` 账户 ID 必须与包含 VPC 和 VPC 端点的账户匹配。以下列表显示如何与其他 AWS 账户共享 VPC 终端节点 IDs：<a name="gdu-runtime-ec2-organization-restrict-access-vpc-endpoint"></a>
   + 要指定多个账户访问该 VPC 端点的权限，请将 `"aws:PrincipalAccount: "111122223333"` 替换为以下代码块：

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]
     ```

     请务必将该 AWS 账户 IDs 替换为需要访问 VPC 终端节点的账户的账户。 IDs 
   + 要允许组织中的所有成员访问 VPC 端点，请将 `"aws:PrincipalAccount: "111122223333"` 替换为以下行：

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```

     请务必*o-abcdef0123*用您的组织 ID 替换组织。
   + 要按组织 ID 限制资源访问权限，请将您的 `ResourceOrgID` 添加到策略中。有关更多信息，请参阅《IAM 用户指南》**中的 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)。

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. 在**其他设置**下，选择**启用 DNS 名称**。

1. 在**子网**下，选择实例所在的子网。

1. 在**安全组**下，选择从 VPC（或 Amazon EC2 实例）启用了入站端口 443 的安全组。如果您还没有启用了入站端口 443 的安全组，请参阅《Amazon VPC 用户指南》中的[创建为 VPC 创建安全组](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)**。

   如果将入站权限限定为您的 VPC（或实例）时出现问题，您可以从任何 IP 地址 `(0.0.0.0/0)` 提供入站 443 端口支持。但是， GuardDuty 建议使用与您的 VPC 的 CIDR 块相匹配的 IP 地址。有关更多信息，请参阅《Amazon VPC 用户指南》中的 [VPC CIDR 块](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)**。

完成这些步骤后，请参阅[验证 VPC 端点配置](validate-vpc-endpoint-config-runtime-monitoring.md)以确保 VPC 端点的设置正确。