本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 先决条件 – 创建 Amazon VPC 端点 在安装 GuardDuty 安全代理之前,必须先创建亚马逊虚拟私有云 (Amazon VPC) 终端节点。这将有助于 GuardDuty 接收您的 Amazon EKS 资源的运行时事件。 **注意** 使用 VPC 端点不会产生额外的成本。 选择一种您偏好的访问方法,创建一个 Amazon VPC 端点。 ------ #### [ Console ] **创建 VPC 端点** 1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。 1. 在导航窗格中的**虚拟私有云**下,选择**端点**。 1. 选择**创建端点**。 1. 在**创建端点**页面​​上,对于**服务类别**,选择**其他端点服务**。 1. 对于**服务名称**,输入 **com.amazonaws.*us-east-1*.guardduty-data**。 请务必*us-east-1*替换为正确的区域。该区域必须与属于您的 AWS 账户 ID 的 EKS 集群位于同一区域。 1. 选择**验证服务**。 1. 成功验证服务名称后,选择集群所在的 **VPC**。添加以下策略,仅限指定账户使用 VPC 端点。使用此策略下面提供的组织 `Condition`,您可以更新以下策略来限制对端点的访问。要向组织 IDs 中的特定账户提供 VPC 终端节点支持,请参阅[Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ `aws:PrincipalAccount` 账户 ID 必须与包含 VPC 和 VPC 端点的账户匹配。以下列表显示了如何与其他人共享 VPC 终端节点 AWS 账户 IDs: **限制访问端点的组织条件** + 要指定多个账户访问 VPC 端点,请将 `"aws:PrincipalAccount": "111122223333"` 替换为以下内容: ``` "aws:PrincipalAccount": [ "666666666666", "555555555555" ] ``` + 要允许组织中的所有成员访问 VPC 端点,请将 `"aws:PrincipalAccount": "111122223333"` 替换为以下内容: ``` "aws:PrincipalOrgID": "o-abcdef0123" ``` + 要限制组织 ID 的访问资源,请将您的 `ResourceOrgID` 添加到策略中。 有关更多信息,请参阅 [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)。 ``` "aws:ResourceOrgID": "o-abcdef0123" ``` 1. 在**其他设置**下,选择**启用 DNS 名称**。 1. 在**子网**下,选择集群所在的子网。 1. 在**安全组**下,选择从 VPC(或 EKS 集群)启用了入站端口 443 的安全组。如果您还没有启用入站端口 443 的安全组,请[创建安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)。 如果将入站权限限定为您的 VPC(或实例)时出现问题,您可以从任何 IP 地址 `(0.0.0.0/0)` 提供入站 443 端口支持。但是, GuardDuty 建议使用与您的 VPC 的 CIDR 块相匹配的 IP 地址。有关更多信息,请参阅《Amazon VPC 用户指南》中的 [VPC CIDR 块](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)**。 ------ #### [ API/CLI ] **创建 VPC 端点** + 调用[CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)。 + 为参数使用以下值: + 对于**服务名称**,输入 **com.amazonaws.*us-east-1*.guardduty-data**。 请务必*us-east-1*替换为正确的区域。该区域必须与属于您的 AWS 账户 ID 的 EKS 集群位于同一区域。 + 对于 [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html),启用私有 DNS 选项,将其设置为`true`。 + 有关信息 AWS Command Line Interface,请参阅[create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)。 ------ 完成这些步骤后,请参阅[验证 VPC 端点配置](validate-vpc-endpoint-config-runtime-monitoring.md)以确保 VPC 端点的设置正确。