本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 先決條件 – 手動建立 Amazon VPC 端點
<a name="creating-vpc-endpoint-ec2-agent-manually"></a>

您必須先建立 Amazon Virtual Private Cloud (Amazon VPC) 端點，才能安裝 GuardDuty 安全代理程式。這將有助於 GuardDuty 接收 Amazon EC2 執行個體的執行期事件。

**注意**  
VPC 端點的使用無需額外費用。

**建立 Amazon VPC 端點**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)：// 開啟 Amazon VPC 主控台。

1. 在導覽窗格的 **VPC 私有雲端**下，選擇**端點**。

1. 選擇**建立端點**。

1. 在**建立端點**頁面上，為**服務類別**選擇**其他端點服務**。

1. 對於**服務名稱**，輸入 **com.amazonaws.*us-east-1*.guardduty-data**。

   請務必將 *us-east-1* 取代為您的 AWS 區域。這必須與屬於您 AWS 帳戶 ID 的 Amazon EC2 執行個體區域相同。

1. 選擇**驗證服務**。

1. 成功驗證服務名稱後，請選擇執行個體所在的 **VPC**。新增下列政策，將 Amazon VPC 端點用量限制為僅限指定的帳戶。您可以透過本政策下方提供的組織 `Condition`，更新下列政策以限制對端點的存取權限。若要為組織中的特定帳戶 IDs 提供 Amazon VPC 端點支援，請參閱 [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)。

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   `aws:PrincipalAccount` 帳戶 ID 必須符合包含 VPC 和 VPC 端點的帳戶。下列清單顯示如何與其他 AWS 帳戶 IDs 共用 VPC 端點：<a name="gdu-runtime-ec2-organization-restrict-access-vpc-endpoint"></a>
   + 若要指定多個帳戶來存取 VPC 端點，請將 取代`"aws:PrincipalAccount: "111122223333"`為下列區塊：

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]
     ```

     請務必將 AWS 帳戶 IDs 取代為需要存取 VPC 端點的帳戶 IDs。
   + 若要允許組織的所有成員存取 VPC 端點，`"aws:PrincipalAccount: "111122223333"`請以下列行取代 ：

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```

     請務必將組織 *o-abcdef0123* 取代為您的組織 ID。
   + 若要限制依組織 ID 存取資源，`ResourceOrgID`請將 新增至政策。如需詳細資訊，請參閱《*IAM 使用者指南》*中的 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)。

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. 在**其他設定**下方，選擇**啟用 DNS 名稱**。

1. 在**子網路**下，選擇執行個體所在的子網路。

1. 在**安全群組**下，選擇已啟用 VPC （或 Amazon EC2 執行個體） 傳入連接埠 443 的安全群組。如果您還沒有啟用傳入連接埠 443 的安全群組，請參閱《*Amazon VPC 使用者指南*》中的[為您的 VPC 建立安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)。

   如果限制 VPC （或執行個體） 的傳入許可時發生問題，您可以從任何 IP 地址 傳入 443 連接埠`(0.0.0.0/0)`。不過，GuardDuty 建議使用符合 VPC CIDR 區塊的 IP 地址。如需詳細資訊，請參閱《*Amazon* [VPC 使用者指南》中的 VPC CIDR 區塊](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)。

遵循步驟後，請參閱 [驗證 VPC 端點組態](validate-vpc-endpoint-config-runtime-monitoring.md)以確保 VPC 端點設定正確。