本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 先決條件 – 建立 Amazon VPC 端點 您必須先建立 Amazon Virtual Private Cloud (Amazon VPC) 端點,才能安裝 GuardDuty 安全代理程式。這將有助於 GuardDuty 接收 Amazon EKS 資源的執行期事件。 **注意** VPC 端點的使用無需額外費用。 選擇偏好的存取方法來建立 Amazon VPC 端點。 ------ #### [ Console ] **建立 VPC 端點** 1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。 1. 在導覽窗格中的**虛擬私有雲端**下,選擇**端點**。 1. 選擇**建立端點**。 1. 在**建立端點**頁面上,為**服務類別**選擇**其他端點服務**。 1. 對於**服務名稱**,輸入 **com.amazonaws.*us-east-1*.guardduty-data**。 請務必使用正確的區域取代 *us-east-1*。這必須與屬於您 AWS 帳戶 ID 的 EKS 叢集的區域相同。 1. 選擇**驗證服務**。 1. 成功驗證服務名稱後,選擇叢集所在的 **VPC**。新增下列策略,以將 VPC 端點用量限制為僅限指定帳戶。您可以透過本政策下方提供的組織 `Condition`,更新下列政策以限制對端點的存取權限。若要為組織中的特定帳戶 ID 提供 VPC 端點支援,請參閱[Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "111122223333" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] } ``` ------ `aws:PrincipalAccount` 帳戶 ID 必須符合包含 VPC 和 VPC 端點的帳戶。下列清單顯示如何與其他 AWS 帳戶 ID 共用 VPC 端點: **限制端點存取的組織條件** + 若要指定可存取 VPC 端點的多個帳戶,請使用下列項目取代 `"aws:PrincipalAccount": "111122223333"`: ``` "aws:PrincipalAccount": [ "666666666666", "555555555555" ] ``` + 若要允許組織中的所有成員存取 VPC 端點,請使用下列項目取代 `"aws:PrincipalAccount": "111122223333"`: ``` "aws:PrincipalOrgID": "o-abcdef0123" ``` + 若要限制存取組織 ID 的資源,請將您的 `ResourceOrgID` 新增至該政策。 如需詳細資訊,請參閱 [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)。 ``` "aws:ResourceOrgID": "o-abcdef0123" ``` 1. 在**其他設定**下方,選擇**啟用 DNS 名稱**。 1. 在**子網路**下方,選擇叢集所在的子網路。 1. 在**安全群組**下方,選擇擁有從您的 VPC (或 EKS 叢集) 啟用之輸入連接埠 443 的安全群組。如果您尚未擁有已啟用輸入連接埠 443 的安全群組,則[建立安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)。 如果在限制 VPC (或執行個體) 的傳入許可時發生問題,您可以從任何 IP 地址 傳入 443 連接埠`(0.0.0.0/0)`。不過,GuardDuty 建議使用符合 VPC CIDR 區塊的 IP 地址。如需詳細資訊,請參閱《Amazon [VPC 使用者指南》中的 VPC CIDR 區塊](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)。 ** ------ #### [ API/CLI ] **建立 VPC 端點** + 調用 [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)。 + 使用下列值做為參數︰ + 對於**服務名稱**,輸入 **com.amazonaws.*us-east-1*.guardduty-data**。 請務必使用正確的區域取代 *us-east-1*。這必須與屬於您 AWS 帳戶 ID 的 EKS 叢集的區域相同。 + 對於 [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html),請將它設定為 `true`,以啟用私有 DNS 選項。 + 如需 AWS Command Line Interface,請參閱 [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)。 ------ 遵循步驟後,請參閱 [驗證 VPC 端點組態](validate-vpc-endpoint-config-runtime-monitoring.md)以確保 VPC 端點已正確設定。