Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Voraussetzung — Manuelles Erstellen eines Amazon VPC-Endpunkts
<a name="creating-vpc-endpoint-ec2-agent-manually"></a>

Bevor Sie den GuardDuty Security Agent installieren können, müssen Sie einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt erstellen. Dies hilft beim GuardDuty Empfang der Runtime-Ereignisse Ihrer Amazon EC2 EC2-Instances.

**Anmerkung**  
Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an.

**So erstellen Sie einen Amazon VPC-Endpunkt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich unter **VPC Private Cloud** die Option **Endpoints** aus.

1. Klicken Sie auf **Endpunkt erstellen**.

1. Wählen Sie auf der Seite **Endpunkt erstellen** für **Servicekategorie** die Option **Andere Endpunkt-Services**.

1. Geben Sie unter **Servicename** **com.amazonaws.{{us-east-1}}.guardduty-data** ein.

   Stellen Sie sicher, dass Sie es durch Ihr {{us-east-1}} ersetzen. AWS-Region Dies muss dieselbe Region sein wie die Amazon EC2 EC2-Instance, die zu Ihrer AWS Konto-ID gehört.

1. Wählen Sie **Service verifizieren**.

1. Nachdem der Dienstname erfolgreich verifiziert wurde, wählen Sie die **VPC** aus, in der sich Ihre Instance befindet. Fügen Sie die folgende Richtlinie hinzu, um die Nutzung von Amazon VPC-Endpunkten nur auf das angegebene Konto zu beschränken. Unter Angabe der unter dieser Richtlinie angegebenen Organisations-`Condition` können Sie die folgende Richtlinie aktualisieren, um den Zugriff auf Ihren Endpunkt einzuschränken. Informationen zur Bereitstellung von Amazon VPC-Endpunktunterstützung für bestimmte Konto-IDs in Ihrer Organisation finden Sie unter[Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint).

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "{{111122223333}}" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   Die `aws:PrincipalAccount`-Konto-ID muss mit dem Konto übereinstimmen, das die VPC und den VPC-Endpunkt enthält. Die folgende Liste zeigt, wie Sie den VPC-Endpunkt mit anderen AWS Konto-IDs teilen können:<a name="gdu-runtime-ec2-organization-restrict-access-vpc-endpoint"></a>
   + Um mehrere Konten für den Zugriff auf den VPC-Endpunkt anzugeben, `"aws:PrincipalAccount: "{{111122223333}}"` ersetzen Sie ihn durch den folgenden Block:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]
     ```

     Achten Sie darauf, die AWS Konto-IDs durch die Konto-IDs der Konten zu ersetzen, die auf den VPC-Endpunkt zugreifen müssen.
   + Um allen Mitgliedern einer Organisation den Zugriff auf den VPC-Endpunkt zu ermöglichen, `"aws:PrincipalAccount: "{{111122223333}}"` ersetzen Sie ihn durch die folgende Zeile:

     ```
     "aws:PrincipalOrgID": "{{o-abcdef0123}}"
     ```

     Achten Sie darauf, die Organisation {{o-abcdef0123}} durch Ihre Organisations-ID zu ersetzen.
   + Um den Zugriff auf eine Ressource anhand einer Organisations-ID einzuschränken, fügen Sie Ihre `ResourceOrgID` zur Richtlinie hinzu. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) im *IAM-Benutzerhandbuch*.

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. Wählen Sie unter **Zusätzliche Einstellungen** die Option **DNS-Name aktivieren**.

1. Wählen Sie unter **Subnetze** die Subnetze aus, in denen sich Ihre Instance befindet.

1. Wählen Sie unter **Sicherheitsgruppen** eine Sicherheitsgruppe aus, für die der eingehende Port 443 von Ihrer VPC (oder Ihrer Amazon EC2 EC2-Instance) aktiviert ist. Wenn Sie noch keine Sicherheitsgruppe haben, für die ein eingehender Port 443 aktiviert ist, finden [Sie weitere Informationen unter Erstellen einer Sicherheitsgruppe für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) im *Amazon VPC-Benutzerhandbuch*.

   Wenn bei der Einschränkung der eingehenden Berechtigungen für Ihre VPC (oder Instance) ein Problem auftritt, können Sie den eingehenden Port 443 von einer beliebigen IP-Adresse aus verwenden. `(0.0.0.0/0)` GuardDuty Empfiehlt jedoch, IP-Adressen zu verwenden, die dem CIDR-Block für Ihre VPC entsprechen. Weitere Informationen finden Sie unter [VPC CIDR-Blöcke](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) im *Amazon VPC-Benutzerhandbuch*.

Nachdem Sie die Schritte ausgeführt haben, stellen [Validierung der VPC-Endpunktkonfiguration](validate-vpc-endpoint-config-runtime-monitoring.md) Sie sicher, dass der VPC-Endpunkt korrekt eingerichtet wurde.