Requisito previo: crear manualmente el punto de conexión de Amazon VPC

Para crear un punto de conexión de Amazon VPC

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, en Nube privada VPC, seleccione Puntos de conexión.

3. Seleccione Crear punto de conexión.

4. En la página Crear punto de conexión, en Categoría de servicio, elija Otros servicios de punto de conexión.

5. En Nombre del servicio, escriba com.amazonaws.us-east-1.guardduty-data.

   Asegúrese de sustituir us-east-1 por la Región de AWS. Debe ser la misma región que la instancia de Amazon EC2 que pertenece al ID de la cuenta de AWS.

6. Elija Verificar el servicio.

7. Una vez que el nombre del servicio se haya verificado correctamente, elija la VPC en la que reside la instancia. Agregue la siguiente política para restringir el uso de puntos de conexión de Amazon VPC únicamente a la cuenta especificada. Con el valor de Condition de la organización que se indica debajo de esta política, puede actualizar la siguiente política para restringir el acceso a su punto de conexión. Para proporcionar compatibilidad con el punto de conexión de Amazon VPC a ID de cuenta específicos de la organización, consulte Organization condition to restrict access to your endpoint.

   JSON

   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   

   El ID de cuenta de aws:PrincipalAccount debe coincidir con la cuenta que contiene la VPC y el punto de conexión de VPC. En la siguiente lista se indica cómo compartir el punto de conexión de VPC con otros ID de cuenta de AWS:

   • Para especificar varias cuentas para acceder al punto de conexión de VPC, sustituya "aws:PrincipalAccount: "111122223333" por el siguiente bloque:

     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]

     Asegúrese de sustituir los ID de cuenta de AWS por los ID de las cuentas que deben acceder al punto de conexión de VPC.

   • Para permitir que todos los miembros de una organización accedan al punto de conexión de VPC, sustituya "aws:PrincipalAccount: "111122223333" por la siguiente línea:

     "aws:PrincipalOrgID": "o-abcdef0123"

     Asegúrese de sustituir la organización o-abcdef0123 por el ID de la organización.

   • Para restringir el acceso a un recurso mediante un ID de organización, agregue el ResourceOrgID a la política. Para obtener más información, consulte aws:ResourceOrgID en la Guía del usuario de IAM.

     "aws:ResourceOrgID": "o-abcdef0123"

8. En Configuración adicional, seleccione Habilitar nombre de DNS.

9. En Subredes, elija las subredes en las que reside la instancia.

10. En Grupos de seguridad, elija un grupo de seguridad que tenga habilitado el puerto de entrada 443 desde la VPC (o la instancia de Amazon EC2). Si aún no dispone de un grupo de seguridad que tenga habilitado un puerto de entrada 443, consulte Crear un grupo de seguridad para la VPC en la Guía del usuario de Amazon VPC.

    Si se produce un problema al restringir los permisos de entrada a la VPC (o instancia), puede utilizar el puerto de entrada 443 desde cualquier dirección IP (0.0.0.0/0). Sin embargo, GuardDuty recomienda utilizar direcciones IP que coincidan con el bloque de CIDR correspondiente a la VPC. Para obtener más información, consulte Bloques de CIDR de VPC en la Guía del usuario de Amazon VPC.