Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Requisito previo: crear manualmente el punto de conexión de Amazon VPC
<a name="creating-vpc-endpoint-ec2-agent-manually"></a>

Antes de poder instalar el agente GuardDuty de seguridad, debe crear un punto final de Amazon Virtual Private Cloud (Amazon VPC). Esto ayudará a GuardDuty recibir los eventos de tiempo de ejecución de sus instancias de Amazon EC2.

**nota**  
El uso del punto de conexión de VPC no conlleva ningún costo adicional.

**Para crear un punto de conexión de Amazon VPC**

1. Inicie sesión en la consola de Amazon VPC Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. En el panel de navegación, en **Nube privada VPC**, seleccione **Puntos de conexión**.

1. Seleccione **Crear punto de conexión**.

1. En la página **Crear punto de conexión**, en **Categoría de servicio**, elija **Otros servicios de punto de conexión**.

1. En **Nombre del servicio**, escriba **com.amazonaws.*us-east-1*.guardduty-data**.

   Asegúrese de reemplazarla por *us-east-1* su. Región de AWS Debe ser la misma región que la instancia de Amazon EC2 que pertenece a su ID de AWS cuenta.

1. Elija **Verificar el servicio**.

1. Una vez que el nombre del servicio se haya verificado correctamente, elija la **VPC** en la que reside la instancia. Agregue la siguiente política para restringir el uso de puntos de conexión de Amazon VPC únicamente a la cuenta especificada. Con el valor de `Condition` de la organización que se indica debajo de esta política, puede actualizar la siguiente política para restringir el acceso a su punto de conexión. Para proporcionar el soporte del punto de conexión de Amazon VPC a una cuenta específica IDs de su organización, consulte. [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   El ID de cuenta de `aws:PrincipalAccount` debe coincidir con la cuenta que contiene la VPC y el punto de conexión de VPC. En la siguiente lista se muestra cómo compartir el punto final de la VPC con otra AWS cuenta: IDs<a name="gdu-runtime-ec2-organization-restrict-access-vpc-endpoint"></a>
   + Para especificar varias cuentas para acceder al punto de conexión de VPC, sustituya `"aws:PrincipalAccount: "111122223333"` por el siguiente bloque:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]
     ```

     Asegúrese de reemplazar la AWS cuenta por la cuenta IDs IDs de las cuentas que necesitan acceder al punto final de la VPC.
   + Para permitir que todos los miembros de una organización accedan al punto de conexión de VPC, sustituya `"aws:PrincipalAccount: "111122223333"` por la siguiente línea:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```

     Asegúrese de reemplazar la organización *o-abcdef0123* por su ID de organización.
   + Para restringir el acceso a un recurso mediante un ID de organización, agregue el `ResourceOrgID` a la política. Para obtener más información, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) en la *Guía del usuario de IAM*.

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. En **Configuración adicional**, seleccione **Habilitar nombre de DNS**.

1. En **Subredes**, elija las subredes en las que reside la instancia.

1. En **Grupos de seguridad**, elija un grupo de seguridad que tenga habilitado el puerto de entrada 443 desde la VPC (o la instancia de Amazon EC2). Si aún no dispone de un grupo de seguridad que tenga habilitado un puerto de entrada 443, consulte [Crear un grupo de seguridad para la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) en la *Guía del usuario de Amazon VPC*.

   Si se produce un problema al restringir los permisos de entrada a la VPC (o instancia), puede utilizar el puerto de entrada 443 desde cualquier dirección IP `(0.0.0.0/0)`. Sin embargo, GuardDuty recomienda utilizar direcciones IP que coincidan con el bloque CIDR de la VPC. Para obtener más información, consulte [Bloques de CIDR de VPC](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) en la *Guía del usuario de Amazon VPC*.

Una vez que haya seguido los pasos, consulte [Validar la configuración del punto de conexión de VPC](validate-vpc-endpoint-config-runtime-monitoring.md) para asegurarse de que el punto de conexión de VPC se configuró correctamente.