Amazon GuardDuty 和接口 VPC 端点(Amazon PrivateLink) - Amazon GuardDuty
GuardDuty VPC 端点注意事项为 GuardDuty 创建接口 VPC 端点为 GuardDuty 创建 VPC 端点策略共享子网
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon GuardDuty 和接口 VPC 端点(Amazon PrivateLink)

您可以通过创建接口 VPC 端点,在 VPC 与 Amazon GuardDuty 之间建立私有连接。接口端点由 Amazon PrivateLink 提供支持,该技术让您能够通过私密方式访问 GuardDuty API,而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例无需公有 IP 地址即可与 GuardDuty API 进行通信。VPC 和 GuardDuty 之间的流量不会离开 Amazon 网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 Amazon PrivateLink 指南中的接口 VPC 端点 (Amazon PrivateLink)

GuardDuty VPC 端点注意事项

请务必先查看《Amazon PrivateLink 指南》中的接口端点属性和限制,然后再为 GuardDuty 设置接口 VPC 端点。

GuardDuty 支持从 VPC 调用其所有 API 操作。

为 GuardDuty 创建接口 VPC 端点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface(Amazon CLI)为 GuardDuty 服务创建 VPC 端点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建接口端点

使用以下服务名称为 GuardDuty 创建 VPC 端点:

  • com.amazonaws.region.guardduty

  • com.amazonaws.region.guardduty-fips(FIPS 端点)

如果为该端点启用私有 DNS,则可以通过使用区域的默认 DNS 名称(例如 guardduty.us-east-1.amazonaws.com)向 GuardDuty 发送 API 请求。

有关更多信息,请参阅 Amazon PrivateLink 指南中的通过接口端点访问服务

为 GuardDuty 创建 VPC 端点策略

您可以为 VPC 端点附加端点策略来控制对 GuardDuty 的访问。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon PrivateLink 指南中的使用 VPC 端点控制对服务的访问

示例:GuardDuty 操作的 VPC 端点策略

以下是一个适用于 GuardDuty 的端点策略示例。附加到端点后,此策略会向所有资源上的所有主体授予对所列 GuardDuty 操作的访问权限。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "guardduty:listDetectors",
            "guardduty:getDetector",
            "guardduty:getFindings"
         ],
         "Resource":"*"
      }
   ]
}

共享子网

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息,请参阅《Amazon VPC 用户指南》中的与其他账户共享 VPC