为实体列表和 IP 地址列表设置先决条件

GuardDuty 使用实体列表和 IP 地址列表自定义 AWS 环境中的威胁检测。实体列表（推荐）同时支持 IP 地址和域名，而 IP 地址列表仅支持 IP 地址。在开始创建这些列表之前，必须为要使用的列表类型添加所需的权限。

实体列表的先决条件

添加实体列表时，从 S3 存储桶中 GuardDuty 读取您的可信列表和威胁情报列表。用于创建实体列表的角色必须拥有包含这些列表的 S3 存储桶的s3:GetObject权限。

注意

在多账户环境中，只有 GuardDuty 管理员账户可以管理列表，列表会自动应用于成员账户。

如果您还没有 S3 存储桶位置的s3:GetObject权限，请使用以下示例策略并amzn-s3-demo-bucket替换为您的 S3 存储桶位置。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

IP 地址列表的先决条件

各种 IAM 身份需要特殊权限才能使用中的可信 IP 列表和威胁列表 GuardDuty。已附加 AmazonGuardDutyFullAccess_v2（推荐） 托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。

要授予各种身份使用可信 IP 列表和威胁列表的完全访问权限（除重命名和停用外，还包括添加、激活、删除和更新列表的位置或名称），确保附加到用户、组或角色的权限策略中包含以下操作：

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

重要

这些操作未包含在 AmazonGuardDutyFullAccess 托管策略中。

对实体列表和 IP 列表使用 SSE-KMS 加密

GuardDuty 支持对您的列表进行 SSE AES256 和 SSE-KMS 加密。不支持 SSE-C。有关 S3 加密类型的更多信息，请参阅使用服务器端加密保护数据。

无论您使用的是实体列表还是 IP 列表，如果您使用 SSE-KMS，请将以下声明添加到您的 AWS KMS key 策略中。123456789012用您自己的账户 ID 替换。

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}