設定實體清單和 IP 地址清單的先決條件

GuardDuty 會使用實體清單和 IP 地址清單，在您的環境中自訂威脅偵測 AWS 。實體清單 （建議） 同時支援 IP 地址和網域名稱，而 IP 地址清單僅支援 IP 地址。開始建立這些清單之前，您必須為要使用的清單類型新增必要的許可。

實體清單的先決條件

當您新增實體清單時，GuardDuty 會從 S3 儲存貯體讀取您的信任和威脅情報清單。您用來建立實體清單的角色必須具有 S3 儲存貯體的 s3:GetObject 許可，其中包含這些清單。

注意

在多帳戶環境中，只有 GuardDuty 管理員帳戶可以管理清單，這些清單會自動套用到成員帳戶。

如果您還沒有 S3 儲存貯體位置的s3:GetObject許可，請使用下列範例政策，並將 amzn-s3-demo-bucket 取代為您的 S3 儲存貯體位置。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

IP 地址清單的先決條件

各種 IAM 身分需要特殊的許可，以在 GuardDuty 中使用信任 IP 清單和威脅清單。具有連接的 AmazonGuardDutyFullAccess_v2 （建議） 受管政策的身分，只能重新命名和停用上傳的信任 IP 清單和威脅清單。

若要授予各種身分使用信任 IP 清單和威脅清單 (除了重新命名和停用，還包括新增、啟用、刪除和更新清單的位置或名稱) 的完整存取權限，請確認以下動作存在於連接至使用者、群組或角色的許可政策中：

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

重要

這些動作不包含在 AmazonGuardDutyFullAccess 受管政策中。

搭配實體清單和 IP 清單使用 SSE-KMS 加密

GuardDuty 支援清單的 SSE-AES256 和 SSE-KMS 加密。不支援 SSE-C。如需 S3 加密類型的詳細資訊，請參閱使用伺服器端加密保護資料。

無論您使用實體清單還是 IP 清單，如果您使用 SSE-KMS，請將下列陳述式新增至您的 AWS KMS key 政策。以您自己的帳戶 ID 取代 123456789012。

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}