Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de requisitos previos para las listas de entidades y las listas de direcciones IP
GuardDuty utiliza listas de entidades y listas de direcciones IP para personalizar la detección de amenazas en su AWS entorno. Las listas de entidades (recomendado) admiten direcciones IP y nombres de dominio, mientras que las listas de direcciones IP solo admiten direcciones IP. Antes de comenzar a crear estas listas, debe agregar los permisos necesarios para el tipo de lista que desea usar.
## Requisitos previos para las listas de entidades
Al añadir listas de entidades, GuardDuty lee las listas de confianza y de inteligencia sobre amenazas de los buckets de S3. El rol que utilice para crear las listas de entidades debe tener el permiso `s3:GetObject` para los buckets de S3 que contienen estas listas.
**nota**
En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador puede administrar las listas, que se aplican automáticamente a las cuentas de los miembros.
Si aún no tiene el `s3:GetObject` permiso para la ubicación del bucket de S3, utilice la siguiente política de ejemplo y *amzn-s3-demo-bucket* sustitúyalo por su ubicación de bucket de S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## Requisitos previos para las listas de direcciones IP
Varias identidades de IAM requieren permisos especiales para funcionar con listas de IP confiables y listas de amenazas. GuardDuty Una identidad con la política administrada [AmazonGuardDutyFullAccess\$1v2 (recomendado)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) adjunta solo puede cambiar de nombre y desactivar las listas de IP de confianza y las listas de amenazas cargadas.
Para conceder a diferentes identidades acceso completo para trabajar con listas de IP de confianza y listas de amenazas (además de cambiar de nombre y desactivar estas listas, esto incluye la adición, activación, eliminación y actualización de la ubicación o el nombre de las listas), asegúrese de que las siguientes acciones estén presentes en la política de permisos adjunta a un usuario, grupo o rol:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**importante**
Estas acciones no se incluyen en la política administrada `AmazonGuardDutyFullAccess`.
### Uso del cifrado SSE-KMS con listas de entidades y listas de IP
GuardDuty admite el cifrado SSE AES256 y SSE-KMS para sus listas. No se admite SSE-C. Para obtener más información sobre los tipos de cifrado para S3, consulte [Protección de los datos con el cifrado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html).
Independientemente de si utiliza listas de entidades o listas de IP, si utiliza SSE-KMS, añada la siguiente declaración a su política. AWS KMS key *123456789012*Sustitúyala por tu propia ID de cuenta.
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```