Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyiapkan prasyarat untuk daftar entitas dan daftar alamat IP
<a name="guardduty-lists-prerequisites"></a>

GuardDuty menggunakan daftar entitas dan daftar alamat IP untuk menyesuaikan deteksi ancaman di AWS lingkungan Anda. Daftar entitas (disarankan) mendukung alamat IP dan nama domain, sedangkan daftar alamat IP hanya mendukung alamat IP. Sebelum Anda mulai membuat daftar ini, Anda harus menambahkan izin yang diperlukan untuk jenis daftar yang ingin Anda gunakan.

## Prasyarat untuk daftar entitas
<a name="guardduty-entity-list-prerequisites"></a>

Saat Anda menambahkan daftar entitas, GuardDuty baca daftar intelijen tepercaya dan ancaman Anda dari bucket S3. Peran yang Anda gunakan untuk membuat daftar entitas harus memiliki `s3:GetObject` izin untuk bucket S3 berisi daftar ini.

**catatan**  
Dalam lingkungan multi-akun, hanya akun GuardDuty administrator yang dapat mengelola daftar, yang secara otomatis berlaku untuk akun anggota.

Jika Anda belum memiliki `s3:GetObject` izin untuk lokasi bucket S3, gunakan contoh kebijakan berikut dan ganti *amzn-s3-demo-bucket* dengan lokasi bucket S3 Anda.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}
```

------

## Prasyarat untuk daftar alamat IP
<a name="guardduty-ip-address-list-prerequisites"></a>

Berbagai identitas IAM memerlukan izin khusus untuk bekerja dengan daftar IP tepercaya dan daftar ancaman di. GuardDuty Identitas dengan kebijakan [AmazonGuardDutyFullAccess\$1v2 (disarankan)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) terkelola terlampir hanya dapat mengganti nama dan menonaktifkan daftar IP tepercaya yang diunggah dan daftar ancaman.

Untuk memberikan berbagai identitas akses penuh untuk bekerja dengan daftar IP tepercaya dan daftar ancaman (selain mengganti nama dan menonaktifkan, ini termasuk menambahkan, mengaktifkan, menghapus, dan memperbarui lokasi atau nama daftar), pastikan bahwa tindakan berikut ada dalam kebijakan izin yang dilampirkan ke pengguna, grup, atau peran: 

```
{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```

**penting**  
Tindakan ini tidak termasuk dalam kebijakan yang `AmazonGuardDutyFullAccess` dikelola.

### Menggunakan enkripsi SSE-KMS dengan daftar entitas dan daftar IP
<a name="encrypt-list"></a>

GuardDuty mendukung enkripsi SSE- AES256 dan SSE-KMS untuk daftar Anda. SSE-C tidak didukung. Untuk informasi selengkapnya tentang jenis enkripsi untuk S3, lihat [Melindungi data menggunakan enkripsi sisi server](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html). 

Terlepas dari apakah Anda menggunakan daftar entitas atau daftar IP, jika Anda menggunakan SSE-KMS, tambahkan pernyataan berikut ke kebijakan Anda. AWS KMS key Ganti *123456789012* dengan ID akun Anda sendiri.

```
{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}
```