翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# エンティティリストと IP アドレスリストの前提条件の設定
<a name="guardduty-lists-prerequisites"></a>

GuardDuty はエンティティリストと IP アドレスリストを使用して、 AWS 環境内の脅威検出をカスタマイズします。エンティティリスト (推奨) は IP アドレスとドメイン名の両方をサポートしますが、IP アドレスリストは IP アドレスのみをサポートします。これらのリストの作成を開始する前に、使用したいリストのタイプに必要なアクセス許可を追加する必要があります。

## エンティティリストの前提条件
<a name="guardduty-entity-list-prerequisites"></a>

エンティティリストを追加すると、GuardDuty は S3 バケットから信頼できるリストと脅威インテリジェンスリストを読み取ります。エンティティリストの作成に使用するロールは、これらのリストを含む S3 バケットへの `s3:GetObject` アクセス許可を必ず持つ必要があります。

**注記**  
マルチアカウント環境では、GuardDuty 管理者アカウントのみがリストを管理でき、これらはメンバーアカウントに自動的に適用されます。

S3 バケットの場所に対する `s3:GetObject` アクセス許可がまだない場合は、以下のポリシー例を使用して *amzn-s3-demo-bucket* を S3 バケットの場所に置き換えます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}
```

------

## IP アドレスリストの前提条件
<a name="guardduty-ip-address-list-prerequisites"></a>

さまざまな IAM アイデンティティは、GuardDuty で信頼できる IP リストおよび脅威リストを用いて機能するための特別な許可を必要とします。[AmazonGuardDutyFullAccess\$1v2 (推奨)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。

さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前の変更および非アクティブ化に加えて、リストの追加、アクティブ化、削除や、リストの場所または名前の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションがユーザー、グループ、またはロールにアタッチされた許可ポリシーに存在することを確認してください。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```

**重要**  
これらのアクションは `AmazonGuardDutyFullAccess` マネージドポリシーに含まれていません。

### エンティティリストと IP リストでの SSE-KMS 暗号化の使用
<a name="encrypt-list"></a>

GuardDuty は、リストの SSE-AES256 および SSE-KMS 暗号化をサポートしています。SSE-C はサポートされていません。S3 の暗号化タイプの詳細については、「[サーバー側の暗号化によるデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)」を参照してください。

エンティティリストと IP リストのどちらを使用するかにかかわらず、SSE-KMS を使用する場合は、次のステートメントを AWS KMS key ポリシーに追加します。*123456789012* は自身のアカウント ID に置き換えます。

```
{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}
```