本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置实体列表和 IP 地址列表的先决条件
GuardDuty 使用实体列表和 IP 地址列表自定义 AWS 环境中的威胁检测。实体列表(建议)同时支持 IP 地址和域名,而 IP 地址列表仅支持 IP 地址。在开始创建这些列表之前,您必须为要使用的列表类型添加所需的权限。
## 实体列表的先决条件
添加实体列表时,从 S3 存储桶中 GuardDuty 读取您的可信列表和威胁情报列表。用于创建实体列表的角色必须拥有 `s3:GetObject` 权限,以访问包含这些列表的 S3 存储桶。
**注意**
在多账户环境中,只有 GuardDuty 管理员账户可以管理列表,列表会自动应用于成员账户。
如果您还没有 S3 存储桶位置的`s3:GetObject`权限,请使用以下示例策略并*amzn-s3-demo-bucket*替换为您的 S3 存储桶位置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP 地址列表的先决条件
各种 IAM 身份需要特殊权限才能使用中的可信 IP 列表和威胁列表 GuardDuty。已附加 [AmazonGuardDutyFullAccess\$1v2(推荐)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。
要授予各种身份使用可信 IP 列表和威胁列表的完全访问权限(除重命名和停用外,还包括添加、激活、删除和更新列表的位置或名称),确保附加到用户、组或角色的权限策略中包含以下操作:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**重要**
这些操作未包含在 `AmazonGuardDutyFullAccess` 托管策略中。
### 将 SSE-KMS 加密与实体列表和 IP 列表配合使用
GuardDuty 支持对您的列表进行 SSE AES256 和 SSE-KMS 加密。不支持 SSE-C。有关 S3 加密类型的更多信息,请参阅[使用服务器端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)。
无论您使用的是实体列表还是 IP 列表,如果您使用 SSE-KMS,请将以下声明添加到您的 AWS KMS key 策略中。*123456789012*用您自己的账户 ID 替换。
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```