本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 更新实体列表或 IP 地址列表
<a name="guardduty-lists-update-procedure"></a>

实体列表和 IP 地址列表可帮助您自定义中的威胁检测功能 GuardDuty。有关这些列表的更多信息，请参阅[理解实体列表和 IP 地址列表](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。

可以更新列表名称、S3 存储桶位置、预期存储桶所有者账户 ID 以及现有列表中的条目。如果您更新列表中的条目，则必须按照步骤重新激活列表， GuardDuty 才能使用最新版本的列表。更新或启用实体列表或 IP 地址列表后，此列表可能需要几分钟才能生效。有关更多信息，请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。

**注意**  
如果列表的状态为**启用**、**停用**或**待删除**，则必须等待几分钟才能执行任何操作。有关这些状态的信息，请参阅[了解列表状态](guardduty_upload-lists.md#guardduty-entity-list-statuses)。

选择一种访问方法来更新实体列表或 IP 地址列表。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格中，选择**列表**。

1. 在**列表**页面上，选择相应的选项卡：**实体列表**或 **IP 地址列表**。

1. 选择一个要更新的列表（可信列表或威胁列表）。这将启用**操作**和**编辑**菜单。

1. 选择**编辑**。

1. 在列表更新对话框中，指定要更新的详细信息。

   **列表命名约束**：列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。

   对于 IP 地址列表，您的列表名称在 AWS 账户 和区域内必须是唯一的。

   仅适用于自定义威胁和自定义可信实体集，如果您提供的位置 URL 与以下支持的格式不一致，则您在添加和启用列表时会收到错误消息。

1. （可选）对于**预期存储桶拥有者**，您可以输入拥有**位置**字段中指定的 Amazon S3 存储桶的 AWS 账户 ID。

   如果不指定 AWS 账户 ID 所有者，则实体列表和 IP 地址列表的 GuardDuty 行为会有所不同。对于实体列表， GuardDuty 将验证当前成员账户是否拥有**位置**字段中指定的 S3 存储桶。对于 IP 地址列表，如果您未指定 AWS 账户 ID 所有者，则 GuardDuty 不执行任何验证。

   如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID，则在激活列表时会出现错误。

1. 选中**我同意**复选框，然后选择**更新列表**。

------
#### [ API/CLI ]

要开始以下过程，您需要与要更新的列表资源关联的 ID，例如 `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet` 或 `threatIpSet`。

**更新和启用可信实体列表**

1. 运行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。确保提供要为其更新此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   **列表命名约束**：列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。

1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作，该命令会更新列表的 `name` 并启用此列表：

   ```
   aws guardduty update-trusted-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --trusted-entity-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   `detector-id`替换为要为其创建可信实体列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*

   如果您不想启用此新建列表，请将参数 `--activate` 替换为 `--no-activate`。

   `expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值，都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID，则在激活此列表时会出现错误。

   仅适用于自定义威胁和自定义可信实体集，如果您提供的位置 URL 与以下支持的格式不一致，则您在添加和启用列表时会收到错误消息。

**更新和启用威胁实体列表**

1. 运行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。确保提供要为其创建此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   **列表命名约束**：列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。

1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作，该命令会更新列表的 `name` 并启用此列表：

   ```
   aws guardduty update-threat-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --threat-entity-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   `detector-id`替换为要为其创建威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*

   如果您不想启用此新建列表，请将参数 `--activate` 替换为 `--no-activate`。

   `expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值，都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID，则在激活此列表时会出现错误。

   仅适用于自定义威胁和自定义可信实体集，如果您提供的位置 URL 与以下支持的格式不一致，则您在添加和启用列表时会收到错误消息。

**更新并启用可信 IP 地址列表**

1. 运行 “[创建” IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。确保提供要为其更新此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   **列表命名约束**：列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。

   对于 IP 地址列表，您的列表名称在 AWS 账户 和区域内必须是唯一的。

1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作，该命令也会启用列表：

   ```
   aws guardduty update-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --ip-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   `detector-id`替换为要更新可信 IP 列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*

   如果您不想启用此新建列表，请将参数 `--activate` 替换为 `--no-activate`。

   `expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID， GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时，将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID，则在激活此列表时会出现错误。

**添加和启用威胁 IP 列表**

1. 运行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。确保提供要为其创建此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   **列表命名约束**：列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。

   对于 IP 地址列表，您的列表名称在 AWS 账户 和区域内必须是唯一的。

1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作，该命令也会启用列表：

   ```
   aws guardduty update-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --threat-intel-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   `detector-id`替换为要更新威胁 IP 列表的成员账户的探测器 ID 以及其他占位符值。*shown in red*

   如果您不想启用此新建列表，请将参数 `--activate` 替换为 `--no-activate`。

   `expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID， GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时，将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID，则在激活此列表时会出现错误。

------