本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定實體清單和 IP 地址清單的先決條件
GuardDuty 會使用實體清單和 IP 地址清單,在您的環境中自訂威脅偵測 AWS 。實體清單 (建議) 同時支援 IP 地址和網域名稱,而 IP 地址清單僅支援 IP 地址。開始建立這些清單之前,您必須為要使用的清單類型新增必要的許可。
## 實體清單的先決條件
當您新增實體清單時,GuardDuty 會從 S3 儲存貯體讀取您的信任和威脅情報清單。您用來建立實體清單的角色必須具有 S3 儲存貯體的 `s3:GetObject` 許可,其中包含這些清單。
**注意**
在多帳戶環境中,只有 GuardDuty 管理員帳戶可以管理清單,這些清單會自動套用到成員帳戶。
如果您還沒有 S3 儲存貯體位置的`s3:GetObject`許可,請使用下列範例政策,並將 *amzn-s3-demo-bucket* 取代為您的 S3 儲存貯體位置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP 地址清單的先決條件
各種 IAM 身分需要特殊的許可,以在 GuardDuty 中使用信任 IP 清單和威脅清單。具有連接的 [AmazonGuardDutyFullAccess\$1v2 (建議)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 受管政策的身分,只能重新命名和停用上傳的信任 IP 清單和威脅清單。
若要授予各種身分使用信任 IP 清單和威脅清單 (除了重新命名和停用,還包括新增、啟用、刪除和更新清單的位置或名稱) 的完整存取權限,請確認以下動作存在於連接至使用者、群組或角色的許可政策中:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**重要**
這些動作不包含在 `AmazonGuardDutyFullAccess` 受管政策中。
### 搭配實體清單和 IP 清單使用 SSE-KMS 加密
GuardDuty 支援清單的 SSE-AES256 和 SSE-KMS 加密。不支援 SSE-C。如需 S3 加密類型的詳細資訊,請參閱[使用伺服器端加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)。
無論您使用實體清單還是 IP 清單,如果您使用 SSE-KMS,請將下列陳述式新增至您的 AWS KMS key 政策。以您自己的帳戶 ID 取代 *123456789012*。
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```