本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为实体列表和 IP 地址列表设置先决条件
GuardDuty 使用实体列表和 IP 地址列表自定义 Amazon 环境中的威胁检测。实体列表(推荐)同时支持 IP 地址和域名,而 IP 地址列表仅支持 IP 地址。在开始创建这些列表之前,必须为要使用的列表类型添加所需的权限。
实体列表的先决条件
添加实体列表时,从 S3 存储桶中 GuardDuty 读取您的可信列表和威胁情报列表。用于创建实体列表的角色必须拥有包含这些列表的 S3 存储桶的s3:GetObject权限。
注意
在多账户环境中,只有 GuardDuty 管理员账户可以管理列表,列表会自动应用于成员账户。
如果您还没有 S3 存储桶位置的s3:GetObject权限,请使用以下示例策略并amzn-s3-demo-bucket替换为您的 S3 存储桶位置。
IP 地址列表的先决条件
各种 IAM 身份需要特殊权限才能使用中的可信 IP 列表和威胁列表 GuardDuty。已附加 AmazonGuardDutyFullAccess_v2(推荐) 托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。
要授予各种身份使用可信 IP 列表和威胁列表的完全访问权限(除重命名和停用外,还包括添加、激活、删除和更新列表的位置或名称),确保附加到用户、组或角色的权限策略中包含以下操作:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要
这些操作未包含在 AmazonGuardDutyFullAccess 托管策略中。
对实体列表和 IP 列表使用 SSE-KMS 加密
GuardDuty 支持对您的列表进行 SSE AES256 和 SSE-KMS 加密。不支持 SSE-C。有关 S3 加密类型的更多信息,请参阅使用服务器端加密保护数据。
无论您使用的是实体列表还是 IP 列表,如果您使用 SSE-KMS,请将以下声明添加到您的 Amazon KMS key 策略中。123456789012用您自己的账户 ID 替换。
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }