设置实体列表和 IP 地址列表的先决条件 - Amazon GuardDuty
实体列表的先决条件IP 地址列表的先决条件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

设置实体列表和 IP 地址列表的先决条件

GuardDuty 会使用实体列表和 IP 地址列表自定义在您 Amazon 环境中的威胁检测。实体列表(建议)同时支持 IP 地址和域名,而 IP 地址列表仅支持 IP 地址。在开始创建这些列表之前,您必须为要使用的列表类型添加所需的权限。

实体列表的先决条件

添加实体列表后,GuardDuty 会从 S3 存储桶中读取您的可信情报列表和威胁情报列表。用于创建实体列表的角色必须拥有 s3:GetObject 权限,以访问包含这些列表的 S3 存储桶。

注意

在多账户环境中,仅 GuardDuty 管理员账户可以管理列表,这些列表会自动应用至成员账户。

如果您还没有 s3:GetObject 权限,无法访问 S3 存储桶位置,请使用以下示例策略,将 amzn-s3-demo-bucket 替换为您的 S3 存储桶位置。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

IP 地址列表的先决条件

各种 IAM 身份需要特殊权限才能在 GuardDuty 中使用可信 IP 列表和威胁列表。已附加 AmazonGuardDutyFullAccess_v2(推荐) 托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。

要授予各种身份使用可信 IP 列表和威胁列表的完全访问权限(除重命名和停用外,还包括添加、激活、删除和更新列表的位置或名称),确保附加到用户、组或角色的权限策略中包含以下操作:

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
重要

这些操作未包含在 AmazonGuardDutyFullAccess 托管策略中。

将 SSE-KMS 加密与实体列表和 IP 列表配合使用

GuardDuty 支持对列表使用 SSE-AES256 和 SSE-KMS 加密。不支持 SSE-C。有关 S3 加密类型的更多信息,请参阅使用服务器端加密保护数据

无论您使用的是实体列表还是 IP 列表,如果您使用 SSE-KMS,则都需要在您的 Amazon KMS key 策略中添加以下语句。将 123456789012 替换为您的账户 ID。

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}