Impostazione dei prerequisiti per gli elenchi di entità e gli elenchi di indirizzi IP - Amazon GuardDuty
Prerequisiti per gli elenchi di entitàPrerequisiti per gli elenchi di indirizzi IP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione dei prerequisiti per gli elenchi di entità e gli elenchi di indirizzi IP

GuardDuty utilizza elenchi di entità ed elenchi di indirizzi IP per personalizzare il rilevamento delle minacce nell' AWS ambiente. Gli elenchi di entità (consigliato) supportano sia gli indirizzi IP che i nomi di dominio, mentre gli elenchi di indirizzi IP supportano solo gli indirizzi IP. Prima di iniziare a creare questi elenchi, è necessario aggiungere le autorizzazioni necessarie per il tipo di elenco che si desidera utilizzare.

Prerequisiti per gli elenchi di entità

Quando aggiungi elenchi di entità, GuardDuty legge gli elenchi di informazioni attendibili e sulle minacce dai bucket S3. Il ruolo che usi per creare elenchi di entità deve avere l's3:GetObjectautorizzazione perché i bucket S3 contengano questi elenchi.

Nota

In un ambiente con più account, solo l'account GuardDuty amministratore può gestire gli elenchi, che si applicano automaticamente agli account dei membri.

Se non disponi già dell's3:GetObjectautorizzazione per la posizione del bucket S3, utilizza la seguente politica di esempio e sostituiscila amzn-s3-demo-bucket con la posizione del bucket S3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

Prerequisiti per gli elenchi di indirizzi IP

Diverse identità IAM richiedono autorizzazioni speciali per utilizzare elenchi di IP affidabili e elenchi di minacce in. GuardDuty Un'identità con la policy gestita AmazonGuardDutyFullAccess_v2 (consigliato) collegata può rinominare e disattivare soltanto gli elenchi di indirizzi IP affidabili e gli elenchi minacce caricati.

Per concedere a varie identità l'accesso completo alla gestione degli elenchi di indirizzi IP affidabili e gli elenchi minacce (in aggiunta alla ridenominazione e alla disattivazione, sono inclusi anche l'aggiunta, l'attivazione, l'eliminazione e l'aggiornamento della posizione o del nome degli elenchi), assicurati che le operazioni seguenti siano presenti nella policy di autorizzazioni collegata a un utente, gruppo o ruolo: 

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
Importante

Queste operazioni non sono incluse nella policy gestita AmazonGuardDutyFullAccess.

Utilizzo della crittografia SSE-KMS con elenchi di entità ed elenchi IP

GuardDuty supporta la crittografia SSE AES256 e SSE-KMS per i tuoi elenchi. SSE-C non è supportato. Per ulteriori informazioni sui tipi di crittografia per S3, consulta Protezione dei dati mediante la crittografia lato server.

Indipendentemente dal fatto che utilizzi elenchi di entità o elenchi di IP, se utilizzi SSE-KMS, aggiungi la seguente dichiarazione alla tua politica. AWS KMS key 123456789012Sostituiscilo con il tuo ID account.

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}