エンティティリストと IP アドレスリストの前提条件の設定
GuardDuty はエンティティリストと IP アドレスリストを使用して、AWS 環境内の脅威検出をカスタマイズします。エンティティリスト (推奨) は IP アドレスとドメイン名の両方をサポートしますが、IP アドレスリストは IP アドレスのみをサポートします。これらのリストの作成を開始する前に、使用したいリストのタイプに必要なアクセス許可を追加する必要があります。
エンティティリストの前提条件
エンティティリストを追加すると、GuardDuty は S3 バケットから信頼できるリストと脅威インテリジェンスリストを読み取ります。エンティティリストの作成に使用するロールは、これらのリストを含む S3 バケットへの s3:GetObject アクセス許可を必ず持つ必要があります。
注記
マルチアカウント環境では、GuardDuty 管理者アカウントのみがリストを管理でき、これらはメンバーアカウントに自動的に適用されます。
S3 バケットの場所に対する s3:GetObject アクセス許可がまだない場合は、以下のポリシー例を使用して amzn-s3-demo-bucket を S3 バケットの場所に置き換えます。
IP アドレスリストの前提条件
さまざまな IAM アイデンティティは、GuardDuty で信頼できる IP リストおよび脅威リストを用いて機能するための特別な許可を必要とします。AmazonGuardDutyFullAccess_v2 (推奨) マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。
さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前の変更および非アクティブ化に加えて、リストの追加、アクティブ化、削除や、リストの場所または名前の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションがユーザー、グループ、またはロールにアタッチされた許可ポリシーに存在することを確認してください。
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要
これらのアクションは AmazonGuardDutyFullAccess マネージドポリシーに含まれていません。
エンティティリストと IP リストでの SSE-KMS 暗号化の使用
GuardDuty は、リストの SSE-AES256 および SSE-KMS 暗号化をサポートしています。SSE-C はサポートされていません。S3 の暗号化タイプの詳細については、「サーバー側の暗号化によるデータの保護」を参照してください。
エンティティリストと IP リストのどちらを使用するかにかかわらず、SSE-KMS を使用する場合は、次のステートメントを AWS KMS key ポリシーに追加します。123456789012 は自身のアカウント ID に置き換えます。
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
