如何为 GuardDuty 设置可信 IP 地址列表？

2 分钟阅读

我想为 Amazon GuardDuty 设置可信 IP 地址列表。

简短描述

您可以将 GuardDuty 配置为使用您自己的自定义可信 IP 列表（其中包含您允许的 IP 地址），以便与您的 AWS 基础设施和应用程序建立安全通信。有关更多信息，请参阅使用可信 IP 列表和威胁列表。

解决方法

按照以下说明创建并上传可信 IP 列表，验证权限，并将其添加到 GuardDuty。

创建可信 IP 列表

按照说明创建新的 IPSet 并将其另存为一个文件。然后，按照说明将该文件上传到 Amazon Simple Storage Service (Amazon S3) 存储桶。

**注意：**可信 IP 列表文件必须为 TXT、STIX、OTX_CSV、ALIEN_VAULT、PROOF_POINT 或 FIRE_EYE 格式。可信 IP 列表不支持 IPv6 地址。每个可信 IP 列表最多可以包含 2000 个 IP 地址和 CIDR。每个侦测器资源只允许一个可信 IP 列表。有关更多信息，请参阅 Amazon GuardDuty 的配额。

检查 IAM 身份权限

请确保您的 AWS Identity and Access Management (IAM) 身份有权使用可信 IP 列表和 GuardDuty，类似如下：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "guardduty:*IPSet*",
        "guardduty:List*",
        "guardduty:Get*"
      ],
      "Resource": "*"
    }
  ]
}

请确保您的 IAM 身份拥有面向 GuardDuty 服务相关角色 AWSServiceRoleForAmazonGuardDuty 的 PutRolePolicy 和 DeleteRolePolicy 权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:DeleteRolePolicy",
        "iam:PutRolePolicy"
      ],
      "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    }
  ]
}

有关更多信息，请参阅编辑 IAM 策略。

在 GuardDuty 中添加和激活可信 IP 列表

打开 GuardDuty console（GuardDuty 控制台）。
在导航窗格中，选择 Lists（列表）。
选择 Add a trusted IP list（添加可信 IP 列表）。
对于列表名称，输入对您有意义的名称。
对于位置，输入您的 S3 存储桶的位置。例如，https://s3.amazonaws.com/bucket-name/file.txt。
选择格式下拉菜单，然后选择您的列表文件类型。
选中我同意复选框，然后选择添加列表。
在可信 IP 列表中，针对您的可信 IP 列表名称选择活动。

**注意：**列表最多需要 5 分钟才能激活。

如果您更改 GuardDuty 中的可信 IP 列表，则必须更新该列表，然后将其重新激活。有关说明，请参阅更新可信 IP 列表和威胁列表。