GuardDuty の信頼できる IP アドレスリストをセットアップする方法を教えてください。

最終更新日: 2020 年 2 月 3 日

Amazon GuardDuty の信頼できる IP アドレスリストを設定したいと考えています。 

簡単な説明

GuardDuty を設定して、AWS インフラストラクチャや AWS アプリケーションとの安全な通信のために、許可 IP アドレスを含む、独自にカスタムした信頼できる IP リストを使用できます。詳細については、信頼できる IP リストと脅威リストの使用を参照してください。

解決方法

信頼できる IP リストを作成してアップロードし、アクセス許可を確認して GuardDuty に追加するには、以下の手順に従います。

信頼できる IP リストを作成する

手順に従って、信頼できる新しい IP リストを作成し、ファイルとして保存します。次に、手順に従って Amazon Simple Storage Service (Amazon S3) バケットにファイルをアップロードします。

注意: 信頼できる IP リストファイルは、TXT、STIX、OTX_CSV、ALIEN_VAULT、PROOF_POINT、FIRE_EYE のいずれかの形式である必要があります。

IAM ID のアクセス許可を確認する

AWS Identity and Access Management (IAM) の ID に、以下のような信頼できる IP リストおよび GuardDuty へのアクセス許可があることを確認します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "guardduty:*IPSet*",
                "guardduty:List*",
                "guardduty:Get*"
            ],
            "Resource": "*"
        }
    ]
}

IAM ID に GuardDuty サービスにリンクされたロールである AWSServiceRoleForAmazonGuardDutyPutRolePolicy および DeleteRolePolicy に対するアクセス権限があることを確認します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}

詳細については、IAM ポリシーの編集を参照してください。

信頼できる IP リストを GuardDuty に追加してアクティブ化する

  1. GuardDuty コンソールを開きます。
  2. ナビゲーションペインで、[Lists] を選択します。
  3. [Add a trusted IP list] を選択します。
  4. [List name] に、わかりやすい名前を入力します。
  5. [Location] に、S3 バケットの場所を入力します。(例: https://s3.amazonaws.com/bucket-name/file.txt)
  6. [Format] ドロップダウンメニューを選択し、リストのファイルタイプを選択します。
  7. [I agree] チェックボックスをオンにして、[Add list] を選択します。
  8. [Trusted IP lists] で、信頼できる IP リスト名に [Active] を選択します。

注意: リストがアクティブになるまでに最大 5 分かかることがあります。

GuardDuty の信頼できる IP リストを変更する場合は、リストを更新してから再度アクティブ化する必要があります。手順については、信頼されている IP リストと脅威リストを更新するにはを参照してください。