Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para Amazon GuardDuty
Amazon GuardDuty (prefijo de servicio: guardduty
) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon GuardDuty
Puede especificar las siguientes acciones en el elemento Action
de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource
de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource
de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition
de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
---|---|---|---|---|---|
AcceptAdministratorInvitation | Otorga permiso para aceptar invitaciones para convertirse en una cuenta de miembro de GuardDuty | Escritura | |||
AcceptInvitation | Otorga permiso para aceptar invitaciones para convertirse en una cuenta de miembro de GuardDuty | Write | |||
ArchiveFindings | Otorga permiso para archivar los resultados de GuardDuty | Write | |||
CreateDetector | Otorga permiso para crear un detector | Write | |||
CreateFilter | Otorga permiso para crear filtros de GuardDuty. Un filtro define los atributos de búsqueda y las condiciones que se utilizan para filtrar resultados | Write | |||
CreateIPSet | Concede permiso para crear un IPSet | Write |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
CreateMembers | Otorga permiso para crear cuentas de miembro de GuardDuty, donde la cuenta utilizada para crear un miembro se convierte en la cuenta de administrador de GuardDuty | Write | |||
CreatePublishingDestination | Otorga permisos para crear un destino de publicación | Write |
s3:GetObject s3:ListBucket |
||
CreateSampleFindings | Otorga permiso para crear hallazgos de muestra | Write | |||
CreateThreatIntelSet | Otorga permiso para crear ThreatIntelSets de GuardDuty, donde un ThreatIntelSet consta de direcciones IP malintencionadas conocidas que usa GuardDuty para generar resultados | Write | |||
DeclineInvitations | Otorga permiso para rechazar invitaciones para convertirse en una cuenta de miembro de GuardDuty | Write | |||
DeleteDetector | Otorga permiso para eliminar detectores de GuardDuty | Write | |||
DeleteFilter | Otorga permiso para eliminar filtros de GuardDuty | Write | |||
DeleteIPSet | Otorga permiso para eliminar IPSets de GuardDuty | Write | |||
DeleteInvitations | Otorga permiso para eliminar invitaciones para convertirse en una cuenta de miembro de GuardDuty | Write | |||
DeleteMembers | Otorga permiso para eliminar cuentas de miembro de GuardDuty | Write | |||
DeletePublishingDestination | Otorga permisos para eliminar un destino de publicación | Write | |||
DeleteThreatIntelSet | Otorga permiso para eliminar ThreatIntelSets de GuardDuty | Escritura | |||
DescribeMalwareScans | Otorga permiso para recuperar los detalles sobre análisis de malware | Leer | |||
DescribeOrganizationConfiguration | Otorga permisos para recuperar detalles sobre el administrador delegado asociado a un detector GuardDuty | Read | |||
DescribePublishingDestination | Otorga permisos para recuperar detalles sobre un destino de publicación | Read | |||
DisableOrganizationAdminAccount | Otorga permiso para desactivar el administrador delegado de la organización en GuardDuty | Escritura | |||
DisassociateFromAdministratorAccount | Otorga permiso para desasociar una cuenta de miembro de GuardDuty de su cuenta de administrador de GuardDuty | Escritura | |||
DisassociateFromMasterAccount | Otorga permiso para desasociar una cuenta de miembro de GuardDuty de su cuenta de administrador de GuardDuty | Escritura | |||
DisassociateMembers | Otorga permiso para desasociar cuentas de miembro de GuardDuty de su cuenta de administrador de GuardDuty | Escritura | |||
EnableOrganizationAdminAccount | Otorga permiso para habilitar un administrador delegado de la organización en GuardDuty | Escritura | |||
GetAdministratorAccount | Otorga permiso para recuperar detalles de la cuenta de administrador de GuardDuty asociada a una cuenta de miembro | Leer | |||
GetCoverageStatistics | Concede permiso para enumerar las estadísticas de cobertura de Amazon GuardDuty para la cuenta de GuardDuty especificada en una región | Leer | |||
GetDetector | Otorga permiso para recuperar detectores de GuardDuty | Read | |||
GetFilter | Otorga permiso para recuperar filtros de GuardDuty | Read | |||
GetFindings | Otorga permiso para recuperar resultados de GuardDuty | Read | |||
GetFindingsStatistics | Otorga permiso para recuperar una lista de estadísticas de resultados de GuardDuty | Leer | |||
GetIPSet | Concede permiso para recuperar IPSets de GuardDuty | Leer | |||
GetInvitationsCount | Otorga permiso para recuperar el recuento de todas las invitaciones de GuardDuty enviadas a una cuenta especificada, que no incluye la invitación aceptada | Leer | |||
GetMalwareScanSettings | Otorga permiso para recuperar la configuración de análisis de malware | Leer | |||
GetMasterAccount | Otorga permiso para recuperar detalles de la cuenta de administrador de GuardDuty asociada a una cuenta de miembro | Leer | |||
GetMemberDetectors | Otorga permiso para describir qué orígenes de datos están habilitados para los detectores de cuentas de miembros | Leer | |||
GetMembers | Otorga permiso para recuperar las cuentas de miembro asociadas a una cuenta de administrador | Leer | |||
GetOrganizationStatistics | Concede permiso para recuperar las estadísticas de cobertura del plan de protección de GuardDuty para las cuentas de los miembros en una región | Leer | |||
GetRemainingFreeTrialDays | Concede permiso para indicar el número de días restantes para cada origen de datos utilizado en el periodo de prueba gratuito | Leer | |||
GetThreatIntelSet | Otorga permiso para recuperar ThreatIntelSets de GuardDuty | Read | |||
GetUsageStatistics | Otorga permiso para enumerar estadísticas de uso de Amazon GuardDuty durante los últimos 30 días para el identificador de detector especificado | Read | |||
InviteMembers | Otorga permiso para invitar a otras cuentas de AWS a habilitar GuardDuty y convertirse en cuentas de miembro de GuardDuty. | Escritura | |||
ListCoverage | Concede permiso para enumerar todos los detalles de un recurso para una cuenta determinada en una región | Enumeración | |||
ListDetectors | Otorga permiso para recuperar una lista de detectores de GuardDuty | List | |||
ListFilters | Otorga permiso para recuperar una lista de filtros de GuardDuty | List | |||
ListFindings | Otorga permiso para recuperar una lista de resultados de GuardDuty | List | |||
ListIPSets | Otorga permiso para recuperar una lista de IPSets de GuardDuty | Enumeración | |||
ListInvitations | Otorga permiso para recuperar una lista de todas las invitaciones de membrecía a GuardDuty enviadas a una Cuenta de AWS. | Enumeración | |||
ListMembers | Otorga permiso para recuperar una lista de cuentas de miembro de GuardDuty asociadas a una cuenta de administrador | Enumeración | |||
ListOrganizationAdminAccounts | Otorga permiso para mostrar los detalles sobre el administrador delegado de la organización de GuardDuty | List | |||
ListPublishingDestinations | Otorga permisos para recuperar una lista de destinos de publicación | List | |||
ListTagsForResource | Otorga permiso para recuperar una lista de etiquetas asociadas a un recurso de GuardDuty | Read | |||
ListThreatIntelSets | Otorga permiso para recuperar una lista de ThreatIntelSets de GuardDuty | Enumeración | |||
SendSecurityTelemetry | Concede permiso para enviar telemetría de seguridad para una cuenta específica de GuardDuty en una región | Escritura | |||
StartMalwareScan | Concede permiso para iniciar un nuevo análisis de malware | Escritura | |||
StartMonitoringMembers | Otorga permiso a un administrador de GuardDuty para monitorear los resultados de las cuentas de miembro de GuardDuty | Write | |||
StopMonitoringMembers | Otorga permiso para desactivar los resultados de monitoreo de las cuentas de miembro | Write | |||
TagResource | Otorga permiso para agregar etiquetas a un recurso de GuardDuty | Etiquetado | |||
UnarchiveFindings | Otorga permiso para desarchivar los resultados de GuardDuty | Write | |||
UntagResource | Otorga permiso para eliminar las etiquetas de un recurso de GuardDuty | Etiquetado | |||
UpdateDetector | Otorga permiso para actualizar los detectores de GuardDuty | Write | |||
UpdateFilter | Otorga permiso para actualizar los filtros de GuardDuty | Write | |||
UpdateFindingsFeedback | Otorga permiso para actualizar los comentarios de los resultados para marcar los resultados de GuardDuty como útiles o no útiles | Write | |||
UpdateIPSet | Otorga permiso para actualizar los IPSets de GuardDuty | Escritura |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
UpdateMalwareScanSettings | Otorga permiso para actualizar la configuración de análisis de malware | Escritura | |||
UpdateMemberDetectors | Otorga permiso para actualizar qué orígenes de datos están habilitados para los detectores de cuentas de miembros | Write | |||
UpdateOrganizationConfiguration | Otorga permiso para actualizar la configuración del administrador delegado asociada a un detector de GuardDuty | Write | |||
UpdatePublishingDestination | Otorga permisos para actualizar un destino de publicación | Write |
s3:GetObject s3:ListBucket |
||
UpdateThreatIntelSet | Otorga permiso para actualizar los ThreatIntelSets de GuardDuty | Write |
iam:DeleteRolePolicy iam:PutRolePolicy |
Tipos de recurso definidos por Amazon GuardDuty
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource
de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
Tipos de recurso | ARN | Claves de condición |
---|---|---|
detector |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}
|
|
filter |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}
|
|
ipset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}
|
|
threatintelset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}
|
|
publishingDestination |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}
|
Claves de condición de Amazon GuardDuty
Amazon GuardDuty define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition
de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
Claves de condición | Descripción | Tipo |
---|---|---|
aws:RequestTag/${TagKey} | Filtra el acceso por los pares de clave-valor de etiqueta de la solicitud | Cadena |
aws:ResourceTag/${TagKey} | Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso | Cadena |
aws:TagKeys | Filtra los accesos mediante las claves de etiqueta en la solicitud | ArrayOfString |