Acciones, recursos y claves de condición para Amazon GuardDuty - Referencia de autorizaciones de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acciones, recursos y claves de condición para Amazon GuardDuty

Amazon GuardDuty (prefijo de servicio: guardduty) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon GuardDuty

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptAdministratorInvitation Otorga permiso para aceptar invitaciones para convertirse en una cuenta de miembro de GuardDuty Escritura
AcceptInvitation Otorga permiso para aceptar invitaciones para convertirse en una cuenta de miembro de GuardDuty Write
ArchiveFindings Otorga permiso para archivar los resultados de GuardDuty Write
CreateDetector Otorga permiso para crear un detector Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFilter Otorga permiso para crear filtros de GuardDuty. Un filtro define los atributos de búsqueda y las condiciones que se utilizan para filtrar resultados Write

filter*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIPSet Concede permiso para crear un IPSet Write

aws:RequestTag/${TagKey}

aws:TagKeys

iam:DeleteRolePolicy

iam:PutRolePolicy

CreateMembers Otorga permiso para crear cuentas de miembro de GuardDuty, donde la cuenta utilizada para crear un miembro se convierte en la cuenta de administrador de GuardDuty Write
CreatePublishingDestination Otorga permisos para crear un destino de publicación Write

s3:GetObject

s3:ListBucket

CreateSampleFindings Otorga permiso para crear hallazgos de muestra Write
CreateThreatIntelSet Otorga permiso para crear ThreatIntelSets de GuardDuty, donde un ThreatIntelSet consta de direcciones IP malintencionadas conocidas que usa GuardDuty para generar resultados Write

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineInvitations Otorga permiso para rechazar invitaciones para convertirse en una cuenta de miembro de GuardDuty Write
DeleteDetector Otorga permiso para eliminar detectores de GuardDuty Write

detector*

DeleteFilter Otorga permiso para eliminar filtros de GuardDuty Write

filter*

DeleteIPSet Otorga permiso para eliminar IPSets de GuardDuty Write

ipset*

DeleteInvitations Otorga permiso para eliminar invitaciones para convertirse en una cuenta de miembro de GuardDuty Write
DeleteMembers Otorga permiso para eliminar cuentas de miembro de GuardDuty Write
DeletePublishingDestination Otorga permisos para eliminar un destino de publicación Write

publishingDestination*

DeleteThreatIntelSet Otorga permiso para eliminar ThreatIntelSets de GuardDuty Escritura

threatintelset*

DescribeMalwareScans Otorga permiso para recuperar los detalles sobre análisis de malware Leer
DescribeOrganizationConfiguration Otorga permisos para recuperar detalles sobre el administrador delegado asociado a un detector GuardDuty Read
DescribePublishingDestination Otorga permisos para recuperar detalles sobre un destino de publicación Read

publishingDestination*

DisableOrganizationAdminAccount Otorga permiso para desactivar el administrador delegado de la organización en GuardDuty Escritura
DisassociateFromAdministratorAccount Otorga permiso para desasociar una cuenta de miembro de GuardDuty de su cuenta de administrador de GuardDuty Escritura
DisassociateFromMasterAccount Otorga permiso para desasociar una cuenta de miembro de GuardDuty de su cuenta de administrador de GuardDuty Escritura
DisassociateMembers Otorga permiso para desasociar cuentas de miembro de GuardDuty de su cuenta de administrador de GuardDuty Escritura
EnableOrganizationAdminAccount Otorga permiso para habilitar un administrador delegado de la organización en GuardDuty Escritura
GetAdministratorAccount Otorga permiso para recuperar detalles de la cuenta de administrador de GuardDuty asociada a una cuenta de miembro Leer
GetCoverageStatistics Concede permiso para enumerar las estadísticas de cobertura de Amazon GuardDuty para la cuenta de GuardDuty especificada en una región Leer

detector*

GetDetector Otorga permiso para recuperar detectores de GuardDuty Read

detector*

GetFilter Otorga permiso para recuperar filtros de GuardDuty Read

filter*

GetFindings Otorga permiso para recuperar resultados de GuardDuty Read
GetFindingsStatistics Otorga permiso para recuperar una lista de estadísticas de resultados de GuardDuty Leer
GetIPSet Concede permiso para recuperar IPSets de GuardDuty Leer

ipset*

GetInvitationsCount Otorga permiso para recuperar el recuento de todas las invitaciones de GuardDuty enviadas a una cuenta especificada, que no incluye la invitación aceptada Leer
GetMalwareScanSettings Otorga permiso para recuperar la configuración de análisis de malware Leer
GetMasterAccount Otorga permiso para recuperar detalles de la cuenta de administrador de GuardDuty asociada a una cuenta de miembro Leer
GetMemberDetectors Otorga permiso para describir qué orígenes de datos están habilitados para los detectores de cuentas de miembros Leer
GetMembers Otorga permiso para recuperar las cuentas de miembro asociadas a una cuenta de administrador Leer
GetOrganizationStatistics Concede permiso para recuperar las estadísticas de cobertura del plan de protección de GuardDuty para las cuentas de los miembros en una región Leer
GetRemainingFreeTrialDays Concede permiso para indicar el número de días restantes para cada origen de datos utilizado en el periodo de prueba gratuito Leer
GetThreatIntelSet Otorga permiso para recuperar ThreatIntelSets de GuardDuty Read

threatintelset*

GetUsageStatistics Otorga permiso para enumerar estadísticas de uso de Amazon GuardDuty durante los últimos 30 días para el identificador de detector especificado Read
InviteMembers Otorga permiso para invitar a otras cuentas de AWS a habilitar GuardDuty y convertirse en cuentas de miembro de GuardDuty. Escritura
ListCoverage Concede permiso para enumerar todos los detalles de un recurso para una cuenta determinada en una región Enumeración

detector*

ListDetectors Otorga permiso para recuperar una lista de detectores de GuardDuty List
ListFilters Otorga permiso para recuperar una lista de filtros de GuardDuty List
ListFindings Otorga permiso para recuperar una lista de resultados de GuardDuty List
ListIPSets Otorga permiso para recuperar una lista de IPSets de GuardDuty Enumeración
ListInvitations Otorga permiso para recuperar una lista de todas las invitaciones de membrecía a GuardDuty enviadas a una Cuenta de AWS. Enumeración
ListMembers Otorga permiso para recuperar una lista de cuentas de miembro de GuardDuty asociadas a una cuenta de administrador Enumeración
ListOrganizationAdminAccounts Otorga permiso para mostrar los detalles sobre el administrador delegado de la organización de GuardDuty List
ListPublishingDestinations Otorga permisos para recuperar una lista de destinos de publicación List
ListTagsForResource Otorga permiso para recuperar una lista de etiquetas asociadas a un recurso de GuardDuty Read

detector

filter

ipset

threatintelset

ListThreatIntelSets Otorga permiso para recuperar una lista de ThreatIntelSets de GuardDuty Enumeración
SendSecurityTelemetry Concede permiso para enviar telemetría de seguridad para una cuenta específica de GuardDuty en una región Escritura
StartMalwareScan Concede permiso para iniciar un nuevo análisis de malware Escritura
StartMonitoringMembers Otorga permiso a un administrador de GuardDuty para monitorear los resultados de las cuentas de miembro de GuardDuty Write
StopMonitoringMembers Otorga permiso para desactivar los resultados de monitoreo de las cuentas de miembro Write
TagResource Otorga permiso para agregar etiquetas a un recurso de GuardDuty Etiquetado

detector

filter

ipset

threatintelset

aws:RequestTag/${TagKey}

aws:TagKeys

UnarchiveFindings Otorga permiso para desarchivar los resultados de GuardDuty Write
UntagResource Otorga permiso para eliminar las etiquetas de un recurso de GuardDuty Etiquetado

detector

filter

ipset

threatintelset

aws:TagKeys

UpdateDetector Otorga permiso para actualizar los detectores de GuardDuty Write

detector*

UpdateFilter Otorga permiso para actualizar los filtros de GuardDuty Write

filter*

UpdateFindingsFeedback Otorga permiso para actualizar los comentarios de los resultados para marcar los resultados de GuardDuty como útiles o no útiles Write
UpdateIPSet Otorga permiso para actualizar los IPSets de GuardDuty Escritura

ipset*

iam:DeleteRolePolicy

iam:PutRolePolicy

UpdateMalwareScanSettings Otorga permiso para actualizar la configuración de análisis de malware Escritura
UpdateMemberDetectors Otorga permiso para actualizar qué orígenes de datos están habilitados para los detectores de cuentas de miembros Write
UpdateOrganizationConfiguration Otorga permiso para actualizar la configuración del administrador delegado asociada a un detector de GuardDuty Write
UpdatePublishingDestination Otorga permisos para actualizar un destino de publicación Write

publishingDestination*

s3:GetObject

s3:ListBucket

UpdateThreatIntelSet Otorga permiso para actualizar los ThreatIntelSets de GuardDuty Write

threatintelset*

iam:DeleteRolePolicy

iam:PutRolePolicy

Tipos de recurso definidos por Amazon GuardDuty

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
detector arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}

aws:ResourceTag/${TagKey}

filter arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}

aws:ResourceTag/${TagKey}

ipset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}

aws:ResourceTag/${TagKey}

threatintelset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}

aws:ResourceTag/${TagKey}

publishingDestination arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}

Claves de condición de Amazon GuardDuty

Amazon GuardDuty define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta de la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra los accesos mediante las claves de etiqueta en la solicitud ArrayOfString