Claves de condición, recursos y acciones de Amazon GuardDuty - AWS Identity and Access Management

Claves de condición, recursos y acciones de Amazon GuardDuty

Amazon GuardDuty (prefijo de servicio: guardduty) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon GuardDuty

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptInvitation Concede permiso para aceptar invitaciones para convertirse en una cuenta de miembro de GuardDuty. Escritura

detector*

ArchiveFindings Concede permiso para archivar los resultados de GuardDuty. Escritura

detector*

CreateDetector Concede permiso para crear un detector. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFilter Concede permiso para crear filtros de GuardDuty. Un filtro define los atributos de búsqueda y las condiciones que se utilizan para filtrar resultados. Escritura

detector*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIPSet Da permiso para crear un IPSet. Escritura

detector*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMembers Concede permiso para crear cuentas de miembro de GuardDuty. La cuenta que se utiliza para crear un miembro se convierte en la cuenta maestra de GuardDuty. Escritura

detector*

CreatePublishingDestination Concede permisos para crear un destino de publicación. Escritura

detector*

s3:GetObject

s3:ListBucket

CreateSampleFindings Concede permiso para crear resultados de muestra. Escritura

detector*

CreateThreatIntelSet Concede permiso para crear ThreatIntelSets de GuardDuty. Un ThreatIntelSet consta de direcciones IP malintencionadas conocidas que usa GuardDuty para generar resultados. Escritura

detector*

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineInvitations Concede permiso para rechazar invitaciones para convertirse en una cuenta de miembro de GuardDuty. Escritura
DeleteDetector Concede permiso para eliminar detectores de GuardDuty. Escritura

detector*

DeleteFilter Concede permiso para eliminar filtros de GuardDuty. Escritura

detector*

filter*

DeleteIPSet Concede permiso para eliminar IPSets de GuardDuty. Escritura

detector*

ipset*

DeleteInvitations Concede permiso para eliminar invitaciones para convertirse en una cuenta de miembro de GuardDuty. Escritura
DeleteMembers Concede permiso para eliminar cuentas de miembro de GuardDuty. Escritura

detector*

DeletePublishingDestination Concede permisos para eliminar un destino de publicación. Escritura

detector*

publishingdestination*

DeleteThreatIntelSet Concede permiso para eliminar ThreatIntelSets de GuardDuty. Escritura

detector*

threatintelset*

DescribeOrganizationConfiguration Concede permisos para recuperar detalles sobre el administrador delegado asociado a un detector GuardDuty. Lectura

detector*

DescribePublishingDestination Concede permisos para recuperar detalles sobre un destino de publicación. Lectura

detector*

publishingdestination*

DisableOrganizationAdminAccount Concede permiso para desactivar el administrador delegado de la organización en GuardDuty. Escritura
DisassociateFromMasterAccount Concede permiso para desasociar una cuenta de miembro de GuardDuty de su cuenta maestra de GuardDuty. Escritura

detector*

DisassociateMembers Concede permiso para desasociar cuentas de miembro de GuardDuty de su cuenta maestra de GuardDuty. Escritura

detector*

EnableOrganizationAdminAccount Concede permiso para habilitar un administrador delegado de la organización en GuardDuty. Escritura
GetDetector Concede permiso para recuperar detectores de GuardDuty. Lectura

detector*

GetFilter Concede permiso para recuperar filtros de GuardDuty. Lectura

detector*

filter*

GetFindings Concede permiso para recuperar resultados de GuardDuty. Lectura

detector*

GetFindingsStatistics Concede permiso para recuperar una lista de estadísticas de resultados de GuardDuty. Lectura

detector*

GetIPSet Concede permiso para recuperar IPSets de GuardDuty. Lectura

detector*

ipset*

GetInvitationsCount Concede permiso para recuperar el recuento de todas las invitaciones de GuardDuty enviadas a una cuenta especificada. El recuento no incluye una invitación aceptada. Lectura
GetMasterAccount Concede permiso para recuperar detalles de la cuenta maestra de GuardDuty asociada a una cuenta de miembro. Lectura

detector*

GetMembers Concede permiso para recuperar las cuentas de miembro asociadas a una cuenta maestra. Lectura

detector*

GetThreatIntelSet Concede permiso para recuperar ThreatIntelSets de GuardDuty. Lectura

detector*

threatintelset*

InviteMembers Concede permiso para invitar a otras cuentas de AWS a habilitar GuardDuty y convertirse en cuentas de miembro de GuardDuty. Escritura

detector*

ListDetectors Concede permiso para recuperar una lista de detectores de GuardDuty. List
ListFilters Concede permiso para recuperar una lista de filtros de GuardDuty. List

detector*

ListFindings Concede permiso para recuperar una lista de resultados de GuardDuty. List

detector*

ListInvitations Concede permiso para recuperar una lista de todas las invitaciones de pertenencia a GuardDuty que se enviaron a una cuenta de AWS. List
ListMembers Concede permiso para recuperar una cantidad de cuentas de miembro de GuardDuty asociadas a una cuenta maestra. List

detector*

ListOrganizationAdminAccounts Concede permiso para mostrar los detalles sobre el administrador delegado de la organización de GuardDuty. List
ListPublishingDestinations Concede permisos para recuperar una lista de destinos de publicación. List

detector*

ListTagsForResource Concede permiso para recuperar una lista de etiquetas asociadas a un recurso de GuardDuty. List

detector

filter

ipset

threatintelset

ListThreatIntelSets Concede permiso para recuperar una lista de ThreatIntelSets de GuardDuty. List

detector*

StartMonitoringMembers Concede permiso a una cuenta maestra para monitorizar los resultados de las cuentas de miembro de GuardDuty. Utilícelo después de deshabilitar la monitorización de cuentas de miembro mediante la operación StopMonitoringMembers. Escritura

detector*

StopMonitoringMembers Concede permiso para deshabilitar los resultados de monitorización de las cuentas de miembro. Escritura

detector*

TagResource Concede permiso para añadir etiquetas a un recurso de GuardDuty. Cada recurso puede tener un máximo de 50 etiquetas. Escritura

detector

filter

ipset

threatintelset

aws:RequestTag/${TagKey}

aws:TagKeys

UnarchiveFindings Concede permiso para desarchivar los resultados de GuardDuty. Escritura

detector*

UntagResource Concede permiso para eliminar las etiquetas de un recurso de GuardDuty. Escritura

detector

filter

ipset

threatintelset

aws:TagKeys

UpdateDetector Concede permiso para actualizar los detectores de GuardDuty. Escritura

detector*

UpdateFilter Concede permiso para actualizar los filtros de GuardDuty. Escritura

detector*

filter*

UpdateFindingsFeedback Concede permiso para actualizar los comentarios de los resultados para marcar los resultados de GuardDuty como útiles o no útiles. Escritura

detector*

UpdateIPSet Concede permiso para actualizar los IPSets de GuardDuty. Escritura

detector*

ipset*

UpdateOrganizationConfiguration Concede permiso para actualizar la configuración del administrador delegado asociada a un detector de GuardDuty. Escritura

detector*

UpdatePublishingDestination Concede permisos para actualizar un destino de publicación. Escritura

detector*

s3:GetObject

s3:ListBucket

publishingdestination*

UpdateThreatIntelSet Concede permiso para actualizar los ThreatIntelSets de GuardDuty. Escritura

detector*

threatintelset*

Tipos de recurso definidos por Amazon GuardDuty

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
detector arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}

aws:ResourceTag/${TagKey}

filter arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}

aws:ResourceTag/${TagKey}

ipset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}

aws:ResourceTag/${TagKey}

threatintelset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}

aws:ResourceTag/${TagKey}

publishingdestination arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${PublishingDestinationId}

Claves de condición de Amazon GuardDuty

Amazon GuardDuty define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de pares de clave-valor de etiqueta asociados al recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de claves de etiqueta en la solicitud. Cadena