AWS políticas gestionadas para Amazon GuardDuty

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

AWS política gestionada: AmazonGuardDutyFullAccess

Puede adjuntar la política AmazonGuardDutyFullAccess a las identidades de IAM.

Esta política otorga permisos administrativos que permiten al usuario el acceso total a todas GuardDuty las acciones.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• GuardDuty— Permite a los usuarios el acceso total a todas GuardDuty las acciones.

• IAM— Permite a los usuarios crear el rol GuardDuty vinculado al servicio. Esto permite al GuardDuty administrador habilitar las cuentas de GuardDuty los miembros.

• Organizations— Permite a los usuarios designar un administrador delegado y gestionar los miembros de una GuardDuty organización.

El permiso para llevar a cabo una acción iam:GetRole en AWSServiceRoleForAmazonGuardDutyMalwareProtection establece si el rol vinculado a servicios (SLR) de Protección contra malware existe en una cuenta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        }
    ]
}

AWS política gestionada: AmazonGuardDutyReadOnlyAccess

Puede adjuntar la política AmazonGuardDutyReadOnlyAccess a las identidades de IAM.

Esta política otorga permisos de solo lectura que permiten al usuario ver las GuardDuty conclusiones y los detalles de su GuardDuty organización.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• GuardDuty— Permite a los usuarios ver los GuardDuty resultados y realizar operaciones de API que comiencen con GetList, o. Describe

• Organizations— Permite a los usuarios recuperar información sobre GuardDuty la configuración de la organización, incluidos los detalles de la cuenta de administrador delegado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gestionada: AmazonGuardDutyServiceRolePolicy

No puede asociar AmazonGuardDutyServiceRolePolicy a sus entidades IAM. Esta política AWS gestionada está asociada a un rol vinculado al servicio que permite GuardDuty realizar acciones en su nombre. Para obtener más información, consulte Permisos de rol vinculados al servicio para GuardDuty.

GuardDuty actualizaciones de las políticas gestionadas AWS

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas GuardDuty desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del GuardDuty documento.

Cambio	Descripción	Fecha
AmazonGuardDutyServiceRolePolicy: actualización de una política existente.	Utilice AWS Systems Manager acciones para gestionar las asociaciones de SSM en las instancias de Amazon EC2 al GuardDuty habilitar Runtime Monitoring con un agente automatizado para Amazon EC2. Cuando la configuración GuardDuty automática de agentes está deshabilitada, solo GuardDuty tiene en cuenta las instancias de EC2 que tienen una etiqueta de inclusión (:). GuardDutyManaged true	26 de marzo de 2024
AmazonGuardDutyServiceRolePolicy: actualización de una política existente.	GuardDuty ha añadido un nuevo permiso organization:DescribeOrganization para recuperar el ID de organización de la cuenta de Amazon VPC compartida y configurar la política de puntos finales de Amazon VPC con el ID de la organización.	9 de febrero de 2024
AmazonGuardDutyMalwareProtectionServiceRolePolicy: actualización de una política existente.	Malware Protection ha añadido dos permisos: GetSnapshotBlock el de ListSnapshotBlocks obtener una instantánea de un volumen de EBS (cifrada mediante Clave administrada de AWS) Cuenta de AWS y copiarla a la cuenta de GuardDuty servicio antes de iniciar el análisis de malware.	25 de enero de 2024
AmazonGuardDutyServiceRolePolicy: actualización de una política actual	Se han añadido nuevos permisos que permiten GuardDuty añadir la configuración de la cuenta de guarddutyActivate Amazon ECS y realizar, enumerar y describir operaciones en los clústeres de Amazon ECS.	26 de noviembre de 2023
AmazonGuardDutyReadOnlyAccess: actualización de una política actual	GuardDuty agregó una nueva política organizations paraListAccounts.	16 de noviembre de 2023
AmazonGuardDutyFullAccess: actualización de una política actual	GuardDuty agregó una nueva política organizations paraListAccounts.	16 de noviembre de 2023
AmazonGuardDutyServiceRolePolicy: actualización de una política actual	GuardDuty agregó nuevos permisos para admitir la próxima función de monitoreo de tiempo de ejecución de GuardDuty EKS.	8 de marzo de 2023
AmazonGuardDutyServiceRolePolicy: actualización de una política actual	GuardDuty ha añadido nuevos permisos que permiten crear un rol vinculado GuardDuty al servicio para la protección contra malware. Esto ayudará a GuardDuty agilizar el proceso de activación de la protección contra el malware. GuardDuty ahora puede realizar la siguiente acción de IAM: { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }	21 de febrero de 2023
AmazonGuardDutyFullAccess: actualización de una política actual	GuardDuty ARN actualizado paraiam:GetRole. *AWSServiceRoleForAmazonGuardDutyMalwareProtection	26 de julio de 2022
AmazonGuardDutyFullAccess: actualización de una política actual	GuardDuty se agregó uno nuevo AWSServiceName para permitir la creación de un rol vinculado al servicio mediante iam:CreateServiceLinkedRole el servicio de protección GuardDuty contra malware. GuardDuty ahora puede realizar la iam:GetRole acción para obtener información. AWSServiceRole	26 de julio de 2022
AmazonGuardDutyServiceRolePolicy: actualización de una política actual	GuardDuty se han añadido nuevos permisos que permiten GuardDuty utilizar las acciones de red de Amazon EC2 para mejorar los resultados. GuardDuty ahora puede realizar las siguientes acciones de EC2 para obtener información sobre cómo se comunican sus instancias de EC2. Esta información se utiliza para mejorar la precisión de los resultados. ec2:DescribeVpcEndpoints ec2:DescribeSubnets ec2:DescribeVpcPeeringConnections ec2:DescribeTransitGatewayAttachments	3 de agosto de 2021
GuardDuty comenzó a rastrear los cambios	GuardDuty comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.	3 de agosto de 2021