Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos de rol vinculados al servicio para Malware Protection for EC2
La protección contra malware para EC2 utiliza la función vinculada al servicio (SLR) denominada. AWSServiceRoleForAmazonGuardDutyMalwareProtection Esta cámara réflex permite a Malware Protection for EC2 realizar análisis sin agentes para detectar malware en su cuenta. GuardDuty Permite GuardDuty crear una instantánea del volumen de EBS en su cuenta y compartirla con la cuenta de servicio. GuardDuty Tras GuardDuty evaluar la instantánea, incluye los metadatos de la carga de trabajo del contenedor y de la instancia de EC2 recuperados en las conclusiones sobre Malware Protection for EC2. El rol vinculado a servicios AWSServiceRoleForAmazonGuardDutyMalwareProtection confía en el servicio malware-protection.guardduty.amazonaws.com para asumir el rol.
Las políticas de permisos de esta función ayudan a Malware Protection for EC2 a realizar las siguientes tareas:
-
Utilice las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para recuperar información sobre sus instancias, volúmenes e instantáneas de Amazon EC2. Malware Protection for EC2 también proporciona permiso para acceder a los metadatos de los clústeres de Amazon EKS y Amazon ECS.
-
Crear instantáneas para los volúmenes de EBS cuya etiqueta
GuardDutyExcludedno esté configurada comotrue. De forma predeterminada, las instantáneas se crean con una etiquetaGuardDutyScanId. No elimine esta etiqueta; de lo contrario, Malware Protection for EC2 no tendrá acceso a las instantáneas.importante
Si lo configuras
true, el GuardDuty servicio no podrá acceder a estas instantáneas en el futuro.GuardDutyExcludedEsto se debe a que las demás instrucciones de esta función vinculada al servicio GuardDuty impiden realizar ninguna acción en las instantáneas para las que está establecido.GuardDutyExcludedtrue -
Permitir compartir y eliminar instantáneas solo si la etiqueta
GuardDutyScanIdexiste y la etiquetaGuardDutyExcludedno está establecida entrue.nota
No permite que Malware Protection for EC2 haga públicas las instantáneas.
-
Acceda a las claves administradas por el cliente, excepto a las que tengan una
GuardDutyExcludedetiqueta configurada comotrue,CreateGrantpara crear un volumen de EBS cifrado y acceder a él desde la instantánea cifrada que se comparte con la GuardDuty cuenta de servicio. Para obtener una lista de las cuentas de GuardDuty servicio de cada región, consulteGuardDuty cuentas de servicio de Región de AWS. -
Acceda a los CloudWatch registros de los clientes para crear el grupo de registros de Malware Protection for EC2 y coloque los registros de eventos de análisis de malware en el
/aws/guardduty/malware-scan-eventsgrupo de registros. -
Permitir que el cliente decida si quiere conservar en su cuenta las instantáneas en las que se detectó el malware. Si el análisis detecta malware, la función vinculada al servicio permite añadir dos etiquetas GuardDuty a las instantáneas: y.
GuardDutyFindingDetectedGuardDutyExcludednota
La etiqueta
GuardDutyFindingDetectedespecifica que las instantáneas contienen malware. -
Determine si un volumen está cifrado con una clave gestionada por EBS. GuardDuty realiza la
DescribeKeyacción para determinar la clavekey Idgestionada por EBS en su cuenta. -
Obtenga la instantánea de los volúmenes de EBS cifrados con Clave administrada de AWS ella Cuenta de AWS y cópiela en la. GuardDuty cuenta de servicio Para ello, utilizamos los permisos
GetSnapshotBlocky.ListSnapshotBlocksGuardDuty luego escaneará la instantánea en la cuenta de servicio. En la actualidad, es posible que la compatibilidad con Malware Protection for EC2 para escanear volúmenes de EBS cifrados con Clave administrada de AWS ella no esté disponible en todos los. Regiones de AWS Para obtener más información, consulte Disponibilidad de características específicas por región. -
Permita que Amazon EC2 llame AWS KMS en nombre de Malware Protection para que EC2 realice varias acciones criptográficas en las claves administradas por el cliente. Acciones como
kms:ReEncryptToykms:ReEncryptFromson obligatorias para compartir las instantáneas cifradas con las claves administradas por el cliente. Solo se puede acceder a las claves para las que la etiquetaGuardDutyExcludedno esté establecida entrue.
El rol se configura con la siguiente política administrada por AWS, que se denomina AmazonGuardDutyMalwareProtectionServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
La siguiente política de confianza se ha adjuntado al rol vinculado a servicios AWSServiceRoleForAmazonGuardDutyMalwareProtection:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Creación de un rol vinculado a un servicio para Malware Protection for EC2
El rol AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculado al servicio se crea automáticamente al habilitar Malware Protection for EC2 por primera vez o al habilitar Malware Protection for EC2 en una región compatible en la que anteriormente no estaba habilitada. También puede crear el rol vinculado al servicio AWSServiceRoleForAmazonGuardDutyMalwareProtection manualmente con la consola de IAM, la CLI de IAM o la API de IAM.
nota
De forma predeterminada, si eres nuevo en Amazon GuardDuty, Malware Protection for EC2 se activa automáticamente.
importante
El rol vinculado al servicio que se crea para la cuenta de GuardDuty administrador delegado no se aplica a las cuentas de los miembros. GuardDuty
Debe configurar permisos para permitir a una entidad principal de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para que el rol AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculado al servicio se cree correctamente, la identidad de IAM que utilices GuardDuty debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a un usuario, un grupo o un rol de :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Para obtener más información sobre cómo crear un rol manualmente, consulte Crear un rol vinculado a servicios en la Guía del usuario de IAM.
Edición de un rol vinculado a un servicio para Malware Protection for EC2
Malware Protection for EC2 no permite editar el rol vinculado al servicio. AWSServiceRoleForAmazonGuardDutyMalwareProtection Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminar un rol vinculado a un servicio para Malware Protection for EC2
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitoree ni se mantenga de forma activa.
importante
Para eliminarloAWSServiceRoleForAmazonGuardDutyMalwareProtection, primero debe deshabilitar la protección contra malware para EC2 en todas las regiones en las que esté habilitada.
Si la protección contra malware para EC2 no está desactivada al intentar eliminar la función vinculada al servicio, la eliminación no se realizará correctamente. Para obtener más información, consulte Para activar o desactivar el GuardDuty análisis de malware iniciado.
Si selecciona Desactivar para detener el servicio Malware Protection for EC2, este no AWSServiceRoleForAmazonGuardDutyMalwareProtection se elimina automáticamente. Si, a continuación, selecciona Activar para volver a iniciar el servicio Malware Protection for EC2, GuardDuty empezará a utilizar el existente. AWSServiceRoleForAmazonGuardDutyMalwareProtection
Eliminación manual del rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado al AWSServiceRoleForAmazonGuardDutyMalwareProtection servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Compatible Regiones de AWS
Amazon GuardDuty admite el uso de la función AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculada al servicio en todos los Regiones de AWS lugares donde esté disponible Malware Protection for EC2.
Para ver una lista de las regiones en las GuardDuty que está disponible actualmente, consulta los GuardDuty puntos de conexión y las cuotas de Amazon en. Referencia general de Amazon Web Services
nota
La protección contra malware para EC2 no está disponible actualmente en AWS GovCloud (EE. UU. Este) ni (EE. UU. Oeste AWS GovCloud ).
