Acciones, recursos y claves de condición para Amazon GuardDuty - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon GuardDuty

Amazon GuardDuty (prefijo de servicio: guardduty) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon GuardDuty

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptInvitation Otorga permiso para aceptar invitaciones para convertirse en una cuenta de miembro de GuardDuty Write
ArchiveFindings Otorga permiso para archivar los resultados de GuardDuty Write
CreateDetector Otorga permiso para crear un detector Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFilter Otorga permiso para crear filtros de GuardDuty. Un filtro define los atributos de búsqueda y las condiciones que se utilizan para filtrar resultados Write

filter*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIPSet Concede permiso para crear un IPSet Write

aws:RequestTag/${TagKey}

aws:TagKeys

iam:DeleteRolePolicy

iam:PutRolePolicy

CreateMembers Otorga permiso para crear cuentas de miembro de GuardDuty, donde la cuenta utilizada para crear un miembro se convierte en la cuenta de administrador de GuardDuty Write
CreatePublishingDestination Otorga permisos para crear un destino de publicación Write

s3:GetObject

s3:ListBucket

CreateSampleFindings Otorga permiso para crear hallazgos de muestra Write
CreateThreatIntelSet Otorga permiso para crear ThreatIntelSets de GuardDuty, donde un ThreatIntelSet consta de direcciones IP malintencionadas conocidas que usa GuardDuty para generar resultados Write

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineInvitations Otorga permiso para rechazar invitaciones para convertirse en una cuenta de miembro de GuardDuty Write
DeleteDetector Otorga permiso para eliminar detectores de GuardDuty Write

detector*

DeleteFilter Otorga permiso para eliminar filtros de GuardDuty Write

filter*

DeleteIPSet Otorga permiso para eliminar IPSets de GuardDuty Write

ipset*

DeleteInvitations Otorga permiso para eliminar invitaciones para convertirse en una cuenta de miembro de GuardDuty Write
DeleteMembers Otorga permiso para eliminar cuentas de miembro de GuardDuty Write
DeletePublishingDestination Otorga permisos para eliminar un destino de publicación Write

publishingDestination*

DeleteThreatIntelSet Otorga permiso para eliminar ThreatIntelSets de GuardDuty Escritura

threatintelset*

DescribeMalwareScans Otorga permiso para recuperar los detalles sobre análisis de malware Lectura
DescribeOrganizationConfiguration Otorga permisos para recuperar detalles sobre el administrador delegado asociado a un detector GuardDuty Read
DescribePublishingDestination Otorga permisos para recuperar detalles sobre un destino de publicación Read

publishingDestination*

DisableOrganizationAdminAccount Otorga permiso para desactivar el administrador delegado de la organización en GuardDuty Escritura
DisassociateFromMasterAccount Otorga permiso para desasociar una cuenta de miembro de GuardDuty de su cuenta de administrador de GuardDuty Escritura
DisassociateMembers Otorga permiso para desasociar cuentas de miembro de GuardDuty de su cuenta de administrador de GuardDuty Escritura
EnableOrganizationAdminAccount Otorga permiso para habilitar un administrador delegado de la organización en GuardDuty Write
GetDetector Otorga permiso para recuperar detectores de GuardDuty Read

detector*

GetFilter Otorga permiso para recuperar filtros de GuardDuty Read

filter*

GetFindings Otorga permiso para recuperar resultados de GuardDuty Read
GetFindingsStatistics Otorga permiso para recuperar una lista de estadísticas de resultados de GuardDuty Lectura
GetIPSet Concede permiso para recuperar IPSets de GuardDuty Lectura

ipset*

GetInvitationsCount Otorga permiso para recuperar el recuento de todas las invitaciones de GuardDuty enviadas a una cuenta especificada, que no incluye la invitación aceptada Lectura
GetMalwareScanSettings Otorga permiso para recuperar la configuración de análisis de malware Lectura
GetMasterAccount Otorga permiso para recuperar detalles de la cuenta de administrador de GuardDuty asociada a una cuenta de miembro Lectura
GetMemberDetectors Otorga permiso para describir qué orígenes de datos están habilitados para los detectores de cuentas de miembros Lectura
GetMembers Otorga permiso para recuperar las cuentas de miembro asociadas a una cuenta de administrador Lectura
GetThreatIntelSet Otorga permiso para recuperar ThreatIntelSets de GuardDuty Read

threatintelset*

GetUsageStatistics Otorga permiso para enumerar estadísticas de uso de Amazon GuardDuty durante los últimos 30 días para el identificador de detector especificado Read
InviteMembers Otorga permiso para invitar a otras cuentas de AWS a habilitar GuardDuty y convertirse en cuentas de miembro de GuardDuty. Write
ListDetectors Otorga permiso para recuperar una lista de detectores de GuardDuty List
ListFilters Otorga permiso para recuperar una lista de filtros de GuardDuty List
ListFindings Otorga permiso para recuperar una lista de resultados de GuardDuty List
ListIPSets Otorga permiso para recuperar una lista de IPSets de GuardDuty List
ListInvitations Otorga permiso para recuperar una lista de todas las invitaciones de membrecía a GuardDuty enviadas a una Cuenta de AWS. List
ListMembers Otorga permiso para recuperar una lista de cuentas de miembro de GuardDuty asociadas a una cuenta de administrador List
ListOrganizationAdminAccounts Otorga permiso para mostrar los detalles sobre el administrador delegado de la organización de GuardDuty List
ListPublishingDestinations Otorga permisos para recuperar una lista de destinos de publicación List
ListTagsForResource Otorga permiso para recuperar una lista de etiquetas asociadas a un recurso de GuardDuty Read

detector

filter

ipset

threatintelset

ListThreatIntelSets Otorga permiso para recuperar una lista de ThreatIntelSets de GuardDuty List
StartMonitoringMembers Otorga permiso a un administrador de GuardDuty para monitorear los resultados de las cuentas de miembro de GuardDuty Write
StopMonitoringMembers Otorga permiso para desactivar los resultados de monitoreo de las cuentas de miembro Write
TagResource Otorga permiso para agregar etiquetas a un recurso de GuardDuty Etiquetado

detector

filter

ipset

threatintelset

aws:RequestTag/${TagKey}

aws:TagKeys

UnarchiveFindings Otorga permiso para desarchivar los resultados de GuardDuty Write
UntagResource Otorga permiso para eliminar las etiquetas de un recurso de GuardDuty Etiquetado

detector

filter

ipset

threatintelset

aws:TagKeys

UpdateDetector Otorga permiso para actualizar los detectores de GuardDuty Write

detector*

UpdateFilter Otorga permiso para actualizar los filtros de GuardDuty Write

filter*

UpdateFindingsFeedback Otorga permiso para actualizar los comentarios de los resultados para marcar los resultados de GuardDuty como útiles o no útiles Write
UpdateIPSet Otorga permiso para actualizar los IPSets de GuardDuty Escritura

ipset*

iam:DeleteRolePolicy

iam:PutRolePolicy

UpdateMalwareScanSettings Otorga permiso para actualizar la configuración de análisis de malware Escritura
UpdateMemberDetectors Otorga permiso para actualizar qué orígenes de datos están habilitados para los detectores de cuentas de miembros Write
UpdateOrganizationConfiguration Otorga permiso para actualizar la configuración del administrador delegado asociada a un detector de GuardDuty Write
UpdatePublishingDestination Otorga permisos para actualizar un destino de publicación Write

publishingDestination*

s3:GetObject

s3:ListBucket

UpdateThreatIntelSet Otorga permiso para actualizar los ThreatIntelSets de GuardDuty Write

threatintelset*

iam:DeleteRolePolicy

iam:PutRolePolicy

Tipos de recurso definidos por Amazon GuardDuty

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
detector arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}

aws:ResourceTag/${TagKey}

filter arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}

aws:ResourceTag/${TagKey}

ipset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}

aws:ResourceTag/${TagKey}

threatintelset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}

aws:ResourceTag/${TagKey}

publishingDestination arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}

Claves de condición de Amazon GuardDuty

Amazon GuardDuty define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta de la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra los accesos mediante las claves de etiqueta en la solicitud ArrayOfString