Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations de rôle liées à un service pour Malware Protection for EC2
Malware Protection for EC2 utilise le rôle lié au service (SLR) nommé. AWSServiceRoleForAmazonGuardDutyMalwareProtection Ce SLR permet à Malware Protection for EC2 d'effectuer des analyses sans agent afin de détecter les logiciels malveillants présents dans votre compte. GuardDuty Il permet GuardDuty de créer un instantané du volume EBS dans votre compte et de partager cet instantané avec le compte de GuardDuty service. Après avoir GuardDuty évalué le snapshot, celui-ci inclut les métadonnées de charge de travail de conteneur et d'instance EC2 récupérées dans les résultats de la protection contre les malwares pour EC2. Le rôle lié à un service AWSServiceRoleForAmazonGuardDutyMalwareProtection fait confiance au service malware-protection.guardduty.amazonaws.com pour endosser le rôle.
Les politiques d'autorisation associées à ce rôle permettent à Malware Protection for EC2 d'effectuer les tâches suivantes :
-
Utilisez les actions Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur vos instances, volumes et instantanés Amazon EC2. Malware Protection for EC2 fournit également l'autorisation d'accéder aux métadonnées des clusters Amazon EKS et Amazon ECS.
-
Créer des instantanés pour les volumes EBS dont la balise
GuardDutyExcludedn'est pas définie surtrue. Par défaut, les instantanés sont créés avec une baliseGuardDutyScanId. Ne supprimez pas cette balise, sinon Malware Protection for EC2 n'aura pas accès aux instantanés.Important
Lorsque vous définissez le
GuardDutyExcludedparamètre surtrue, le GuardDuty service ne pourra plus accéder à ces instantanés à l'avenir. Cela est dû au fait que les autres instructions de ce rôle lié au service GuardDuty empêchent toute action sur les instantanés définis sur.GuardDutyExcludedtrue -
Autoriser le partage et la suppression d'instantanés uniquement si la balise
GuardDutyScanIdexiste et que la baliseGuardDutyExcludedn'est pas définie surtrue.Note
N'autorise pas Malware Protection for EC2 à rendre les instantanés publics.
-
Accédez aux clés gérées par le client, à l'exception de celles dont le
GuardDutyExcludedtag est défini surtrue, pour appelerCreateGrantpour créer et accéder à un volume EBS chiffré à partir de l'instantané chiffré partagé avec le compte de GuardDuty service. Pour obtenir la liste des comptes de GuardDuty service pour chaque région, voirGuardDuty comptes de service par Région AWS. -
Accédez aux CloudWatch journaux des clients pour créer le groupe de journaux Malware Protection for EC2 et placez les journaux des événements d'analyse des programmes malveillants dans le
/aws/guardduty/malware-scan-eventsgroupe de journaux. -
Autoriser le client à décider s'il souhaite conserver dans son compte les instantanés sur lesquels le logiciel malveillant a été détecté. Si l'analyse détecte un logiciel malveillant, le rôle lié au service permet d' GuardDuty ajouter deux balises aux instantanés : et.
GuardDutyFindingDetectedGuardDutyExcludedNote
La balise
GuardDutyFindingDetectedindique que les instantanés contiennent des logiciels malveillants. -
Déterminez si un volume est chiffré à l'aide d'une clé gérée EBS. GuardDuty exécute l'
DescribeKeyaction pour déterminerkey Idla clé gérée par EBS dans votre compte. -
Récupérez l'instantané des volumes EBS chiffrés à l'aide de Clé gérée par AWS, depuis votre Compte AWS et copiez-le dans le. GuardDuty compte de service À cette fin, nous utilisons les autorisations
GetSnapshotBlocketListSnapshotBlocks. GuardDuty scannera ensuite le cliché dans le compte de service. À l'heure actuelle, la prise en charge de Malware Protection for EC2 pour l'analyse des volumes EBS chiffrés avec Clé gérée par AWS peut ne pas être disponible dans tous les. Régions AWS Pour plus d’informations, consultez Disponibilité des fonctionnalités propres à la région. -
Autorisez Amazon EC2 à appeler au AWS KMS nom de Malware Protection for EC2 afin d'effectuer plusieurs actions cryptographiques sur des clés gérées par le client. Des actions telles que
kms:ReEncryptToetkms:ReEncryptFromsont nécessaires pour partager les instantanés chiffrés avec les clés gérées par le client. Seules les clés suivantes pour lesquelles la baliseGuardDutyExcludedn'est pas définietruesur sont accessibles.
Le rôle est configuré avec la stratégie gérée AWS suivante, nommée AmazonGuardDutyMalwareProtectionServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
La stratégie d'approbation suivante est attachée au rôle lié à un service AWSServiceRoleForAmazonGuardDutyMalwareProtection :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Création d'un rôle lié à un service pour Malware Protection for EC2
Le rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection lié à un service est automatiquement créé lorsque vous activez la protection contre les programmes malveillants pour EC2 pour la première fois ou lorsque vous activez la protection contre les programmes malveillants pour EC2 dans une région prise en charge où elle n'était pas activée auparavant. Vous pouvez également créer le rôle lié à un service AWSServiceRoleForAmazonGuardDutyMalwareProtection manuellement, via la console IAM, la CLI IAM ou l'API IAM.
Note
Par défaut, si vous utilisez Amazon pour la première fois GuardDuty, Malware Protection for EC2 est automatiquement activée.
Important
Le rôle lié au service créé pour le compte d' GuardDuty administrateur délégué ne s'applique pas aux comptes des membres GuardDuty .
Vous devez configurer les autorisations de manière à permettre à un principal IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection lié au service soit correctement créé, l'identité IAM que vous utilisez doit disposer GuardDuty des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Modification d'un rôle lié à un service pour Malware Protection for EC2
Malware Protection for EC2 ne vous permet pas de modifier le rôle lié au AWSServiceRoleForAmazonGuardDutyMalwareProtection service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le guide de l’utilisateur IAM.
Suppression d'un rôle lié à un service pour Malware Protection for EC2
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
Important
Pour le supprimerAWSServiceRoleForAmazonGuardDutyMalwareProtection, vous devez d'abord désactiver la protection contre les programmes malveillants pour EC2 dans toutes les régions où elle est activée.
Si la protection contre les programmes malveillants pour EC2 n'est pas désactivée lorsque vous essayez de supprimer le rôle lié à un service, la suppression échouera. Pour plus d’informations, consultez Pour activer ou désactiver l'analyse des programmes malveillants GuardDuty initiée.
Lorsque vous choisissez Désactiver pour arrêter le service Malware Protection for EC2, celui-ci n'AWSServiceRoleForAmazonGuardDutyMalwareProtectionest pas automatiquement supprimé. Si vous choisissez ensuite Activer pour redémarrer le service Malware Protection for EC2, GuardDuty vous commencerez à utiliser le service existantAWSServiceRoleForAmazonGuardDutyMalwareProtection.
Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM
Utilisez la console IAM, la AWS CLI ou l'API IAM pour supprimer le rôle lié au AWSServiceRoleForAmazonGuardDutyMalwareProtection service. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Soutenu Régions AWS
Amazon GuardDuty prend en charge l'utilisation du rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection lié au service dans tous les domaines Régions AWS où Malware Protection for EC2 est disponible.
Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section GuardDuty Points de terminaison et quotas Amazon dans le Référence générale d'Amazon Web Services.
Note
La protection contre les programmes malveillants pour EC2 n'est actuellement pas disponible en AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest).
