Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
GuardDuty utilise le rôle lié au service (SLR) nommé. AWSServiceRoleForAmazonGuardDuty Le reflex permet d' GuardDuty effectuer les tâches suivantes. Cela permet également GuardDuty d'inclure les métadonnées récupérées appartenant à l' EC2 instance dans les résultats qui GuardDuty peuvent être générés concernant la menace potentielle. Le rôle lié à un service AWSServiceRoleForAmazonGuardDuty fait confiance au service guardduty.amazonaws.com pour endosser le rôle.
Les politiques d'autorisation permettent GuardDuty d'effectuer les tâches suivantes :
-
Utilisez EC2 les actions Amazon pour gérer et récupérer des informations sur vos EC2 instances, vos images et vos composants réseau tels que VPCs les sous-réseaux et les passerelles de transit.
-
Utilisez AWS Systems Manager des actions pour gérer les associations SSM sur les EC2 instances Amazon lorsque vous activez la surveillance du GuardDuty temps d'exécution avec un agent automatisé pour Amazon EC2. Lorsque la configuration GuardDuty automatique des agents est désactivée, ne GuardDuty prend en compte que les EC2 instances dotées d'une balise d'inclusion (
GuardDutyManaged:true). -
Utilisez AWS Organizations des actions pour décrire les comptes associés et l'identifiant de l'organisation.
-
Utilisez les actions Amazon S3 pour récupérer des informations sur les compartiments et les objets S3.
-
Utilisez AWS Lambda des actions pour récupérer des informations sur vos fonctions et balises Lambda.
-
Utilisez les actions Amazon EKS pour gérer et récupérer des informations sur les clusters EKS et gérer les modules complémentaires Amazon EKS sur des clusters EKS. Les actions EKS récupèrent également les informations relatives aux balises associées à GuardDuty.
-
Utilisez IAM pour créer la protection contre les programmes malveillants une Autorisations de rôle liées à un service pour Malware Protection pour EC2 fois que la protection contre les programmes malveillants EC2 a été activée.
-
Utilisez les actions Amazon ECS pour gérer et récupérer des informations sur les clusters Amazon ECS, et gérez les paramètres du compte Amazon ECS avec
guarddutyActivate. Les actions relatives à Amazon ECS récupèrent également les informations relatives aux balises associées à GuardDuty.
Le rôle est configuré avec la stratégie gérée AWS suivante, nommée AmazonGuardDutyServiceRolePolicy.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GuardDutyGetDescribeListPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeSubnets",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeTransitGatewayAttachments",
"organizations:ListAccounts",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"s3:GetBucketPublicAccessBlock",
"s3:GetEncryptionConfiguration",
"s3:GetBucketTagging",
"s3:GetAccountPublicAccessBlock",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"lambda:GetFunctionConfiguration",
"lambda:ListTags",
"eks:ListClusters",
"eks:DescribeCluster",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ecs:ListClusters",
"ecs:DescribeClusters"
],
"Resource": "*"
},
{
"Sid": "GuardDutyCreateSLRPolicy",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
},
{
"Sid": "GuardDutyCreateVpcEndpointPolicy",
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
},
"StringLike": {
"ec2:VpceServiceName": [
"com.amazonaws.*.guardduty-data",
"com.amazonaws.*.guardduty-data-fips"
]
}
}
},
{
"Sid": "GuardDutyModifyDeleteVpcEndpointPolicy",
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpoint",
"ec2:DeleteVpcEndpoints"
],
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:ModifyVpcEndpoint"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:subnet/*"
]
},
{
"Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVpcEndpoint"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutySecurityGroupManagementPolicy",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"Null": {
"aws:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "GuardDutyCreateSecurityGroupPolicy",
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringLike": {
"aws:RequestTag/GuardDutyManaged": "*"
}
}
},
{
"Sid": "GuardDutyCreateSecurityGroupForVpcPolicy",
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:vpc/*"
},
{
"Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSecurityGroup"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyCreateEksAddonPolicy",
"Effect": "Allow",
"Action": "eks:CreateAddon",
"Resource": "arn:aws:eks:*:*:cluster/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyEksAddonManagementPolicy",
"Effect": "Allow",
"Action": [
"eks:DeleteAddon",
"eks:UpdateAddon",
"eks:DescribeAddon"
],
"Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*"
},
{
"Sid": "GuardDutyEksClusterTagResourcePolicy",
"Effect": "Allow",
"Action": "eks:TagResource",
"Resource": "arn:aws:eks:*:*:cluster/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy",
"Effect": "Allow",
"Action": "ecs:PutAccountSettingDefault",
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:account-setting": [
"guardDutyActivate"
]
}
}
},
{
"Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission",
"Effect": "Allow",
"Action": [
"ssm:DescribeAssociation",
"ssm:DeleteAssociation",
"ssm:UpdateAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "arn:aws:ssm:*:*:association/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/GuardDutyManaged": "true"
}
}
},
{
"Sid": "SsmAddTagsToResourcePermission",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:arn:aws:ssm:*:*:association/*",
"Condition":{
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
},
"StringEquals": {
"aws:ResourceTag/GuardDutyManaged": "true"
}
}
},
{
"Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission",
"Effect": "Allow",
"Action": [
"ssm:CreateAssociation",
"ssm:UpdateAssociation"
],
"Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin"
},
{
"Sid": "SsmSendCommandPermission",
"Effect": "Allow",
"Action": "ssm:SendCommand",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin"
]
},
{
"Sid": "SsmGetCommandStatus",
"Effect": "Allow",
"Action": "ssm:GetCommandInvocation",
"Resource": "*"
}
]
}Voici la stratégie d'approbation qui est attachée au rôle lié à un service AWSServiceRoleForAmazonGuardDuty :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}Pour plus de détails sur les mises à jour AmazonGuardDutyServiceRolePolicy de la politique, consultezGuardDuty mises à jour des politiques AWS gérées. Pour recevoir des alertes automatiques concernant les modifications apportées à cette politique, abonnez-vous au fil RSS de la Historique de la documentation page.
Création d'un rôle lié à un service pour GuardDuty
Le rôle AWSServiceRoleForAmazonGuardDuty lié au service est automatiquement créé lorsque vous l'activez GuardDuty pour la première fois ou lorsque vous l'activez GuardDuty dans une région prise en charge où il n'était pas activé auparavant. Vous pouvez également créer le rôle lié au service manuellement à l'aide de la console IAM, de l'API IAM ou de l' AWS CLI API IAM.
Important
Le rôle lié au service créé pour le compte d'administrateur GuardDuty délégué ne s'applique pas aux comptes des membres GuardDuty .
Vous devez configurer les autorisations de manière à permettre à un principal IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle AWSServiceRoleForAmazonGuardDuty lié au service soit correctement créé, le principal IAM que vous utilisez doit disposer GuardDuty des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
Note
Remplacez l'exemple account ID de l'exemple suivant par votre numéro de AWS compte réel.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Modification d'un rôle lié à un service pour GuardDuty
GuardDuty ne vous permet pas de modifier le rôle AWSServiceRoleForAmazonGuardDuty lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.
Supprimer un rôle lié à un service pour GuardDuty
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
Important
Si vous avez activé la protection contre les programmes malveillants pour EC2, la suppression AWSServiceRoleForAmazonGuardDuty n'est pas automatiquement suppriméeAWSServiceRoleForAmazonGuardDutyMalwareProtection. Si vous souhaitez effectuer une suppressionAWSServiceRoleForAmazonGuardDutyMalwareProtection, consultez la section Suppression d'un rôle lié à un service pour Malware Protection for. EC2
Vous devez d'abord GuardDuty le désactiver dans toutes les régions où il est activé afin de supprimer leAWSServiceRoleForAmazonGuardDuty. Si le GuardDuty service n'est pas désactivé lorsque vous essayez de supprimer le rôle lié au service, la suppression échoue. Pour de plus amples informations, veuillez consulter Suspension ou désactivation GuardDuty.
Lorsque vous le désactivez GuardDuty, le AWSServiceRoleForAmazonGuardDuty fichier n'est pas supprimé automatiquement. Si vous GuardDuty réactivez, il commencera à utiliser l'existantAWSServiceRoleForAmazonGuardDuty.
Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM
Utilisez la console IAM AWS CLI, ou l'API IAM pour supprimer le rôle lié au AWSServiceRoleForAmazonGuardDuty service. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Soutenu Régions AWS
Amazon GuardDuty prend en charge l'utilisation du rôle AWSServiceRoleForAmazonGuardDuty lié au service dans tous les Régions AWS endroits où cela GuardDuty est disponible. Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section GuardDuty Points de terminaison et quotas Amazon dans le Référence générale d'Amazon Web Services.
