AmazonGuardDutyFullAccess AmazonGuardDutyReadOnlyAccess AmazonGuardDutyServiceRolePolicy Pembaruan kebijakan

AWS kebijakan terkelola untuk Amazon GuardDuty

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Butuh waktu dan keahlian untuk membuat kebijakan terkelola IAM pelanggan yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan IAM Pengguna.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat kebijakan AWS terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

Elemen kebijakan Version menetapkan aturan sintaksis bahasa yang akan digunakan untuk memproses kebijakan. Kebijakan berikut mencakup versi saat ini yang IAM mendukung. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Versi.

AWS kebijakan terkelola: AmazonGuardDutyFullAccess

Anda dapat melampirkan AmazonGuardDutyFullAccess kebijakan ke IAM identitas Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan pengguna mengakses penuh ke semua GuardDuty tindakan.

Detail izin

Kebijakan ini mencakup izin berikut.

GuardDuty— Memungkinkan pengguna akses penuh ke semua GuardDuty tindakan.
IAM:
- Memungkinkan pengguna untuk membuat peran GuardDuty terkait layanan.
- Memungkinkan akun administrator GuardDuty untuk mengaktifkan akun anggota.
- Memungkinkan pengguna untuk meneruskan peran GuardDuty yang menggunakan peran ini untuk mengaktifkan fitur Perlindungan GuardDuty Malware untuk S3. Ini terlepas dari bagaimana Anda mengaktifkan Perlindungan Malware untuk S3 - dalam GuardDuty layanan atau secara independen.
Organizations— Memungkinkan pengguna untuk menunjuk administrator yang didelegasikan dan mengelola anggota untuk organisasi. GuardDuty

Izin untuk melakukan iam:GetRole tindakan AWSServiceRoleForAmazonGuardDutyMalwareProtection menetapkan apakah peran terkait layanan (SLR) untuk Perlindungan Malware untuk EC2 ada di akun.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS kebijakan terkelola: AmazonGuardDutyReadOnlyAccess

Anda dapat melampirkan AmazonGuardDutyReadOnlyAccess kebijakan ke IAM identitas Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat GuardDuty temuan dan detail organisasi Anda. GuardDuty

Detail izin

Kebijakan ini mencakup izin berikut.

GuardDutyMemungkinkan pengguna untuk melihat GuardDuty temuan dan melakukan API operasi yang dimulai dengan GetList,, atau Describe
Organizations— Memungkinkan pengguna untuk mengambil informasi tentang konfigurasi GuardDuty organisasi Anda, termasuk rincian akun administrator yang didelegasikan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonGuardDutyServiceRolePolicy

Anda tidak dapat melampirkan AmazonGuardDutyServiceRolePolicy ke IAM entitas Anda. Kebijakan AWS terkelola ini dilampirkan pada peran terkait layanan yang memungkinkan Anda GuardDuty melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk GuardDuty.

GuardDuty pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola GuardDuty sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman Riwayat GuardDuty dokumen.

Perubahan	Deskripsi	Tanggal
AmazonGuardDutyServiceRolePolicy — Permbaruan ke kebijakan yang sudah ada	Menambahkan `ec2:DescribeVpcs` izin. Ini memungkinkan GuardDuty untuk melacak VPC pembaruan, seperti mengambil file. VPC CIDR	Agustus 22, 2024
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada	Menambahkan izin yang memungkinkan Anda meneruskan IAM peran GuardDuty saat Anda mengaktifkan Perlindungan Malware untuk S3. `{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam:::role/", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }`	Juni 10, 2024
AmazonGuardDutyServiceRolePolicy— Perbarui ke kebijakan yang ada.	Gunakan AWS Systems Manager tindakan untuk mengelola SSM asosiasi di EC2 instans Amazon saat Anda mengaktifkan Pemantauan GuardDuty Waktu Proses dengan agen otomatis untuk Amazon. EC2 Ketika konfigurasi agen GuardDuty otomatis dinonaktifkan, GuardDuty pertimbangkan hanya EC2 instance yang memiliki tag inklusi (`GuardDutyManaged`:`true`).	Maret 26, 2024
AmazonGuardDutyServiceRolePolicy— Perbarui ke kebijakan yang ada.	GuardDuty telah menambahkan izin baru - `organization:DescribeOrganization` untuk mengambil ID organisasi dari VPC akun Amazon bersama dan menetapkan kebijakan VPC titik akhir Amazon dengan ID organisasi.	Februari 9, 2024
AmazonGuardDutyMalwareProtectionServiceRolePolicy— Perbarui ke kebijakan yang ada.	Perlindungan Malware for EC2 telah menambahkan dua izin - `GetSnapshotBlock` dan `ListSnapshotBlocks` untuk mengambil snapshot EBS volume (dienkripsi menggunakan Kunci yang dikelola AWS) dari Anda Akun AWS dan menyalinnya ke akun GuardDuty layanan sebelum memulai pemindaian malware.	25 Jan 2024
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada	Menambahkan izin baru GuardDuty untuk memungkinkan menambahkan `guarddutyActivate` setelan ECS akun Amazon, dan melakukan daftar dan menjelaskan operasi di ECS klaster Amazon.	November 26, 2023
AmazonGuardDutyReadOnlyAccess – Pembaruan ke kebijakan yang ada	GuardDuty menambahkan kebijakan baru untuk `organizations` untuk`ListAccounts`.	16 November 2023
AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada	GuardDuty menambahkan kebijakan baru untuk `organizations` untuk`ListAccounts`.	16 November 2023
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada	GuardDuty menambahkan izin baru untuk mendukung fitur GuardDuty EKS Runtime Monitoring yang akan datang.	8 Maret 2023
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada	GuardDuty telah menambahkan izin baru untuk memungkinkan membuat peran terkait Layanan GuardDuty untuk Perlindungan Malware untuk. EC2 Ini akan membantu GuardDuty merampingkan proses mengaktifkan Perlindungan Malware untuk. EC2 GuardDuty sekarang dapat melakukan IAM tindakan berikut: `{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }`	21 Februari 2023
AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada	GuardDuty diperbarui ARN untuk `iam:GetRole` ke`*AWSServiceRoleForAmazonGuardDutyMalwareProtection`.	26 Jul 2022
AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada	GuardDuty menambahkan yang baru `AWSServiceName` untuk memungkinkan pembuatan peran terkait layanan menggunakan Perlindungan GuardDuty Malware `iam:CreateServiceLinkedRole` untuk layanan. EC2 GuardDuty sekarang dapat melakukan `iam:GetRole` tindakan untuk mendapatkan informasi untuk`AWSServiceRole`.	26 Jul 2022
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada	GuardDuty menambahkan izin baru GuardDuty untuk memungkinkan penggunaan tindakan EC2 jaringan Amazon untuk meningkatkan temuan. GuardDuty sekarang dapat melakukan EC2 tindakan berikut untuk mendapatkan informasi tentang bagaimana EC2 instans Anda berkomunikasi. Informasi ini digunakan untuk meningkatkan akurasi penemuan. `ec2:DescribeVpcEndpoints` `ec2:DescribeSubnets` `ec2:DescribeVpcPeeringConnections` `ec2:DescribeTransitGatewayAttachments`	Agustus 3, 2021
GuardDuty mulai melacak perubahan	GuardDuty mulai melacak perubahan untuk kebijakan yang AWS dikelola.	Agustus 3, 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Izin peran terkait layanan untuk Perlindungan Malware untuk EC2

Pemecahan Masalah