Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin peran terkait layanan untuk Perlindungan Malware untuk EC2
Perlindungan Malware untuk EC2 menggunakan peran terkait layanan (SLR) bernama. AWSServiceRoleForAmazonGuardDutyMalwareProtection SLR ini memungkinkan Perlindungan Malware untuk EC2 untuk melakukan pemindaian tanpa agen untuk mendeteksi malware di akun Anda. GuardDuty Ini memungkinkan GuardDuty untuk membuat snapshot volume EBS di akun Anda, dan berbagi snapshot itu dengan akun layanan. GuardDuty Setelah GuardDuty mengevaluasi snapshot, itu termasuk instans EC2 yang diambil dan metadata beban kerja kontainer dalam temuan Perlindungan Malware untuk EC2. Peran terkait layanan AWSServiceRoleForAmazonGuardDutyMalwareProtection memercayai layanan malware-protection.guardduty.amazonaws.com untuk menjalankan peran.
Kebijakan izin untuk peran ini membantu Perlindungan Malware untuk EC2 untuk melakukan tugas-tugas berikut:
-
Gunakan tindakan Amazon Elastic Compute Cloud (Amazon EC2) untuk mengambil informasi tentang instans, volume, dan snapshot Amazon EC2 Anda. Perlindungan Malware untuk EC2 juga memberikan izin untuk mengakses metadata cluster Amazon EKS dan Amazon ECS.
-
Buat snapshot untuk volume EBS yang
GuardDutyExcludedtag belum disetel.trueSecara default, snapshot dibuat denganGuardDutyScanIdtag. Jangan hapus tag ini, jika tidak, Perlindungan Malware untuk EC2 tidak akan memiliki akses ke snapshot.penting
Saat Anda menyetel
GuardDutyExcludedketrue, GuardDuty layanan tidak akan dapat mengakses snapshot ini di masa mendatang. Ini karena pernyataan lain dalam peran terkait layanan ini GuardDuty mencegah melakukan tindakan apa pun pada snapshot yang disetel keGuardDutyExcluded.true -
Izinkan berbagi dan menghapus snapshot hanya jika
GuardDutyScanIdtag ada danGuardDutyExcludedtag tidak disetel ke.truecatatan
Tidak mengizinkan Perlindungan Malware untuk EC2 membuat snapshot publik.
-
Akses kunci terkelola pelanggan, kecuali yang memiliki
GuardDutyExcludedtag yang disetel ketrue, untuk memanggilCreateGrantuntuk membuat dan mengakses volume EBS terenkripsi dari snapshot terenkripsi yang akan dibagikan dengan akun layanan. GuardDuty Untuk daftar akun GuardDuty layanan untuk setiap Wilayah, lihatGuardDuty akun layanan oleh Wilayah AWS. -
Akses CloudWatch log pelanggan untuk membuat grup log Perlindungan Malware untuk EC2 serta menempatkan log peristiwa pemindaian malware di bawah grup
/aws/guardduty/malware-scan-eventslog. -
Izinkan pelanggan untuk memutuskan apakah mereka ingin menyimpan snapshot di mana malware terdeteksi, di akun mereka. Jika pemindaian mendeteksi malware, peran terkait layanan memungkinkan GuardDuty untuk menambahkan dua tag ke snapshot - dan.
GuardDutyFindingDetectedGuardDutyExcludedcatatan
GuardDutyFindingDetectedTag menentukan bahwa snapshot berisi malware. -
Tentukan apakah volume dienkripsi dengan kunci terkelola EBS. GuardDuty melakukan
DescribeKeytindakan untuk menentukan kuncikey Idyang dikelola EBS di akun Anda. -
Ambil snapshot volume EBS yang dienkripsi menggunakan Kunci yang dikelola AWS, dari Anda Akun AWS dan salin ke file. GuardDuty akun layanan Untuk tujuan ini, kami menggunakan izin
GetSnapshotBlockdanListSnapshotBlocks. GuardDuty kemudian akan memindai snapshot di akun layanan. Saat ini, Perlindungan Malware untuk dukungan EC2 untuk memindai volume EBS yang dienkripsi Kunci yang dikelola AWS mungkin tidak tersedia di semua. Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan fitur khusus wilayah. -
Izinkan Amazon EC2 menelepon AWS KMS atas nama Perlindungan Malware untuk EC2 untuk melakukan beberapa tindakan kriptografi pada kunci yang dikelola pelanggan. Tindakan seperti
kms:ReEncryptTodankms:ReEncryptFromdiperlukan untuk berbagi snapshot yang dienkripsi dengan kunci yang dikelola pelanggan. Hanya kunci-kunci yang dapat diakses yangGuardDutyExcludedtag tidak diseteltrue.
Peran dikonfigurasi dengan kebijakan AWS terkelola berikut, bernamaAmazonGuardDutyMalwareProtectionServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
Kebijakan kepercayaan berikut dilampirkan pada peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Membuat peran terkait layanan untuk Perlindungan Malware untuk EC2
Peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan dibuat secara otomatis saat Anda mengaktifkan Perlindungan Malware untuk EC2 untuk pertama kalinya atau mengaktifkan Perlindungan Malware untuk EC2 di Wilayah yang didukung di mana Anda sebelumnya tidak mengaktifkannya. Anda juga dapat membuat peran tertaut layanan AWSServiceRoleForAmazonGuardDutyMalwareProtection secara manual menggunakan konsol IAM, CLI IAM, atau API IAM.
catatan
Secara default, jika Anda baru mengenal Amazon GuardDuty, Perlindungan Malware untuk EC2 diaktifkan secara otomatis.
penting
Peran terkait layanan yang dibuat untuk akun GuardDuty administrator yang didelegasikan tidak berlaku untuk akun anggota. GuardDuty
Anda harus mengonfigurasi izin untuk mengizinkan prinsipal IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Agar peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan berhasil dibuat, identitas IAM yang Anda gunakan harus memiliki GuardDuty izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut ke pengguna, grup, atau peran ini:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Untuk informasi selengkapnya tentang membuat peran secara manual, lihat Membuat peran tertaut layanan dalam Panduan Pengguna IAM.
Mengedit peran terkait layanan untuk Perlindungan Malware untuk EC2
Perlindungan Malware untuk EC2 tidak memungkinkan Anda mengedit peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit peran tertaut layanan dalam Panduan Pengguna IAM.
Menghapus peran terkait layanan untuk Perlindungan Malware untuk EC2
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dikelola secara aktif.
penting
Untuk menghapusAWSServiceRoleForAmazonGuardDutyMalwareProtection, Anda harus terlebih dahulu menonaktifkan Perlindungan Malware untuk EC2 di semua Wilayah di mana ia diaktifkan.
Jika Perlindungan Malware untuk EC2 tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal. Untuk informasi selengkapnya, lihat Untuk mengaktifkan atau menonaktifkan GuardDuty pemindaian malware yang dimulai.
Ketika Anda memilih Nonaktifkan untuk menghentikan Perlindungan Malware untuk layanan EC2, tidak dihapus secara otomatis. AWSServiceRoleForAmazonGuardDutyMalwareProtection Jika Anda kemudian memilih Aktifkan untuk memulai Perlindungan Malware untuk layanan EC2 lagi, GuardDuty akan mulai menggunakan yang adaAWSServiceRoleForAmazonGuardDutyMalwareProtection.
Untuk menghapus peran terkait layanan secara manual menggunakan IAM
Gunakan konsol IAM, AWS CLI, atau API IAM untuk menghapus AWSServiceRoleForAmazonGuardDutyMalwareProtection peran terkait layanan. Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan dalam Panduan Pengguna IAM.
Didukung Wilayah AWS
Amazon GuardDuty mendukung penggunaan peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan di semua Wilayah AWS tempat Perlindungan Malware untuk EC2 tersedia.
Untuk daftar Wilayah yang saat ini GuardDuty tersedia, lihat GuardDuty titik akhir dan kuota Amazon di. Referensi Umum Amazon Web
catatan
Perlindungan Malware untuk EC2 saat ini tidak tersedia di AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat).
