Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin peran terkait layanan untuk GuardDuty
GuardDuty menggunakan peran terkait layanan (SLR) bernama. AWSServiceRoleForAmazonGuardDuty SLRMemungkinkan GuardDuty untuk melakukan tugas-tugas berikut. Ini juga memungkinkan GuardDuty untuk memasukkan metadata yang diambil milik EC2 instance dalam temuan yang GuardDuty dapat menghasilkan tentang potensi ancaman. Peran terkait layanan AWSServiceRoleForAmazonGuardDuty memercayai layanan guardduty.amazonaws.com untuk menjalankan peran.
Kebijakan izin membantu GuardDuty melakukan tugas-tugas berikut:
-
Gunakan EC2 tindakan Amazon untuk mengelola dan mengambil informasi tentang EC2 instans, gambar, dan komponen jaringan Anda sepertiVPCs, subnet, dan gateway transit.
-
Gunakan AWS Systems Manager tindakan untuk mengelola SSM asosiasi di EC2 instans Amazon saat Anda mengaktifkan Pemantauan GuardDuty Waktu Proses dengan agen otomatis untuk Amazon. EC2 Ketika konfigurasi agen GuardDuty otomatis dinonaktifkan, GuardDuty pertimbangkan hanya EC2 instance yang memiliki tag inklusi (
GuardDutyManaged:true). -
Gunakan AWS Organizations tindakan untuk mendeskripsikan akun terkait dan ID organisasi.
-
Gunakan tindakan Amazon S3 untuk mengambil informasi tentang bucket dan objek S3.
-
Gunakan AWS Lambda tindakan untuk mengambil informasi tentang fungsi dan tag Lambda Anda.
-
Gunakan EKS tindakan Amazon untuk mengelola dan mengambil informasi tentang EKS kluster dan mengelola EKSadd-on Amazon di klaster. EKS EKSTindakan juga mengambil informasi tentang tag yang terkait GuardDuty dengan.
-
Gunakan IAM untuk membuat Perlindungan Malware Izin peran terkait layanan untuk Perlindungan Malware untuk EC2 EC2 setelah diaktifkan.
-
Gunakan ECS tindakan Amazon untuk mengelola dan mengambil informasi tentang ECS kluster Amazon, dan mengelola setelan ECS akun Amazon.
guarddutyActivateTindakan yang berkaitan dengan Amazon ECS juga mengambil informasi tentang tag yang terkait dengannya. GuardDuty
Peran dikonfigurasi dengan kebijakan AWS terkelola berikut, bernamaAmazonGuardDutyServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
Berikut ini adalah kebijakan kepercayaan yang dilampirkan ke peran yang terhubung dengan layanan AWSServiceRoleForAmazonGuardDuty:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Untuk detail tentang pembaruan AmazonGuardDutyServiceRolePolicy kebijakan, lihatGuardDuty pembaruan kebijakan AWS terkelola. Untuk peringatan otomatis tentang perubahan kebijakan ini, berlangganan RSS feed di Riwayat dokumen halaman.
Membuat peran terkait layanan untuk GuardDuty
Peran AWSServiceRoleForAmazonGuardDuty terkait layanan dibuat secara otomatis saat Anda mengaktifkan GuardDuty untuk pertama kalinya atau mengaktifkan GuardDuty di Wilayah yang didukung di mana Anda sebelumnya tidak mengaktifkannya. Anda juga dapat membuat peran terkait layanan secara manual menggunakan IAM konsol, file AWS CLI, atau. IAM API
penting
Peran terkait layanan yang dibuat untuk akun administrator yang GuardDuty didelegasikan tidak berlaku untuk akun anggota. GuardDuty
Anda harus mengonfigurasi izin agar IAM prinsipal (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Agar peran AWSServiceRoleForAmazonGuardDuty terkait layanan berhasil dibuat, IAM prinsipal yang Anda gunakan harus memiliki izin GuardDuty yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut ke pengguna, grup, atau peran ini:
catatan
Ganti sampel account ID dalam contoh berikut dengan ID AWS akun Anda yang sebenarnya.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Untuk informasi selengkapnya tentang membuat peran secara manual, lihat Membuat peran terkait layanan di IAMPanduan Pengguna.
Mengedit peran terkait layanan untuk GuardDuty
GuardDuty tidak memungkinkan Anda untuk mengedit peran AWSServiceRoleForAmazonGuardDuty terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit peran terkait layanan di IAMPanduan Pengguna.
Menghapus peran terkait layanan untuk GuardDuty
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dikelola secara aktif.
penting
Jika Anda telah mengaktifkan Perlindungan Malware untukEC2, menghapus AWSServiceRoleForAmazonGuardDuty tidak secara otomatis dihapusAWSServiceRoleForAmazonGuardDutyMalwareProtection. Jika ingin menghapusAWSServiceRoleForAmazonGuardDutyMalwareProtection, lihat Menghapus peran terkait layanan untuk Perlindungan Malware. EC2
Anda harus menonaktifkan GuardDuty terlebih dahulu di semua Wilayah di mana itu diaktifkan untuk menghapusAWSServiceRoleForAmazonGuardDuty. Jika GuardDuty layanan tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal. Untuk informasi selengkapnya, lihat Menangguhkan atau menonaktifkan GuardDuty.
Ketika Anda menonaktifkan GuardDuty, AWSServiceRoleForAmazonGuardDuty tidak akan dihapus secara otomatis. Jika Anda mengaktifkan GuardDuty lagi, itu akan mulai menggunakan yang sudah adaAWSServiceRoleForAmazonGuardDuty.
Untuk menghapus peran terkait layanan secara manual menggunakan IAM
Gunakan IAM konsol, AWS CLI, atau IAM API untuk menghapus peran AWSServiceRoleForAmazonGuardDuty terkait layanan. Untuk informasi selengkapnya, lihat Menghapus peran terkait layanan di Panduan Pengguna. IAM
Didukung Wilayah AWS
Amazon GuardDuty mendukung penggunaan peran AWSServiceRoleForAmazonGuardDuty terkait layanan di semua Wilayah AWS tempat yang GuardDuty tersedia. Untuk daftar Wilayah yang saat ini GuardDuty tersedia, lihat GuardDuty titik akhir dan kuota Amazon di. Referensi Umum Amazon Web
