Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty menggunakan peran terkait layanan (SLR) bernama. AWSServiceRoleForAmazonGuardDuty SLR memungkinkan GuardDuty untuk melakukan tugas-tugas berikut. Ini juga memungkinkan GuardDuty untuk memasukkan metadata yang diambil milik EC2 instance dalam temuan yang GuardDuty dapat menghasilkan tentang potensi ancaman. Peran terkait layanan AWSServiceRoleForAmazonGuardDuty memercayai layanan guardduty.amazonaws.com untuk menjalankan peran.
Kebijakan izin membantu GuardDuty melakukan tugas-tugas berikut:
-
Gunakan EC2 tindakan Amazon untuk mengelola dan mengambil informasi tentang EC2 instans, gambar, dan komponen jaringan Anda seperti VPCs, subnet, dan gateway transit.
-
Gunakan AWS Systems Manager tindakan untuk mengelola asosiasi SSM di EC2 instans Amazon saat Anda mengaktifkan GuardDuty Runtime Monitoring dengan agen otomatis untuk Amazon. EC2 Ketika konfigurasi agen GuardDuty otomatis dinonaktifkan, GuardDuty pertimbangkan hanya EC2 instance yang memiliki tag inklusi (
GuardDutyManaged:true). -
Gunakan AWS Organizations tindakan untuk mendeskripsikan akun terkait dan ID organisasi.
-
Gunakan tindakan Amazon S3 untuk mengambil informasi tentang bucket dan objek S3.
-
Gunakan AWS Lambda tindakan untuk mengambil informasi tentang fungsi dan tag Lambda Anda.
-
Gunakan tindakan Amazon EKS untuk mengelola dan mengambil informasi tentang kluster EKS dan mengelola add-on Amazon EKS di kluster EKS. Tindakan EKS juga mengambil informasi tentang tag yang terkait GuardDuty dengan.
-
Gunakan IAM untuk membuat Perlindungan Malware Izin peran terkait layanan untuk Perlindungan Malware untuk EC2 EC2 setelah diaktifkan.
-
Gunakan tindakan Amazon ECS untuk mengelola dan mengambil informasi tentang kluster Amazon ECS, dan mengelola setelan akun Amazon ECS.
guarddutyActivateTindakan yang berkaitan dengan Amazon ECS juga mengambil informasi tentang tag yang terkait dengannya. GuardDuty
Peran dikonfigurasi dengan kebijakan AWS terkelola berikut, bernamaAmazonGuardDutyServiceRolePolicy.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GuardDutyGetDescribeListPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeSubnets",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeTransitGatewayAttachments",
"organizations:ListAccounts",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"s3:GetBucketPublicAccessBlock",
"s3:GetEncryptionConfiguration",
"s3:GetBucketTagging",
"s3:GetAccountPublicAccessBlock",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"lambda:GetFunctionConfiguration",
"lambda:ListTags",
"eks:ListClusters",
"eks:DescribeCluster",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ecs:ListClusters",
"ecs:DescribeClusters"
],
"Resource": "*"
},
{
"Sid": "GuardDutyCreateSLRPolicy",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
},
{
"Sid": "GuardDutyCreateVpcEndpointPolicy",
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
},
"StringLike": {
"ec2:VpceServiceName": [
"com.amazonaws.*.guardduty-data",
"com.amazonaws.*.guardduty-data-fips"
]
}
}
},
{
"Sid": "GuardDutyModifyDeleteVpcEndpointPolicy",
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpoint",
"ec2:DeleteVpcEndpoints"
],
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:ModifyVpcEndpoint"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:subnet/*"
]
},
{
"Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVpcEndpoint"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutySecurityGroupManagementPolicy",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"Null": {
"aws:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "GuardDutyCreateSecurityGroupPolicy",
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringLike": {
"aws:RequestTag/GuardDutyManaged": "*"
}
}
},
{
"Sid": "GuardDutyCreateSecurityGroupForVpcPolicy",
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:vpc/*"
},
{
"Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSecurityGroup"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyCreateEksAddonPolicy",
"Effect": "Allow",
"Action": "eks:CreateAddon",
"Resource": "arn:aws:eks:*:*:cluster/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyEksAddonManagementPolicy",
"Effect": "Allow",
"Action": [
"eks:DeleteAddon",
"eks:UpdateAddon",
"eks:DescribeAddon"
],
"Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*"
},
{
"Sid": "GuardDutyEksClusterTagResourcePolicy",
"Effect": "Allow",
"Action": "eks:TagResource",
"Resource": "arn:aws:eks:*:*:cluster/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy",
"Effect": "Allow",
"Action": "ecs:PutAccountSettingDefault",
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:account-setting": [
"guardDutyActivate"
]
}
}
},
{
"Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission",
"Effect": "Allow",
"Action": [
"ssm:DescribeAssociation",
"ssm:DeleteAssociation",
"ssm:UpdateAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "arn:aws:ssm:*:*:association/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/GuardDutyManaged": "true"
}
}
},
{
"Sid": "SsmAddTagsToResourcePermission",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:arn:aws:ssm:*:*:association/*",
"Condition":{
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
},
"StringEquals": {
"aws:ResourceTag/GuardDutyManaged": "true"
}
}
},
{
"Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission",
"Effect": "Allow",
"Action": [
"ssm:CreateAssociation",
"ssm:UpdateAssociation"
],
"Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin"
},
{
"Sid": "SsmSendCommandPermission",
"Effect": "Allow",
"Action": "ssm:SendCommand",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin"
]
},
{
"Sid": "SsmGetCommandStatus",
"Effect": "Allow",
"Action": "ssm:GetCommandInvocation",
"Resource": "*"
}
]
}Berikut ini adalah kebijakan kepercayaan yang dilampirkan ke peran yang terhubung dengan layanan AWSServiceRoleForAmazonGuardDuty:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}Untuk detail tentang pembaruan AmazonGuardDutyServiceRolePolicy kebijakan, lihatGuardDuty pembaruan kebijakan AWS terkelola. Untuk peringatan otomatis tentang perubahan kebijakan ini, berlangganan umpan RSS di halaman. Riwayat dokumen
Membuat peran terkait layanan untuk GuardDuty
Peran AWSServiceRoleForAmazonGuardDuty terkait layanan dibuat secara otomatis saat Anda mengaktifkan GuardDuty untuk pertama kalinya atau mengaktifkan GuardDuty di Wilayah yang didukung di mana Anda sebelumnya tidak mengaktifkannya. Anda juga dapat membuat peran terkait layanan secara manual menggunakan konsol IAM, API IAM AWS CLI, atau IAM.
penting
Peran terkait layanan yang dibuat untuk akun administrator yang GuardDuty didelegasikan tidak berlaku untuk akun anggota. GuardDuty
Anda harus mengonfigurasi izin untuk mengizinkan prinsipal IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Agar peran AWSServiceRoleForAmazonGuardDuty terkait layanan berhasil dibuat, prinsipal IAM yang Anda gunakan harus memiliki GuardDuty izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut ke pengguna, grup, atau peran ini:
catatan
Ganti sampel account ID dalam contoh berikut dengan ID AWS akun Anda yang sebenarnya.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Untuk informasi selengkapnya tentang membuat peran secara manual, lihat Membuat peran tertaut layanan dalam Panduan Pengguna IAM.
Mengedit peran terkait layanan untuk GuardDuty
GuardDuty tidak memungkinkan Anda untuk mengedit peran AWSServiceRoleForAmazonGuardDuty terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit peran tertaut layanan dalam Panduan Pengguna IAM.
Menghapus peran terkait layanan untuk GuardDuty
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dikelola secara aktif.
penting
Jika Anda telah mengaktifkan Perlindungan Malware untuk EC2, menghapus AWSServiceRoleForAmazonGuardDuty tidak secara otomatis dihapusAWSServiceRoleForAmazonGuardDutyMalwareProtection. Jika ingin menghapusAWSServiceRoleForAmazonGuardDutyMalwareProtection, lihat Menghapus peran terkait layanan untuk Perlindungan Malware. EC2
Anda harus menonaktifkan GuardDuty terlebih dahulu di semua Wilayah di mana itu diaktifkan untuk menghapusAWSServiceRoleForAmazonGuardDuty. Jika GuardDuty layanan tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal. Untuk informasi selengkapnya, lihat Menangguhkan atau menonaktifkan GuardDuty.
Ketika Anda menonaktifkan GuardDuty, AWSServiceRoleForAmazonGuardDuty tidak akan dihapus secara otomatis. Jika Anda mengaktifkan GuardDuty lagi, itu akan mulai menggunakan yang sudah adaAWSServiceRoleForAmazonGuardDuty.
Untuk menghapus peran terkait layanan secara manual menggunakan IAM
Gunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait AWSServiceRoleForAmazonGuardDuty layanan. Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan dalam Panduan Pengguna IAM.
Didukung Wilayah AWS
Amazon GuardDuty mendukung penggunaan peran AWSServiceRoleForAmazonGuardDuty terkait layanan di semua Wilayah AWS tempat yang GuardDuty tersedia. Untuk daftar Wilayah yang saat ini GuardDuty tersedia, lihat GuardDuty titik akhir dan kuota Amazon di. Referensi Umum Amazon Web
