AWS politiche gestite per Amazon GuardDuty - Amazon GuardDuty
AmazonGuardDutyFullAccessAmazonGuardDutyReadOnlyAccessAmazonGuardDutyServiceRolePolicyAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Amazon GuardDuty

Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. Creare policy gestite dal cliente IAM per fornire al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d'uso comuni e sono disponibili nel tuo Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella IAM User Guide.

AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.

Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l'elenco e la descrizione delle policy di funzione dei processi, consulta la sezione Policy gestite da AWS per funzioni di processi nella Guida per l'utente di IAM.

AWS politica gestita: AmazonGuardDutyFullAccess

È possibile allegare la policy AmazonGuardDutyFullAccessalle identità IAM.

Questa politica concede autorizzazioni amministrative che consentono a un utente l'accesso completo a tutte le GuardDuty azioni.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • GuardDuty— Consente agli utenti l'accesso completo a tutte le GuardDuty azioni.

  • IAM:

    • Consente agli utenti di creare il ruolo GuardDuty collegato al servizio.

    • Consente a un account amministratore di abilitare gli account GuardDuty dei membri.

    • Consente agli utenti di passare un ruolo GuardDuty che utilizza questo ruolo per abilitare la funzionalità GuardDuty Malware Protection for S3. Questo indipendentemente dal modo in cui abiliti Malware Protection for S3, all'interno del GuardDuty servizio o in modo indipendente.

  • Organizations— Consente agli utenti di designare un amministratore delegato e gestire i membri di un'organizzazione. GuardDuty

L'autorizzazione a eseguire un'iam:GetRoleazione AWSServiceRoleForAmazonGuardDutyMalwareProtection stabilisce se il ruolo collegato al servizio (SLR) per Malware Protection for EC2 esiste in un account.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS politica gestita: AmazonGuardDutyReadOnlyAccess

È possibile allegare la policy AmazonGuardDutyReadOnlyAccessalle identità IAM.

Questa politica concede autorizzazioni di sola lettura che consentono a un utente di visualizzare GuardDuty i risultati e i dettagli dell'organizzazione. GuardDuty

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • GuardDuty— Consente agli utenti di visualizzare GuardDuty i risultati ed eseguire operazioni API che iniziano conGet, o. List Describe

  • Organizations— Consente agli utenti di recuperare informazioni sulla configurazione GuardDuty dell'organizzazione, inclusi i dettagli dell'account amministratore delegato.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS politica gestita: AmazonGuardDutyServiceRolePolicy

Non è possibile collegare AmazonGuardDutyServiceRolePolicyalle entità IAM. Questa policy AWS gestita è associata a un ruolo collegato al servizio che consente di eseguire azioni GuardDuty per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni di ruolo collegate al servizio per GuardDuty.

GuardDuty aggiornamenti alle politiche gestite AWS

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite GuardDuty da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei GuardDuty documenti.

Modifica Descrizione Data

AmazonGuardDutyFullAccess: aggiornamento a una policy esistente

È stata aggiunta un'autorizzazione che ti consente di assegnare un ruolo IAM GuardDuty quando abiliti Malware Protection for S3.

{
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "guardduty.amazonaws.com"
                }
            }
}
 10 giugno 2024

AmazonGuardDutyServiceRolePolicy: aggiorna a una policy esistente.

Usa AWS Systems Manager le azioni per gestire le associazioni SSM sulle istanze Amazon EC2 quando GuardDuty abiliti il monitoraggio del runtime con agente automatizzato per Amazon EC2. Quando la configurazione GuardDuty automatizzata degli agenti è disabilitata, GuardDuty considera solo le istanze EC2 che hanno un tag di inclusione (:). GuardDutyManaged true

 26 marzo 2024

AmazonGuardDutyServiceRolePolicy: aggiorna a una policy esistente.

GuardDuty ha aggiunto una nuova autorizzazione: organization:DescribeOrganization recuperare l'ID dell'organizzazione dell'account Amazon VPC condiviso e impostare la policy degli endpoint Amazon VPC con l'ID dell'organizzazione.

 9 febbraio 2024

AmazonGuardDutyMalwareProtectionServiceRolePolicy: aggiorna a una policy esistente.

Malware Protection for EC2 ha aggiunto due autorizzazioni: GetSnapshotBlock quella di ListSnapshotBlocks recuperare l'istantanea di un volume EBS (con crittografia Chiave gestita da AWS) dall'utente Account AWS e copiarla nell'account del GuardDuty servizio prima di avviare la scansione antimalware.

 25 gennaio 2024

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

Sono state aggiunte nuove autorizzazioni per consentire di GuardDuty aggiungere l'impostazione dell'account guarddutyActivate Amazon ECS ed eseguire operazioni, elencare e descrivere sui cluster Amazon ECS.

 26 novembre 2023

AmazonGuardDutyReadOnlyAccess: aggiornamento a una policy esistente

 GuardDuty ha aggiunto una nuova politica organizations per. ListAccounts

16 novembre 2023

AmazonGuardDutyFullAccess: aggiornamento a una policy esistente

 GuardDuty ha aggiunto una nuova politica organizations perListAccounts.

16 novembre 2023

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

GuardDuty ha aggiunto nuove autorizzazioni per supportare la prossima funzionalità GuardDuty EKS Runtime Monitoring.

 8 marzo 2023

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

GuardDuty ha aggiunto nuove autorizzazioni per consentire la creazione di un ruolo collegato GuardDuty al servizio per Malware Protection for EC2. Ciò contribuirà a GuardDuty semplificare il processo di attivazione di Malware Protection for EC2.

GuardDuty ora può eseguire la seguente azione IAM:

{
    "Effect": "Allow",
	"Action": "iam:CreateServiceLinkedRole",
	"Resource": "*",
	"Condition": {
	   "StringEquals": {
	       "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
	   }
	}
}
 21 febbraio 2023

AmazonGuardDutyFullAccess: aggiornamento a una policy esistente

GuardDuty ARN aggiornato per iam:GetRole to. *AWSServiceRoleForAmazonGuardDutyMalwareProtection

 26 luglio 2022

AmazonGuardDutyFullAccess: aggiornamento a una policy esistente

GuardDuty ha aggiunto un nuovo AWSServiceName per consentire la creazione di ruoli collegati al servizio utilizzando il servizio GuardDuty Malware Protection iam:CreateServiceLinkedRole for EC2.

GuardDuty ora può eseguire l'iam:GetRoleazione per ottenere informazioni per. AWSServiceRole

 26 luglio 2022

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

GuardDuty ha aggiunto nuove autorizzazioni per consentire di GuardDuty utilizzare le azioni di rete di Amazon EC2 per migliorare i risultati.

GuardDuty ora puoi eseguire le seguenti azioni EC2 per ottenere informazioni su come comunicano le tue istanze EC2. Queste informazioni vengono utilizzate per migliorare la precisione degli esiti.

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

 3 agosto 2021

GuardDuty ha iniziato a tenere traccia delle modifiche

GuardDuty ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.

 3 agosto 2021