Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2
Malware Protection for EC2 utilizza il ruolo collegato al servizio (SLR) denominato. AWSServiceRoleForAmazonGuardDutyMalwareProtection
Questa reflex consente a Malware Protection for EC2 di eseguire scansioni senza agenti per rilevare malware nel tuo account. GuardDuty Consente di GuardDuty creare un'istantanea del volume EBS nel tuo account e condividerla con l'account del servizio. GuardDuty Dopo aver GuardDuty valutato l'istantanea, include i metadati del carico di lavoro dell'istanza EC2 e del contenitore recuperati nei risultati di Malware Protection for EC2. Ai fini dell'assunzione del ruolo AWSServiceRoleForAmazonGuardDutyMalwareProtection
, il ruolo collegato ai servizi malware-protection.guardduty.amazonaws.com
considera attendibile il servizio.
Le politiche di autorizzazione per questo ruolo aiutano Malware Protection for EC2 a svolgere le seguenti attività:
-
Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle istanze, i volumi e le istantanee di Amazon EC2. Malware Protection for EC2 fornisce anche l'autorizzazione per accedere ai metadati dei cluster Amazon EKS e Amazon ECS.
-
Crea snapshot per volumi EBS con il tag
GuardDutyExcluded
non impostato sutrue
. Per impostazione predefinita, gli snapshot vengono creati con un tagGuardDutyScanId
. Non rimuovere questo tag, altrimenti Malware Protection for EC2 non avrà accesso alle istantanee.Importante
Se lo
GuardDutyExcluded
imposti sutrue
, il GuardDuty servizio non sarà in grado di accedere a queste istantanee in futuro. Questo perché le altre istruzioni di questo ruolo collegato al servizio GuardDuty impediscono di eseguire qualsiasi azione sulle istantanee impostate su.GuardDutyExcluded
true
-
Consenti la condivisione e l'eliminazione degli snapshot solo se il tag
GuardDutyScanId
esiste e se il tagGuardDutyExcluded
non è impostato sutrue
.Nota
Non consente a Malware Protection for EC2 di rendere pubbliche le istantanee.
-
Accedi alle chiavi gestite dal cliente, ad eccezione di quelle con un
GuardDutyExcluded
tag impostato sutrue
, da chiamare per creare e accedereCreateGrant
a un volume EBS crittografato dall'istantanea crittografata che viene condivisa con l'account del servizio. GuardDuty Per un elenco degli account di GuardDuty servizio per ogni regione, consulta. GuardDuty account di servizio di Regione AWS -
Accedi ai CloudWatch log dei clienti per creare il gruppo di log Malware Protection for EC2 e inserire i registri degli eventi di scansione del malware nel gruppo di log.
/aws/guardduty/malware-scan-events
-
Consenti al cliente di decidere se conservare nel proprio account gli snapshot su cui è stato rilevato il malware. Se la scansione rileva malware, il ruolo collegato al servizio consente di aggiungere due tag GuardDuty alle istantanee: e.
GuardDutyFindingDetected
GuardDutyExcluded
Nota
Il tag
GuardDutyFindingDetected
specifica che gli snapshot contengono malware. -
Determina se un volume è crittografato con una chiave gestita da EBS. GuardDuty esegue l'
DescribeKey
azione per determinare lakey Id
chiave gestita da EBS nel tuo account. -
Recupera l'istantanea dei volumi EBS crittografati utilizzando Chiave gestita da AWS, dal tuo Account AWS e copiala su. GuardDuty account di servizio A tal fine, utilizziamo le autorizzazioni e.
GetSnapshotBlock
ListSnapshotBlocks
GuardDuty eseguirà quindi la scansione dell'istantanea nell'account del servizio. Attualmente, il supporto Malware Protection for EC2 per la scansione di volumi EBS crittografati con Chiave gestita da AWS potrebbe non essere disponibile in tutti i. Regioni AWS Per ulteriori informazioni, consulta Disponibilità di funzionalità specifiche per ogni regione. -
Consenti ad Amazon EC2 di effettuare chiamate per AWS KMS conto di Malware Protection for EC2 per eseguire diverse azioni crittografiche sulle chiavi gestite dal cliente. Operazioni come
kms:ReEncryptTo
ekms:ReEncryptFrom
sono necessarie per condividere gli snapshot crittografati con le chiavi gestite dal cliente. Sono accessibili solo le chiavi per le quali il tagGuardDutyExcluded
non è impostato sutrue
.
Il ruolo è configurato con le seguenti policy gestite da AWS, denominate AmazonGuardDutyMalwareProtectionServiceRolePolicy
.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
La policy di attendibilità seguente è associata al ruolo collegato ai servizi AWSServiceRoleForAmazonGuardDutyMalwareProtection
:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Creazione di un ruolo collegato al servizio per Malware Protection for EC2
Il ruolo AWSServiceRoleForAmazonGuardDutyMalwareProtection
collegato al servizio viene creato automaticamente quando abiliti Malware Protection for EC2 per la prima volta o abiliti Malware Protection for EC2 in una regione supportata in cui in precedenza non era abilitato. Puoi anche creare il ruolo collegato ai servizi AWSServiceRoleForAmazonGuardDutyMalwareProtection
manualmente, utilizzando la console IAM, la CLI IAM o l'API IAM.
Nota
Per impostazione predefinita, se sei un nuovo utente di Amazon GuardDuty, Malware Protection for EC2 è abilitato automaticamente.
Importante
Il ruolo collegato al servizio creato per l'account GuardDuty amministratore delegato non si applica agli account dei membri. GuardDuty
Per consentire a un principale IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. AWSServiceRoleForAmazonGuardDutyMalwareProtection
Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM con cui utilizzi deve disporre delle autorizzazioni GuardDuty richieste. Per concedere le autorizzazioni richieste, collega la seguente policy gestita a questo utente, gruppo o ruolo .
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Per ulteriori informazioni sulla creazione manuale del ruolo, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente IAM.
Modifica di un ruolo collegato al servizio per Malware Protection for EC2
Malware Protection for EC2 non consente di modificare il ruolo collegato al servizio. AWSServiceRoleForAmazonGuardDutyMalwareProtection
Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Puoi tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione di un ruolo collegato al servizio per Malware Protection for EC2
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
Importante
Per eliminare ilAWSServiceRoleForAmazonGuardDutyMalwareProtection
, devi prima disabilitare Malware Protection for EC2 in tutte le regioni in cui è abilitato.
Se Malware Protection for EC2 non è disabilitato quando tenti di eliminare il ruolo collegato al servizio, l'eliminazione avrà esito negativo. Per ulteriori informazioni, consulta Per abilitare o disabilitare la scansione GuardDuty antimalware avviata.
Quando scegli Disattiva per interrompere il servizio Malware Protection for EC2, non AWSServiceRoleForAmazonGuardDutyMalwareProtection
viene eliminato automaticamente. Se poi scegli Abilita per avviare nuovamente il servizio Malware Protection for EC2, GuardDuty inizierà a utilizzare il servizio esistente. AWSServiceRoleForAmazonGuardDutyMalwareProtection
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Utilizza la console IAM, la AWS CLI o l'API IAM per eliminare il ruolo collegato al AWSServiceRoleForAmazonGuardDutyMalwareProtection
servizio. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato al servizio nella Guida per l'utente di IAM.
Supportato Regioni AWS
Amazon GuardDuty supporta l'utilizzo del ruolo AWSServiceRoleForAmazonGuardDutyMalwareProtection
collegato al servizio in tutti i paesi in Regioni AWS cui è disponibile Malware Protection for EC2.
Per un elenco delle regioni in cui GuardDuty è attualmente disponibile, consulta gli GuardDuty endpoint e le quote di Amazon nel. Riferimenti generali di Amazon Web Services
Nota
Malware Protection for EC2 non è attualmente disponibile negli AWS GovCloud Stati Uniti orientali e AWS GovCloud negli Stati Uniti occidentali.