Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni di ruolo collegate ai servizi per GuardDuty
GuardDuty utilizza il ruolo collegato al servizio () denominato. SLR AWSServiceRoleForAmazonGuardDuty SLRConsente di GuardDuty eseguire le seguenti attività. Consente inoltre di GuardDuty includere i metadati recuperati appartenenti all'EC2istanza nei risultati che GuardDuty possono generare sulla potenziale minaccia. Ai fini dell'assunzione del ruolo AWSServiceRoleForAmazonGuardDuty, il ruolo collegato ai servizi guardduty.amazonaws.comconsidera attendibile il servizio.
Le politiche di autorizzazione aiutano a GuardDuty svolgere le seguenti attività:
-
Usa EC2 le azioni di Amazon per gestire e recuperare informazioni su EC2 istanze, immagini e componenti di rete come sottoreti e VPCs gateway di transito.
-
Usa AWS Systems Manager le azioni per gestire SSM le associazioni sulle EC2 istanze Amazon quando abiliti il monitoraggio del GuardDuty runtime con agente automatizzato per AmazonEC2. Quando la configurazione GuardDuty automatica degli agenti è disabilitata, GuardDuty considera solo le EC2 istanze che hanno un tag di inclusione (
GuardDutyManaged:true). -
Utilizza AWS Organizations le azioni per descrivere gli account e l'ID dell'organizzazione associati.
-
Utilizzare le operazioni di Amazon S3 per recuperare informazioni su bucket e oggetti S3.
-
Usa AWS Lambda le azioni per recuperare informazioni sulle funzioni e sui tag Lambda.
-
Utilizza EKS le azioni Amazon per gestire e recuperare informazioni sui EKS cluster e gestire i EKScomponenti aggiuntivi di Amazon sui cluster. EKS Le EKS azioni recuperano anche le informazioni sui tag associati a. GuardDuty
-
Utilizzare IAM per creare il file Autorizzazioni di ruolo collegate al servizio per Malware Protection for EC2 dopo che Malware Protection for EC2 è stato abilitato.
-
Utilizza ECS le azioni Amazon per gestire e recuperare informazioni sui ECS cluster Amazon e gestisci le impostazioni ECS dell'account Amazon con.
guarddutyActivateLe azioni relative ad Amazon recuperano ECS anche le informazioni sui tag associati a. GuardDuty
Il ruolo è configurato con le seguenti policy gestite da AWS, denominate AmazonGuardDutyServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
Di seguito è riportata la policy di attendibilità associata al ruolo collegato ai servizi AWSServiceRoleForAmazonGuardDuty:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Per dettagli sugli aggiornamenti della AmazonGuardDutyServiceRolePolicy politica, consulta. GuardDuty aggiornamenti alle politiche gestite AWS Per ricevere avvisi automatici sulle modifiche a questa politica, iscriviti al RSS feed sulla Cronologia dei documenti pagina.
Creazione di un ruolo collegato al servizio per GuardDuty
Il ruolo AWSServiceRoleForAmazonGuardDuty collegato al servizio viene creato automaticamente quando lo si abilita GuardDuty per la prima volta o si abilita GuardDuty in una regione supportata in cui in precedenza non era abilitato. Puoi anche creare il ruolo collegato al servizio manualmente utilizzando la IAM console, il, o il AWS CLI. IAM API
Importante
Il ruolo collegato al servizio creato per l'account amministratore GuardDuty delegato non si applica agli account dei membri. GuardDuty
È necessario configurare le autorizzazioni per consentire a un IAM responsabile (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. AWSServiceRoleForAmazonGuardDutyAffinché il ruolo collegato al servizio venga creato correttamente, il IAM principale con cui lo utilizzi deve disporre delle autorizzazioni GuardDuty richieste. Per concedere le autorizzazioni richieste, collega la seguente policy gestita a questo utente, gruppo o ruolo .
Nota
Sostituisci il campione account ID nell'esempio seguente con l'ID effettivo AWS dell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Per ulteriori informazioni sulla creazione manuale del ruolo, vedere Creazione di un ruolo collegato al servizio nella Guida per l'IAMutente.
Modifica di un ruolo collegato al servizio per GuardDuty
GuardDuty non consente di modificare il ruolo collegato al AWSServiceRoleForAmazonGuardDuty servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, puoi modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.
Eliminazione di un ruolo collegato al servizio per GuardDuty
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
Importante
Se hai abilitato Malware Protection perEC2, l'eliminazione AWSServiceRoleForAmazonGuardDuty non comporta l'eliminazione automatica. AWSServiceRoleForAmazonGuardDutyMalwareProtection Se desideri eliminareAWSServiceRoleForAmazonGuardDutyMalwareProtection, consulta Eliminazione di un ruolo collegato al servizio per Malware Protection per. EC2
È innanzitutto necessario disattivarlo GuardDuty in tutte le regioni in cui è abilitato per eliminare il. AWSServiceRoleForAmazonGuardDuty Se il GuardDuty servizio non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione non riesce. Per ulteriori informazioni, consulta Sospensione o disabilitazione GuardDuty.
Quando si disattiva GuardDuty, AWSServiceRoleForAmazonGuardDuty non viene eliminato automaticamente. Se lo abiliti GuardDuty nuovamente, inizierà a utilizzare l'esistenteAWSServiceRoleForAmazonGuardDuty.
Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM
Usa la IAM console AWS CLI, o il IAM API per eliminare il ruolo collegato al AWSServiceRoleForAmazonGuardDuty servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM
Supportato Regioni AWS
Amazon GuardDuty supporta l'utilizzo del ruolo AWSServiceRoleForAmazonGuardDuty collegato al servizio Regioni AWS ovunque GuardDuty sia disponibile. Per un elenco delle regioni in cui GuardDuty è attualmente disponibile, consulta gli GuardDuty endpoint e le quote di Amazon nel. Riferimenti generali di Amazon Web Services
