As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões de função vinculadas ao serviço para proteção contra malware para EC2
O Malware Protection for EC2 usa a função vinculada ao serviço (SLR) chamada. AWSServiceRoleForAmazonGuardDutyMalwareProtection
Essa SLR permite que o Malware Protection for EC2 realize varreduras sem agente para detectar malware em sua conta. GuardDuty Ele permite GuardDuty criar um instantâneo do volume do EBS em sua conta e compartilhar esse instantâneo com a GuardDuty conta de serviço. Depois de GuardDuty avaliar o snapshot, ele inclui os metadados recuperados da instância do EC2 e da carga de trabalho do contêiner nas descobertas do Malware Protection for EC2. A função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
confia no serviço malware-protection.guardduty.amazonaws.com
para presumir a função.
As políticas de permissão para essa função ajudam o Malware Protection for EC2 a realizar as seguintes tarefas:
-
Use as ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre suas instâncias, volumes e snapshots do Amazon EC2. O Malware Protection for EC2 também fornece permissão para acessar os metadados do cluster Amazon EKS e Amazon ECS.
-
Crie snapshots para volumes do EBS que tenham a tag
GuardDutyExcluded
não definida comotrue
. Por padrão, os snapshots são criados com uma tagGuardDutyScanId
. Não remova essa tag, caso contrário, o Malware Protection for EC2 não terá acesso aos snapshots.Importante
Quando você define
GuardDutyExcluded
o comotrue
, o GuardDuty serviço não poderá acessar esses instantâneos no futuro. Isso ocorre porque as outras instruções nessa função vinculada ao serviço impedem a execução GuardDuty de qualquer ação nos instantâneos que têm aGuardDutyExcluded
função definida como.true
-
Permita o compartilhamento e a exclusão de snapshots somente se a tag
GuardDutyScanId
existir e a tagGuardDutyExcluded
não estiver definida comotrue
.nota
Não permite que o Malware Protection for EC2 torne públicos os snapshots.
-
Acesse as chaves gerenciadas pelo cliente, exceto aquelas que têm uma
GuardDutyExcluded
tag definida comotrue
, para ligarCreateGrant
para criar e acessar um volume criptografado do EBS a partir do snapshot criptografado que é compartilhado com a conta de GuardDuty serviço. Para obter uma lista de contas de GuardDuty serviço para cada região, consulteGuardDuty contas de serviço por Região da AWS. -
Acesse CloudWatch os registros dos clientes para criar o grupo de registros do Malware Protection for EC2, bem como colocar os registros de eventos de verificação de malware no
/aws/guardduty/malware-scan-events
grupo de registros. -
Permita que o cliente decida se deseja manter os snapshots nos quais o malware foi detectado em sua conta. Se a verificação detectar malware, a função vinculada ao serviço permite adicionar duas tags GuardDuty aos instantâneos - e.
GuardDutyFindingDetected
GuardDutyExcluded
nota
A tag
GuardDutyFindingDetected
especifica que os snapshots contêm malware. -
Determine se um volume está criptografado com uma chave gerenciada pelo EBS. GuardDuty executa a
DescribeKey
ação para determinar akey Id
chave gerenciada pelo EBS em sua conta. -
Obtenha o snapshot dos volumes do EBS criptografados usando Chave gerenciada pela AWS, do seu Conta da AWS e copie-o para o. GuardDuty conta de serviço Para isso, usamos as permissões
GetSnapshotBlock
ListSnapshotBlocks
e. GuardDuty em seguida, digitalizará o instantâneo na conta de serviço. Atualmente, o suporte do Malware Protection for EC2 para escanear volumes do EBS criptografados com Chave gerenciada pela AWS pode não estar disponível em todos os. Regiões da AWS Para ter mais informações, consulte Disponibilidade de recursos específicos da região. -
Permita que o Amazon EC2 ligue AWS KMS em nome da Malware Protection para que o EC2 execute várias ações criptográficas nas chaves gerenciadas pelo cliente. Ações como
kms:ReEncryptTo
ekms:ReEncryptFrom
são necessárias para compartilhar os snapshots criptografados com as chaves gerenciadas pelo cliente. Somente as chaves para as quais a tagGuardDutyExcluded
não está definida comotrue
estão acessíveis.
A função é configurada com a seguinte política gerenciada da AWS, denominada AmazonGuardDutyMalwareProtectionServiceRolePolicy
.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
A seguinte política de confiança está anexada à função vinculada a serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Criação de uma função vinculada a serviços para proteção contra malware para EC2
A função AWSServiceRoleForAmazonGuardDutyMalwareProtection
vinculada ao serviço é criada automaticamente quando você ativa a Proteção contra Malware para EC2 pela primeira vez ou ativa a Proteção contra Malware para EC2 em uma região com suporte na qual ela não estava ativada anteriormente. Também é possível criar a função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
manualmente usando o console do IAM, o IAM CLI ou o IAM API.
nota
Por padrão, se você for novo na Amazon GuardDuty, a Proteção contra Malware para EC2 é ativada automaticamente.
Importante
A função vinculada ao serviço criada para a conta de GuardDuty administrador delegado não se aplica às contas dos membros. GuardDuty
É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função AWSServiceRoleForAmazonGuardDutyMalwareProtection
vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa GuardDuty deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Para obter mais informações sobre como criar a função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.
Editando uma função vinculada ao serviço para proteção contra malware para EC2
A Proteção contra Malware para EC2 não permite que você edite a função vinculada ao AWSServiceRoleForAmazonGuardDutyMalwareProtection
serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluindo uma função vinculada ao serviço para proteção contra malware para EC2
Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.
Importante
Para excluir oAWSServiceRoleForAmazonGuardDutyMalwareProtection
, você deve primeiro desabilitar a Proteção contra Malware para EC2 em todas as regiões em que ela está ativada.
Se a Proteção contra Malware para EC2 não estiver desativada quando você tentar excluir a função vinculada ao serviço, a exclusão falhará. Para ter mais informações, consulte Para ativar ou desativar a verificação GuardDuty de malware iniciada.
Quando você escolhe Desativar para interromper o serviço Malware Protection for EC2, ele não AWSServiceRoleForAmazonGuardDutyMalwareProtection
é excluído automaticamente. Se você escolher Habilitar para iniciar o serviço Malware Protection for EC2 novamente, GuardDuty começará a usar o existenteAWSServiceRoleForAmazonGuardDutyMalwareProtection
.
Como excluir manualmente a função vinculada a serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API do IAM para excluir a função vinculada ao AWSServiceRoleForAmazonGuardDutyMalwareProtection
serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Suportado Regiões da AWS
A Amazon GuardDuty oferece suporte ao uso da função AWSServiceRoleForAmazonGuardDutyMalwareProtection
vinculada ao serviço em todos os locais em Regiões da AWS que a Proteção contra Malware para EC2 está disponível.
Para obter uma lista das regiões em que GuardDuty está disponível atualmente, consulte os GuardDuty endpoints e cotas da Amazon no. Referência geral da Amazon Web Services
nota
No momento, a proteção contra malware para EC2 não está disponível em AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA).