Permissões de função vinculadas ao serviço para GuardDuty - Amazon GuardDuty
Criação de uma função vinculada ao serviço para GuardDutyEditando uma função vinculada ao serviço para GuardDutyExcluindo uma função vinculada ao serviço para GuardDutySuportado Regiões da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de função vinculadas ao serviço para GuardDuty

GuardDuty usa a função vinculada ao serviço (SLR) chamada. AWSServiceRoleForAmazonGuardDuty A SLR permite GuardDuty realizar as seguintes tarefas. Também permite incluir GuardDuty os metadados recuperados pertencentes à EC2 instância nas descobertas que GuardDuty podem gerar sobre a ameaça potencial. O perfil vinculado ao serviço AWSServiceRoleForAmazonGuardDuty confia no serviço guardduty.amazonaws.com para presumir o perfil.

As políticas de permissão ajudam a GuardDuty realizar as seguintes tarefas:

  • Use EC2 as ações da Amazon para gerenciar e recuperar informações sobre suas EC2 instâncias, imagens e componentes de rede VPCs, como sub-redes e gateways de trânsito.

  • Use AWS Systems Manager ações para gerenciar associações de SSM em EC2 instâncias da Amazon ao ativar o GuardDuty Runtime Monitoring com um agente automatizado para a Amazon EC2. Quando a configuração GuardDuty automatizada do agente está desativada, GuardDuty considera somente as EC2 instâncias que têm uma tag de inclusão (GuardDutyManaged:true).

  • Use AWS Organizations ações para descrever contas associadas e ID da organização.

  • Use as ações do Amazon S3 para recuperar informações sobre buckets e objetos do S3.

  • Use AWS Lambda ações para recuperar informações sobre suas funções e tags do Lambda.

  • Use as ações do Amazon EKS para gerenciar e recuperar informações sobre os clusters do EKS e gerenciar os complementos do Amazon EKS nos clusters do EKS. As ações do EKS também recuperam as informações sobre as tags associadas a. GuardDuty

  • Use o IAM para criar o Permissões de função vinculadas ao serviço para proteção contra malware para EC2 após a ativação do Malware Protection for EC2 .

  • Use as ações do Amazon ECS para gerenciar e recuperar informações sobre os clusters do Amazon ECS e gerenciar a configuração da conta do Amazon ECS com guarddutyActivate. As ações relacionadas ao Amazon ECS também recuperam as informações sobre as tags associadas a. GuardDuty

A função é configurada com a seguinte política gerenciada da AWS, denominada AmazonGuardDutyServiceRolePolicy.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GuardDutyGetDescribeListPolicy",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeImages",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DescribeTransitGatewayAttachments",
                "organizations:ListAccounts",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetEncryptionConfiguration",
                "s3:GetBucketTagging",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "lambda:GetFunctionConfiguration",
                "lambda:ListTags",
                "eks:ListClusters",
                "eks:DescribeCluster",
                "ec2:DescribeVpcEndpointServices",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "ecs:ListClusters",
                "ecs:DescribeClusters"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GuardDutyCreateSLRPolicy",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuardDutyCreateVpcEndpointPolicy",
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyManaged"
                },
                "StringLike": {
                    "ec2:VpceServiceName": [
                        "com.amazonaws.*.guardduty-data",
                        "com.amazonaws.*.guardduty-data-fips"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy",
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyManaged": false
                }
            }
        },
        {
            "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
             "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy",
             "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyManaged"
                }
            }
        },
        {
            "Sid": "GuardDutySecurityGroupManagementPolicy",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyManaged": false
                }
            }
        },
        {
            "Sid": "GuardDutyCreateSecurityGroupPolicy",
            "Effect": "Allow",
            "Action": "ec2:CreateSecurityGroup",
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/GuardDutyManaged": "*"
                }
            }
        },
        {
            "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy",
            "Effect": "Allow",
            "Action": "ec2:CreateSecurityGroup",
            "Resource": "arn:aws:ec2:*:*:vpc/*"
        },
        {
            "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateSecurityGroup"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyManaged"
                }
            }
        },
        {
            "Sid": "GuardDutyCreateEksAddonPolicy",
            "Effect": "Allow",
            "Action": "eks:CreateAddon",
            "Resource": "arn:aws:eks:*:*:cluster/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyManaged"
                }
            }
        },
        {
            "Sid": "GuardDutyEksAddonManagementPolicy",
            "Effect": "Allow",
            "Action": [
                "eks:DeleteAddon",
                "eks:UpdateAddon",
                "eks:DescribeAddon"
            ],
            "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*"
        },
        {
            "Sid": "GuardDutyEksClusterTagResourcePolicy",
            "Effect": "Allow",
            "Action": "eks:TagResource",
            "Resource": "arn:aws:eks:*:*:cluster/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyManaged"
                }
            }
        },
        {
            "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy",
            "Effect": "Allow",
            "Action": "ecs:PutAccountSettingDefault",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecs:account-setting": [
                        "guardDutyActivate"
                    ]
                 }
            }
        },
        {
            "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeAssociation",
                "ssm:DeleteAssociation",
                "ssm:UpdateAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "arn:aws:ssm:*:*:association/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/GuardDutyManaged": "true"
                }
            }
        },
        {
            "Sid": "SsmAddTagsToResourcePermission",
            "Effect": "Allow",
            "Action": [
                "ssm:AddTagsToResource"
            ],
            "Resource": "arn:aws:ssm:*:*:association/*",
            "Condition":{
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "GuardDutyManaged"
                    ]
                },
                "StringEquals": {
                    "aws:ResourceTag/GuardDutyManaged": "true"
                }
            }
        },
        {
            "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission",
            "Effect": "Allow",
            "Action": [
                "ssm:CreateAssociation",
                "ssm:UpdateAssociation"
            ],
            "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin"
        },
        {
            "Sid": "SsmSendCommandPermission",
            "Effect": "Allow",
            "Action": "ssm:SendCommand",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin"
            ]
        },
        {
            "Sid": "SsmGetCommandStatus",
            "Effect": "Allow",
            "Action": "ssm:GetCommandInvocation",
            "Resource": "*"
        }
   ]
}

Veja a seguir a política de confiança anexada à função vinculada a serviço AWSServiceRoleForAmazonGuardDuty:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para obter detalhes sobre atualizações da política do AmazonGuardDutyServiceRolePolicy, consulte GuardDuty atualizações nas políticas AWS gerenciadas. Para obter alertas automáticos sobre alterações feitas nesta política, inscreva-se no feed RSS na página Histórico do documento.

Criação de uma função vinculada ao serviço para GuardDuty

A função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço é criada automaticamente quando você a ativa GuardDuty pela primeira vez ou ativa GuardDuty em uma região compatível onde você não a tinha habilitada anteriormente. Você também pode criar a função vinculada ao serviço manualmente usando o console do IAM AWS CLI, o ou a API do IAM.

Importante

A função vinculada ao serviço criada para a conta de administrador GuardDuty delegado não se aplica às contas dos membros. GuardDuty

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço seja criada com sucesso, o principal do IAM GuardDuty com o qual você usa deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do :

nota

Substitua a amostra account ID no exemplo a seguir pelo seu Conta da AWS ID real.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}

Para mais informações sobre a criação da função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.

Editando uma função vinculada ao serviço para GuardDuty

GuardDuty não permite que você edite a função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para GuardDuty

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.

Importante

Se você ativou a Proteção contra Malware para EC2, a exclusão AWSServiceRoleForAmazonGuardDuty não é excluída AWSServiceRoleForAmazonGuardDutyMalwareProtection automaticamente. Se você quiser excluirAWSServiceRoleForAmazonGuardDutyMalwareProtection, consulte Excluindo uma função vinculada ao serviço do Malware Protection for. EC2

Você deve primeiro desabilitar GuardDuty em todas as regiões em que está habilitado para excluir AWSServiceRoleForAmazonGuardDuty o. Se o GuardDuty serviço não for desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará. Para obter mais informações, consulte Suspensão ou desativação GuardDuty.

Quando você desativa GuardDuty, o AWSServiceRoleForAmazonGuardDuty não é excluído automaticamente. Se você ativar GuardDuty novamente, ele começará a usar o existenteAWSServiceRoleForAmazonGuardDuty.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a API do IAM para excluir a função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Suportado Regiões da AWS

A Amazon GuardDuty oferece suporte ao uso da função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço em todos os Regiões da AWS lugares disponíveis GuardDuty . Para obter uma lista das regiões em que GuardDuty está disponível atualmente, consulte os GuardDuty endpoints e cotas da Amazon no. Referência geral da Amazon Web Services