AWS Amazon 的受管政策 GuardDuty - Amazon GuardDuty
AmazonGuardDutyFullAccessAmazonGuardDutyReadOnlyAccessAmazonGuardDutyServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon 的受管政策 GuardDuty

若要新增使用者、群組和角色的權限,使用 AWS 受管理的原則比自己撰寫原則更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南中的AWS 受管政策

AWS 服務會維護和更新 AWS 受管理的策略。您無法變更 AWS 受管理原則中的權限。服務有時會將其他權限新增至受 AWS 管理的策略,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新作業可用時,服務最有可能更新 AWS 受管理的策略。服務不會從 AWS 受管理的政策移除權限,因此政策更新不會破壞您現有的權限。

此外,還 AWS 支援跨多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理的策略提供對所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時,會為新作業和資源新 AWS 增唯讀權限。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南有關任務職能的AWS 受管政策

AWS 受管理的策略:AmazonGuardDutyFullAccess

您可將 AmazonGuardDutyFullAccess 政策連接到 IAM 身分。

此原則會授與允許使用者完整存取所有 GuardDuty 動作的管理權限。

許可詳細資訊

此政策包含以下許可。

  • GuardDuty— 允許使用者完全存取所有 GuardDuty動作。

  • IAM:

    • 允許使用者建立 GuardDuty 服務連結角色。

    • 允許管理員帳戶 GuardDuty 為成員帳戶啟用。

    • 允許使用者將角色傳遞給使用 GuardDuty 此角色的角色,以啟用 S3 的 GuardDuty 惡意程式碼防護功能。無論您如何在 GuardDuty 服務內或獨立啟用 S3 的惡意軟體防護,都是如此。

  • Organizations— 可讓使用者指定委派的管理員並管理 GuardDuty 組織的成員。

對執行iam:GetRole動作的權限AWSServiceRoleForAmazonGuardDutyMalwareProtection確定了 EC2 惡意軟體保護的服務連結角色 (SLR) 是否存在於帳戶中。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS 受管理的策略:AmazonGuardDutyReadOnlyAccess

您可將 AmazonGuardDutyReadOnlyAccess 政策連接到 IAM 身分。

此原則會授與唯讀權限,讓使用者可以檢視 GuardDuty 組織的 GuardDuty 發現項目和詳細資料。

許可詳細資訊

此政策包含以下許可。

  • GuardDuty— 可讓使用者檢視 GuardDuty 發現項目,並執行以GetList、或開頭的 API 作業Describe

  • Organizations— 可讓使用者擷取 GuardDuty 組織組態的相關資訊,包括委派管理員帳戶的詳細資訊。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管理的策略:AmazonGuardDutyServiceRolePolicy

您不得將 AmazonGuardDutyServiceRolePolicy 連接到 IAM 實體。此 AWS 受管理策略會附加至服務連結角色,可 GuardDuty 代表您執行動作。如需詳細資訊,請參閱 服務連結角色權限 GuardDuty

GuardDuty AWS 受管理策略的更新

檢視 GuardDuty 自此服務開始追蹤這些變更以來的 AWS 受管理策略更新詳細資料。如需有關此頁面變更的自動警示,請訂閱「 GuardDuty 文件歷史記錄」頁面上的 RSS 摘要。

變更 描述 日期

AmazonGuardDutyFullAccess – 更新現有政策

新增權限,可讓您在啟用 S3 的惡意程式碼保護 GuardDuty 時將 IAM 角色傳遞給該角色。

{
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "guardduty.amazonaws.com"
                }
            }
}
 2024年6月10日

AmazonGuardDutyServiceRolePolicy – 更新現有政策。

使用 Amazon EC2 的自動化代理程式啟用執行時 GuardDuty 間監控時,使用動 AWS Systems Manager 作來管理 Amazon EC2 執行個體上的 SSM 關聯。停用 GuardDuty 自動化代理程式組態時,只 GuardDuty 會考慮具有包含標籤 (GuardDutyManaged:true) 的 EC2 執行個體。

 2024年3月26日

AmazonGuardDutyServiceRolePolicy – 更新現有政策。

GuardDuty 已新增許可-擷organization:DescribeOrganization取共用 Amazon VPC 帳戶的組織 ID,並使用組織 ID 設定 Amazon VPC 端點政策。

 2024年2月9 日

AmazonGuardDutyMalwareProtectionServiceRolePolicy – 更新現有政策。

適用於 EC2 的惡意軟體保護新增了兩個權限-GetSnapshotBlockListSnapshotBlocks從您的 EBS 磁碟區擷取快照 (使用加密 AWS 受管金鑰), AWS 帳戶 並在開始惡意軟體掃描之前將其複製到 GuardDuty 服務帳戶。

 2024年1月25日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

新增許可以新增 guarddutyActivate Amazon ECS 帳戶設定, GuardDuty 以及在 Amazon ECS 叢集上執行清單和描述操作。

 2023年11月26日

AmazonGuardDutyReadOnlyAccess – 更新現有政策

 GuardDuty 已將新政策新增organizationsListAccounts

2023 年 11 月 16 日

AmazonGuardDutyFullAccess – 更新現有政策

 GuardDuty 已將新政策新增organizationsListAccounts

2023 年 11 月 16 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

GuardDuty 添加了新的權限,以支持即將推出的 GuardDuty EKS 運行時監視功能。

 2023 年 3 月 8 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

GuardDuty 添加了新的許可,以允許 GuardDuty 為 EC2 的惡意軟件保護創建服務鏈接角色。這將有助於 GuardDuty簡化為 EC2 啟用惡意軟體保護的程序。

GuardDuty 現在可以執行下列 IAM 動作:

{
    "Effect": "Allow",
	"Action": "iam:CreateServiceLinkedRole",
	"Resource": "*",
	"Condition": {
	   "StringEquals": {
	       "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
	   }
	}
}
 2023 年 2 月 21 日

AmazonGuardDutyFullAccess – 更新現有政策

GuardDuty 將 ARN 更新iam:GetRole為。*AWSServiceRoleForAmazonGuardDutyMalwareProtection

 2022 年 7 月 26 日

AmazonGuardDutyFullAccess – 更新現有政策

GuardDuty 添加了一個新功能,AWSServiceName以允許使用 iam:CreateServiceLinkedRole EC2 服務的 GuardDuty 惡意軟件保護創建服務鏈接角色。

GuardDuty 現在可以執行iam:GetRole動作以取得資訊AWSServiceRole

 2022 年 7 月 26 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

GuardDuty 增加了新的許可,以 GuardDuty 允許使用 Amazon EC2 聯網操作來改善發現結果。

GuardDuty 現在可以執行下列 EC2 動作,以取得 EC2 執行個體如何通訊的相關資訊。此資訊用於提高調查結果準確度。

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

 2021 年 8 月 3 日

GuardDuty 開始追蹤變更

GuardDuty 開始追蹤其 AWS 受管理策略的變更。

 2021 年 8 月 3 日