AmazonGuardDutyFullAccess_v2 （建議）AmazonGuardDutyFullAccess AmazonGuardDutyReadOnlyAccess AmazonGuardDutyServiceRolePolicy 政策更新

AWS Amazon GuardDuty 的受管政策

若要新增許可給使用者、群組和角色，使用 AWS 受管政策比自行撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識，而受管政策可為您的團隊提供其所需的許可。若要快速開始使用，您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例，並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊，請參閱《IAM 使用者指南》中的 AWS 受管政策。

AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策，以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時，服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可，因此政策更新不會破壞您現有的許可。

此外， AWS 支援跨多個服務之任務函數的受管政策。例如，ReadOnlyAccess AWS 受管政策提供對所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時，會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明，請參閱 IAM 使用者指南中有關任務職能的AWS 受管政策。

Version 政策元素指定用於處理政策的語言語法規則。下列政策包含 IAM 支援的目前版本。如需詳細資訊，請參閱 IAM JSON 政策元素：版本。

AWS 受管政策： AmazonGuardDutyFullAccess_v2（建議）

您可將 AmazonGuardDutyFullAccess_v2 政策連接到 IAM 身分。在 AmazonGuardDutyFullAccess_v2和之間AmazonGuardDutyFullAccess，GuardDuty 建議連接，AmazonGuardDutyFullAccess_v2因為它提供增強的安全性，並將管理動作限制為 GuardDuty 服務主體。此政策仍會允許使用者完整存取，以執行所有 GuardDuty 動作並存取必要的資源。

許可詳細資訊

此AmazonGuardDutyFullAccess_v2政策包含下列許可：

GuardDuty：允許使用者完整存取所有 GuardDuty 動作。
IAM:
- 允許使用者建立 GuardDuty 服務連結角色。
- 允許檢視和管理 IAM 角色及其 GuardDuty 的政策。
- 允許使用者將角色傳遞至使用此角色的 GuardDuty，以啟用 S3 的 GuardDuty 惡意軟體防護功能。無論您如何在 GuardDuty 服務中或獨立啟用 S3 的惡意軟體防護，這都無關緊要。
- 如果帳戶中存在適用於 EC2 惡意軟體防護的服務連結角色 (SLR)，則在上執行iam:GetRole動作的許可就會AWSServiceRoleForAmazonGuardDutyMalwareProtection建立。
Organizations:
- 允許使用者讀取（檢視） GuardDuty 組織結構和帳戶。
- 允許使用者指定委派管理員和管理 GuardDuty 組織的成員。

JSON


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "GuardDutyFullAccess",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateGuardDutyServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GuardDutyOrganizationsAdminAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyIamRoleAccess",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "PassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS 受管政策： AmazonGuardDutyFullAccess

您可將 AmazonGuardDutyFullAccess 政策連接到 IAM 身分。

重要

為了增強 GuardDuty 服務主體的安全性和限制性許可，我們建議您使用 AWS 受管政策： AmazonGuardDutyFullAccess_v2（建議）。

此政策授予管理許可，允許使用者完整存取以執行所有 GuardDuty 動作和資源。

許可詳細資訊

此政策包含以下許可。

GuardDuty：允許使用者完整存取所有 GuardDuty 動作。
IAM:
- 允許使用者建立 GuardDuty 服務連結角色。
- 允許管理員帳戶為成員帳戶啟用 GuardDuty。
- 允許使用者將角色傳遞至使用此角色的 GuardDuty，以啟用 S3 的 GuardDuty 惡意軟體防護功能。無論您如何在 GuardDuty 服務中或獨立啟用 S3 的惡意軟體防護，這都無關緊要。
Organizations：允許使用者指定委派管理員並管理 GuardDuty 組織的成員。

如果帳戶中存在適用於 EC2 惡意軟體防護的服務連結角色 (SLR)，則在上執行iam:GetRole動作的許可就會AWSServiceRoleForAmazonGuardDutyMalwareProtection建立。

JSON


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS 受管政策： AmazonGuardDutyReadOnlyAccess

您可將 AmazonGuardDutyReadOnlyAccess 政策連接到 IAM 身分。

此政策會授予唯讀許可，允許使用者檢視 GuardDuty 調查結果和 GuardDuty 組織的詳細資訊。

許可詳細資訊

此政策包含以下許可。

GuardDuty：允許使用者檢視 GuardDuty 調查結果，並執行以 Get、List 或 Describe 開頭的 API 操作。
Organizations：允許使用者擷取有關 GuardDuty 組織組態的資訊，包括委派管理員帳戶的詳細資訊。

AWS 受管政策： AmazonGuardDutyServiceRolePolicy

您不得將 AmazonGuardDutyServiceRolePolicy 連接到 IAM 實體。此 AWS 受管政策會連接到服務連結角色，允許 GuardDuty 代表您執行動作。如需詳細資訊，請參閱GuardDuty 的服務連結角色許可。

AWS 受管政策的 GuardDuty 更新

檢視自此服務開始追蹤 GuardDuty AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒，請訂閱「GuardDuty 文件歷史記錄」頁面上的 RSS 摘要。

變更	描述	日期
AmazonGuardDutyFullAccess_v2 – 新增了政策	新增了新的AmazonGuardDutyFullAccess_v2政策。建議這麼做，因為其許可會根據 IAM 角色和政策以及 AWS Organizations 整合，將管理動作限制為 GuardDuty 服務主體，以增強安全性。	2025 年 6 月 4 日
AmazonGuardDutyServiceRolePolicy：現有政策的更新	新增 `ec2:DescribeVpcs`許可。這可讓 GuardDuty 追蹤 VPC 更新，例如擷取 VPC CIDR。	2024 年 8 月 22 日
AmazonGuardDutyServiceRolePolicy：現有政策的更新	新增的許可可讓您在啟用 S3 的惡意軟體防護時，將 IAM 角色傳遞給 GuardDuty。 `{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam:::role/", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }`	2024 年 6 月 10 日
AmazonGuardDutyServiceRolePolicy – 更新至現有政策。	當您使用 Amazon EC2 的自動代理程式啟用 GuardDuty 執行期監控時，請使用 AWS Systems Manager 動作來管理 Amazon EC2 執行個體上的 SSM 關聯。當 GuardDuty 自動化代理程式組態停用時，GuardDuty 只會考慮具有包含標籤 (`GuardDutyManaged`：) 的 EC2 執行個體`true`。	2024 年 3 月 26 日
AmazonGuardDutyServiceRolePolicy – 更新至現有政策。	GuardDuty 已新增新的許可 - `organization:DescribeOrganization` 擷取共用 Amazon VPC 帳戶的組織 ID，並使用組織 ID 設定 Amazon VPC 端點政策。	2024 年 2 月 9 日
AmazonGuardDutyMalwareProtectionServiceRolePolicy – 更新至現有政策。	EC2 的惡意軟體防護已新增兩個許可 - `GetSnapshotBlock`並從您的 `ListSnapshotBlocks` AWS 帳戶擷取 EBS 磁碟區的快照（使用加密 AWS 受管金鑰)，並在啟動惡意軟體掃描之前將其複製到 GuardDuty 服務帳戶。	2024 年 1 月 25 日
AmazonGuardDutyServiceRolePolicy：現有政策的更新	新增了許可，以允許 GuardDuty 新增 `guarddutyActivate` Amazon ECS 帳戶設定，並在 Amazon ECS 叢集上執行清單和描述操作。	2023 年 11 月 26 日
AmazonGuardDutyReadOnlyAccess – 更新現有政策	GuardDuty 已將的新政策`organizations`新增至 `ListAccounts`。	2023 年 11 月 16 日
AmazonGuardDutyFullAccess – 更新現有政策	GuardDuty 已將的新政策`organizations`新增至 `ListAccounts`。	2023 年 11 月 16 日
AmazonGuardDutyServiceRolePolicy – 更新現有政策	GuardDuty 新增了新許可，以支援即將推出的 GuardDuty EKS 執行期監控功能。	2023 年 3 月 8 日
AmazonGuardDutyServiceRolePolicy：現有政策的更新	GuardDuty 已新增新的許可，以允許 GuardDuty 為 EC2 的惡意軟體防護建立服務連結角色。這將有助於 GuardDuty 簡化為 EC2 啟用惡意軟體防護的程序。 GuardDuty 現在可以執行下列 IAM 動作： `{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }`	2023 年 2 月 21 日
AmazonGuardDutyFullAccess – 更新現有政策	GuardDuty 將 `iam:GetRole` 的 ARN 更新為了 `*AWSServiceRoleForAmazonGuardDutyMalwareProtection`。	2022 年 7 月 26 日
AmazonGuardDutyFullAccess – 更新現有政策	GuardDuty 新增了新的 `AWSServiceName`，以允許使用 `iam:CreateServiceLinkedRole` for GuardDuty Malware Protection for EC2 服務建立服務連結角色。 GuardDuty 現在可以執行 `iam:GetRole` 動作以取得 `AWSServiceRole` 的資訊。	2022 年 7 月 26 日
AmazonGuardDutyServiceRolePolicy – 更新現有政策	GuardDuty 新增了新的許可，允許 GuardDuty 使用 Amazon EC2 聯網動作來改善調查結果。 GuardDuty 現在可以執行下列 EC2 動作，以取得有關 EC2 執行個體如何通訊的資訊。此資訊用於提高調查結果準確度。 `ec2:DescribeVpcEndpoints` `ec2:DescribeSubnets` `ec2:DescribeVpcPeeringConnections` `ec2:DescribeTransitGatewayAttachments`	2021 年 8 月 3 日
GuardDuty 開始追蹤變更	GuardDuty 開始追蹤其 AWS 受管政策的變更。	2021 年 8 月 3 日

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

EC2 惡意軟體防護的服務連結角色許可

故障診斷

AWS Amazon GuardDuty 的 受管政策

AWS 受管政策： AmazonGuardDutyFullAccess_v2（建議）

許可詳細資訊

AWS 受管政策： AmazonGuardDutyFullAccess

重要

許可詳細資訊

AWS 受管政策： AmazonGuardDutyReadOnlyAccess

AWS 受管政策： AmazonGuardDutyServiceRolePolicy

AWS 受管政策的 GuardDuty 更新

AWS Amazon GuardDuty 的受管政策