Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Mit dem Dienst verknüpfte Rollenberechtigungen für Malware Protection für EC2
Malware Protection for EC2 verwendet die mit dem Dienst verknüpfte Rolle (SLR) mit dem Namen. AWSServiceRoleForAmazonGuardDutyMalwareProtection SLRDadurch kann Malware Protection for EC2 Scans ohne Agenten durchführen, um Malware in Ihrem GuardDuty Konto zu erkennen. Es ermöglicht GuardDuty Ihnen, einen EBS Volume-Snapshot in Ihrem Konto zu erstellen und diesen Snapshot mit dem GuardDuty Dienstkonto zu teilen. Nach der GuardDuty Auswertung des Snapshots werden die abgerufenen EC2 Instance- und Container-Workload-Metadaten in den Malware-Schutz aufgenommen, um die EC2 Ergebnisse zu ermitteln. Die serviceverknüpfte Rolle AWSServiceRoleForAmazonGuardDutyMalwareProtection vertraut dem Service malware-protection.guardduty.amazonaws.com, sodass dieser die Rolle annehmen kann.
Die Berechtigungsrichtlinien für diese Rolle helfen Malware Protection for EC2 bei der Ausführung der folgenden Aufgaben:
-
Verwenden Sie Amazon Elastic Compute Cloud (AmazonEC2) -Aktionen, um Informationen über Ihre EC2 Amazon-Instances, Volumes und Snapshots abzurufen. Malware Protection for gewährt EC2 auch die Erlaubnis, auf die Amazon EKS - und ECS Amazon-Cluster-Metadaten zuzugreifen.
-
Erstellen Sie Snapshots für EBS Volumes, bei denen das
GuardDutyExcludedTag nicht auftruegesetzt ist. Standardmäßig werden die Snapshots mit einemGuardDutyScanId-Tag erstellt. Entfernen Sie dieses Tag nicht, da Malware Protection for EC2 sonst keinen Zugriff auf die Snapshots hat.Wichtig
Wenn Sie das
GuardDutyExcludedauf setzentrue, kann der GuardDuty Dienst in future nicht mehr auf diese Snapshots zugreifen. Dies liegt daran, dass die anderen Anweisungen in dieser dienstbezogenen Rolle GuardDuty verhindern, dass Aktionen für die Snapshots ausgeführt werden, für die der Wert auf gesetzt ist.GuardDutyExcludedtrue -
Lassen Sie das Teilen und Löschen von Snapshots nur zu, wenn das
GuardDutyScanId-Tag existiert und dasGuardDutyExcluded-Tag nicht auftruegesetzt ist.Anmerkung
Lässt nicht zu, dass Malware Protection für EC2 die Snapshots veröffentlicht.
-
Greifen Sie auf vom Kunden verwaltete Schlüssel zu, mit Ausnahme von Schlüsseln, für die ein
GuardDutyExcludedTag auf gesetzt isttrue,CreateGrantum über den verschlüsselten Snapshot, der mit dem GuardDuty Servicekonto geteilt wird, ein verschlüsseltes EBS Volume zu erstellen und darauf zuzugreifen. Eine Liste der GuardDuty Dienstkonten für jede Region finden Sie unterGuardDuty Dienstkonten von AWS-Region. -
Greifen Sie auf CloudWatch Kundenprotokolle zu, um die EC2 Protokollgruppe „Malware-Schutz für“ zu erstellen und die Ereignisprotokolle der Malware-Suche unter der
/aws/guardduty/malware-scan-eventsProtokollgruppe abzulegen. -
Lassen Sie den Kunden entscheiden, ob er die Snapshots, auf denen Malware erkannt wurde, in seinem Konto behalten möchte. Wenn beim Scan Malware erkannt wird, ermöglicht die mit dem Dienst verknüpfte Rolle GuardDuty das Hinzufügen von zwei Tags zu Snapshots: und.
GuardDutyFindingDetectedGuardDutyExcludedAnmerkung
Das
GuardDutyFindingDetected-Tag gibt an, dass die Snapshots Malware enthalten. -
Ermitteln Sie, ob ein Volume mit einem EBS verwalteten Schlüssel verschlüsselt ist. GuardDuty führt die
DescribeKeyAktion zur Bestimmungkey Iddes EBS verwalteten Schlüssels in Ihrem Konto durch. -
Rufen Sie den Snapshot der mit Von AWS verwalteter Schlüssel, verschlüsselten EBS Volumes von Ihrem ab AWS-Konto und kopieren Sie ihn in den. GuardDuty Dienstkonto Zu diesem Zweck verwenden wir die Berechtigungen
GetSnapshotBlockundListSnapshotBlocks. GuardDuty scannt dann den Snapshot im Dienstkonto. Derzeit ist der Malware-Schutz zur EC2 Unterstützung des Scannens von EBS Volumes, die mit verschlüsselt sind, Von AWS verwalteter Schlüssel möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter Verfügbarkeit regionsspezifischer Feature. -
Erlauben EC2 Sie AWS KMS Amazon, im Namen von Malware Protection mehrere kryptografische Aktionen mit vom Kunden verwalteten Schlüsseln durchzuführen. EC2 Aktionen wie
kms:ReEncryptToundkms:ReEncryptFromsind erforderlich, um die Snapshots zu teilen, die mit den vom Kunden verwalteten Schlüsseln verschlüsselt sind. Es sind nur die Schlüssel zugänglich, für die dasGuardDutyExcluded-Tag nicht auftruefestgelegt ist.
Die Rolle ist mit der folgenden AWS -verwalteten Richtlinie namens AmazonGuardDutyMalwareProtectionServiceRolePolicy konfiguriert.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
Nachfolgend wird die der serviceverknüpften Rolle AWSServiceRoleForAmazonGuardDutyMalwareProtection zugeordnete Vertrauensrichtlinie gezeigt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Erstellen einer dienstbezogenen Rolle für den Malware-Schutz für EC2
Die AWSServiceRoleForAmazonGuardDutyMalwareProtection dienstbezogene Rolle wird automatisch erstellt, wenn Sie den Malware-Schutz EC2 zum ersten Mal oder den Malware-Schutz für eine unterstützte Region aktivieren, EC2 in der er zuvor nicht aktiviert war. Sie können die AWSServiceRoleForAmazonGuardDutyMalwareProtection dienstverknüpfte Rolle auch manuell mithilfe der IAM Konsole, der oder der IAM CLI erstellen. IAM API
Anmerkung
Wenn Sie neu bei Amazon sind GuardDuty, EC2 ist Malware Protection for standardmäßig automatisch aktiviert.
Wichtig
Die dienstbezogene Rolle, die für das delegierte GuardDuty Administratorkonto erstellt wurde, gilt nicht für die GuardDuty Mitgliedskonten.
Sie müssen Berechtigungen konfigurieren, damit ein IAM Hauptbenutzer (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Damit die AWSServiceRoleForAmazonGuardDutyMalwareProtection dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM Identität, die Sie GuardDuty mit verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, weisen Sie diesem -Benutzer bzw. dieser-Gruppe oder -Rolle die folgende Richtlinie zu:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Weitere Informationen zum manuellen Erstellen der Rolle finden Sie unter Erstellen einer dienstbezogenen Rolle im IAMBenutzerhandbuch.
Bearbeiten einer dienstbezogenen Rolle für Malware Protection für EC2
Mit Malware Protection for können Sie die AWSServiceRoleForAmazonGuardDutyMalwareProtection dienstverknüpfte EC2 Rolle nicht bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.
Löschen einer dienstbezogenen Rolle für Malware Protection für EC2
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.
Wichtig
Um die zu löschenAWSServiceRoleForAmazonGuardDutyMalwareProtection, müssen Sie zuerst den Malware-Schutz für EC2 in allen Regionen deaktivieren, in denen er aktiviert ist.
Wenn der Malware-Schutz für EC2 nicht deaktiviert ist, wenn Sie versuchen, die dienstbezogene Rolle zu löschen, schlägt der Löschvorgang fehl. Stellen Sie sicher, dass Sie zuerst den Malware-Schutz für EC2 in Ihrem Konto deaktivieren.
Wenn Sie „Deaktivieren“ wählen, um den Malware-Schutz für den EC2 Dienst zu beenden, AWSServiceRoleForAmazonGuardDutyMalwareProtection wird der Dienst nicht automatisch gelöscht. Wenn Sie dann „Aktivieren“ wählen, um den EC2 Dienst „Malware-Schutz für“ erneut zu starten, GuardDuty wird der vorhandene Dienst wieder verwendetAWSServiceRoleForAmazonGuardDutyMalwareProtection.
Um die mit dem Dienst verknüpfte Rolle manuell zu löschen, verwenden Sie IAM
Verwenden Sie die IAM Konsole, den oder AWS CLI, IAM API um die AWSServiceRoleForAmazonGuardDutyMalwareProtection dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.
Unterstützte AWS-Regionen
Amazon GuardDuty unterstützt die Verwendung der AWSServiceRoleForAmazonGuardDutyMalwareProtection serviceverknüpften Rolle in allen Bereichen, in AWS-Regionen denen Malware Protection for verfügbar EC2 ist.
Eine Liste der Regionen, in denen GuardDuty das Produkt derzeit verfügbar ist, finden Sie unter GuardDuty Amazon-Endpunkte und Kontingente in der Allgemeine Amazon Web Services-Referenz.
Anmerkung
Der Malware-Schutz für EC2 ist derzeit in AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) nicht verfügbar.
