Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
GuardDuty verwendet die benannte serviceverknüpfte Rolle (SLR). AWSServiceRoleForAmazonGuardDuty Die Spiegelreflexkamera ermöglicht GuardDuty die Ausführung der folgenden Aufgaben. Es ermöglicht auch GuardDuty , die abgerufenen Metadaten, die zu der EC2 Instanz gehören, in die Erkenntnisse einzubeziehen, die GuardDuty möglicherweise über die potenzielle Bedrohung generiert werden. Die serviceverknüpfte Rolle AWSServiceRoleForAmazonGuardDuty vertraut dem Service guardduty.amazonaws.com, sodass dieser die Rolle annehmen kann.
Die Berechtigungsrichtlinien helfen bei der GuardDuty Ausführung der folgenden Aufgaben:
-
Verwenden Sie EC2 Amazon-Aktionen, um Informationen über Ihre EC2 Instances, Images und Netzwerkkomponenten wie VPCs Subnetze und Transit-Gateways zu verwalten und abzurufen.
-
Verwenden Sie AWS Systems Manager Aktionen, um SSM-Verknüpfungen auf EC2 Amazon-Instances zu verwalten, wenn Sie GuardDuty Runtime Monitoring mit automatisiertem Agenten für Amazon EC2 aktivieren. Wenn die GuardDuty automatische Agentenkonfiguration deaktiviert ist, werden nur die EC2 Instances GuardDuty berücksichtigt, die über ein Inclusion-Tag (
GuardDutyManaged:true) verfügen. -
Verwenden Sie AWS Organizations Aktionen, um die zugehörigen Konten und die Organisations-ID zu beschreiben.
-
Verwenden Sie Amazon-S3-Aktionen, um Informationen über S3-Buckets und Objekte abzurufen.
-
Verwenden Sie AWS Lambda Aktionen, um Informationen über Ihre Lambda-Funktionen und -Tags abzurufen.
-
Verwenden Sie Amazon-EKS-Aktionen, um Informationen über die EKS-Cluster zu verwalten und abzurufen und Amazon-EKS-Add-Ons auf EKS-Clustern zu verwalten. Die EKS-Aktionen rufen auch die Informationen über die zugehörigen Tags ab. GuardDuty
-
Verwenden Sie IAM, um das zu erstellen, Mit dem Dienst verknüpfte Rollenberechtigungen für Malware Protection für EC2 nachdem der Malware-Schutz für aktiviert EC2 wurde.
-
Verwenden Sie Amazon ECS-Aktionen, um Informationen über die Amazon ECS-Cluster zu verwalten und abzurufen, und verwalten Sie die Amazon ECS-Kontoeinstellungen mit
guarddutyActivate. Die Aktionen im Zusammenhang mit Amazon ECS rufen auch die Informationen über die zugehörigen Tags ab. GuardDuty
Die Rolle ist mit der folgenden AWS -verwalteten Richtlinie namens AmazonGuardDutyServiceRolePolicy konfiguriert.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GuardDutyGetDescribeListPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeSubnets",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeTransitGatewayAttachments",
"organizations:ListAccounts",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"s3:GetBucketPublicAccessBlock",
"s3:GetEncryptionConfiguration",
"s3:GetBucketTagging",
"s3:GetAccountPublicAccessBlock",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"lambda:GetFunctionConfiguration",
"lambda:ListTags",
"eks:ListClusters",
"eks:DescribeCluster",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ecs:ListClusters",
"ecs:DescribeClusters"
],
"Resource": "*"
},
{
"Sid": "GuardDutyCreateSLRPolicy",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
},
{
"Sid": "GuardDutyCreateVpcEndpointPolicy",
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
},
"StringLike": {
"ec2:VpceServiceName": [
"com.amazonaws.*.guardduty-data",
"com.amazonaws.*.guardduty-data-fips"
]
}
}
},
{
"Sid": "GuardDutyModifyDeleteVpcEndpointPolicy",
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpoint",
"ec2:DeleteVpcEndpoints"
],
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:ModifyVpcEndpoint"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:subnet/*"
]
},
{
"Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVpcEndpoint"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutySecurityGroupManagementPolicy",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"Null": {
"aws:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "GuardDutyCreateSecurityGroupPolicy",
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringLike": {
"aws:RequestTag/GuardDutyManaged": "*"
}
}
},
{
"Sid": "GuardDutyCreateSecurityGroupForVpcPolicy",
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:vpc/*"
},
{
"Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSecurityGroup"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyCreateEksAddonPolicy",
"Effect": "Allow",
"Action": "eks:CreateAddon",
"Resource": "arn:aws:eks:*:*:cluster/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyEksAddonManagementPolicy",
"Effect": "Allow",
"Action": [
"eks:DeleteAddon",
"eks:UpdateAddon",
"eks:DescribeAddon"
],
"Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*"
},
{
"Sid": "GuardDutyEksClusterTagResourcePolicy",
"Effect": "Allow",
"Action": "eks:TagResource",
"Resource": "arn:aws:eks:*:*:cluster/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "GuardDutyManaged"
}
}
},
{
"Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy",
"Effect": "Allow",
"Action": "ecs:PutAccountSettingDefault",
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:account-setting": [
"guardDutyActivate"
]
}
}
},
{
"Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission",
"Effect": "Allow",
"Action": [
"ssm:DescribeAssociation",
"ssm:DeleteAssociation",
"ssm:UpdateAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "arn:aws:ssm:*:*:association/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/GuardDutyManaged": "true"
}
}
},
{
"Sid": "SsmAddTagsToResourcePermission",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:arn:aws:ssm:*:*:association/*",
"Condition":{
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
},
"StringEquals": {
"aws:ResourceTag/GuardDutyManaged": "true"
}
}
},
{
"Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission",
"Effect": "Allow",
"Action": [
"ssm:CreateAssociation",
"ssm:UpdateAssociation"
],
"Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin"
},
{
"Sid": "SsmSendCommandPermission",
"Effect": "Allow",
"Action": "ssm:SendCommand",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin"
]
},
{
"Sid": "SsmGetCommandStatus",
"Effect": "Allow",
"Action": "ssm:GetCommandInvocation",
"Resource": "*"
}
]
}Nachfolgend wird die der serviceverknüpften Rolle AWSServiceRoleForAmazonGuardDuty zugeordnete Vertrauensrichtlinie gezeigt:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}Einzelheiten zu Aktualisierungen der AmazonGuardDutyServiceRolePolicy Richtlinie finden Sie unterGuardDuty Aktualisierungen AWS verwalteter Richtlinien. Abonnieren Sie den RSS-Feed auf der Dokumentverlauf Seite, um automatische Benachrichtigungen über Änderungen an dieser Richtlinie zu erhalten.
Erstellen einer dienstbezogenen Rolle für GuardDuty
Die AWSServiceRoleForAmazonGuardDuty dienstverknüpfte Rolle wird automatisch erstellt, wenn Sie sie GuardDuty zum ersten Mal oder GuardDuty in einer unterstützten Region aktivieren, in der sie zuvor nicht aktiviert war. Sie können die serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der oder der AWS CLI IAM-API erstellen.
Wichtig
Die dienstverknüpfte Rolle, die für das GuardDuty delegierte Administratorkonto erstellt wurde, gilt nicht für die Mitgliedskonten. GuardDuty
Sie müssen Berechtigungen konfigurieren, damit ein IAM-Prinzipal (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Damit die AWSServiceRoleForAmazonGuardDuty dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss der IAM-Prinzipal, den Sie GuardDuty mit verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, weisen Sie diesem -Benutzer bzw. dieser-Gruppe oder -Rolle die folgende Richtlinie zu:
Anmerkung
Ersetzen Sie das Beispiel account ID im folgenden Beispiel durch Ihre tatsächliche AWS Konto-ID.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Bearbeitung einer serviceverknüpften Rolle für GuardDuty
GuardDuty erlaubt es Ihnen nicht, die AWSServiceRoleForAmazonGuardDuty dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer dienstbezogenen Rolle für GuardDuty
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.
Wichtig
Wenn Sie den Malware-Schutz für aktiviert haben EC2, wird AWSServiceRoleForAmazonGuardDuty das Löschen nicht automatisch gelöschtAWSServiceRoleForAmazonGuardDutyMalwareProtection. Informationen zum Löschen AWSServiceRoleForAmazonGuardDutyMalwareProtection finden Sie unter Löschen einer serviceverknüpften Rolle für Malware Protection for EC2.
Sie müssen sie zunächst GuardDuty in allen Regionen deaktivieren, in denen sie aktiviert ist, um die AWSServiceRoleForAmazonGuardDuty zu löschen. Wenn der GuardDuty Dienst nicht deaktiviert ist, wenn Sie versuchen, die mit dem Dienst verknüpfte Rolle zu löschen, schlägt das Löschen fehl. Weitere Informationen finden Sie unter Aussetzen oder Deaktivieren GuardDuty.
Wenn Sie ihn deaktivieren GuardDuty, wird AWSServiceRoleForAmazonGuardDuty er nicht automatisch gelöscht. Wenn Sie es GuardDuty erneut aktivieren, wird das Bestehende verwendetAWSServiceRoleForAmazonGuardDuty.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die oder die IAM-API AWS CLI, um die AWSServiceRoleForAmazonGuardDuty serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützt AWS-Regionen
Amazon GuardDuty unterstützt die Verwendung der AWSServiceRoleForAmazonGuardDuty serviceverknüpften Rolle überall AWS-Regionen dort, wo sie verfügbar GuardDuty ist. Eine Liste der Regionen, in denen GuardDuty das Produkt derzeit verfügbar ist, finden Sie unter GuardDuty Amazon-Endpunkte und Kontingente in der Allgemeine Amazon Web Services-Referenz.
