Políticas administradas por AWS para Amazon GuardDuty - Amazon GuardDuty

Políticas administradas por AWS para Amazon GuardDuty

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que le brinden a su equipo solo los permisos necesarios. Para comenzar rápidamente, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Los servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos en las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan los permisos de una política administrada de AWS, por lo tanto, las actualizaciones de las políticas no deteriorarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada de AWS ReadOnlyAccess proporciona acceso de solo lectura a todos los servicios y los recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

El elemento de la política Version especifica las reglas de sintaxis del lenguaje que se van a utilizar para procesar esta política. Las siguientes políticas incluyen la versión actual que IAM admite. Para obtener más información, consulte Elementos de la política de JSON de IAM: Versión.

Política administrada de AWS: AmazonGuardDutyFullAccess

Puede adjuntar la política AmazonGuardDutyFullAccess a las identidades de IAM.

Esta política otorga permisos administrativos que conceden a un usuario acceso completo a todas las acciones de GuardDuty.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • GuardDuty: concede a los usuarios acceso completo a todas las acciones de GuardDuty.

  • IAM:

    • Permite a los usuarios crear el rol vinculado al servicio de GuardDuty.

    • Permite que una cuenta de administrador habilite GuardDuty para cuentas de miembro.

    • Permite a los usuarios transmitir un rol a GuardDuty que utiliza este rol para habilitar la característica de protección contra malware para S3 de GuardDuty. Esto es independiente de cómo se habilite la protección contra malware para S3, ya sea como parte del servicio de GuardDuty o de forma independiente.

  • Organizations: permite a los usuarios designar un administrador delegado y administrar los miembros de una organización de GuardDuty.

El permiso para llevar a cabo una acción iam:GetRole en AWSServiceRoleForAmazonGuardDutyMalwareProtection establece si el rol vinculado al servicio (SLR) para la protección contra malware para EC2 existe en una cuenta.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }

Política administrada de AWS: AmazonGuardDutyReadOnlyAccess

Puede adjuntar la política AmazonGuardDutyReadOnlyAccess a las identidades de IAM.

Esta política otorga permisos de solo lectura para que un usuario pueda ver los resultados de GuardDuty y los detalles de su organización de GuardDuty.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • GuardDuty: permite a los usuarios ver los resultados de GuardDuty y llevar a cabo operaciones de la API que comiencen por Get, List o Describe.

  • Organizations: permite a los usuarios recuperar información sobre la configuración de su organización de GuardDuty, incluidos los detalles de la cuenta de administrador delegado.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }

Política administrada de AWS: AmazonGuardDutyServiceRolePolicy

No puede adjuntar AmazonGuardDutyServiceRolePolicy a sus entidades de IAM. Esta política administrada por AWS está adjunta a un rol vinculado a servicios que permite a GuardDuty llevar a cabo acciones en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios de GuardDuty.

Actualizaciones de GuardDuty en las políticas administradas por AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para GuardDuty debido a que este servicio comenzó a hacer un seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de GuardDuty.

Cambio Descripción Fecha

AmazonGuardDutyServiceRolePolicy: actualización de una política existente

Se agregó el permiso ec2:DescribeVpcs. Esto permite que GuardDuty realice un seguimiento de las actualizaciones de la VPC, como recuperar el CIDR de la VPC.

22 de agosto de 2024

AmazonGuardDutyServiceRolePolicy: actualización de una política existente

Permiso agregado que permite transmitir un rol de IAM a GuardDuty al habilitar la protección contra malware para S3.

{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }
10 de junio de 2024

AmazonGuardDutyServiceRolePolicy: actualización de una política existente.

Utilice acciones de AWS Systems Manager para administrar asociaciones de SSM en instancias de Amazon EC2 cuando habilite la Supervisión en tiempo de ejecución de GuardDuty con el agente automatizado para Amazon EC2. Cuando la configuración automatizada del agente de GuardDuty está desactivada, GuardDuty solo considera aquellas instancias de EC2 que tienen una etiqueta de inclusión (GuardDutyManaged:true).

26 de marzo de 2024

AmazonGuardDutyServiceRolePolicy: actualización de una política existente.

GuardDuty ha agregado un nuevo permiso: organization:DescribeOrganization para recuperar el ID de organización de la cuenta de la Amazon VPC compartida y establecer la política de punto de conexión de Amazon VPC con el ID de organización.

9 de febrero de 2024

AmazonGuardDutyMalwareProtectionServiceRolePolicy: actualización de una política existente.

La protección contra malware para EC2 ha agregado dos permisos: GetSnapshotBlock y ListSnapshotBlocks para obtener la instantánea de un volumen de EBS (cifrado mediante Clave administrada de AWS) de la Cuenta de AWS y copiarlo en la cuenta de servicio de GuardDuty antes de iniciar el análisis de malware.

25 de enero de 2024

AmazonGuardDutyServiceRolePolicy: actualización de una política existente

Se han agregado nuevos permisos para que GuardDuty pueda agregar la configuración de cuentas guarddutyActivate de Amazon ECS y realizar operaciones de enumeración y descripción en clústeres de Amazon ECS.

26 de noviembre de 2023

AmazonGuardDutyReadOnlyAccess: actualización de una política actual

GuardDuty agregó una nueva política para organizations para ListAccounts.

16 de noviembre de 2023

AmazonGuardDutyFullAccess: actualización de una política actual

GuardDuty agregó una nueva política para organizations para ListAccounts.

16 de noviembre de 2023

AmazonGuardDutyServiceRolePolicy: actualización de una política actual

GuardDuty agregó nuevos permisos para admitir la próxima característica de supervisión en tiempo de ejecución de EKS en GuardDuty.

8 de marzo de 2023

AmazonGuardDutyServiceRolePolicy: actualización de una política existente

GuardDuty agregó nuevos permisos para permitir a GuardDuty crear un rol vinculado al servicio para la protección contra malware para EC2. Esto ayudará a GuardDuty a agilizar el proceso de habilitación de la protección contra malware para EC2.

GuardDuty ahora puede llevar a cabo la siguiente acción de IAM:

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }
21 de febrero de 2023

AmazonGuardDutyFullAccess: actualización de una política actual

GuardDuty actualizó el ARN de iam:GetRole a *AWSServiceRoleForAmazonGuardDutyMalwareProtection.

26 de julio de 2022

AmazonGuardDutyFullAccess: actualización de una política actual

GuardDuty agregó un nuevo AWSServiceName para permitir la creación de un rol vinculado al servicio mediante iam:CreateServiceLinkedRole para el servicio de protección contra malware para EC2 de GuardDuty.

GuardDuty ahora puede llevar a cabo la acción iam:GetRole para obtener información de AWSServiceRole.

26 de julio de 2022

AmazonGuardDutyServiceRolePolicy: actualización de una política actual

GuardDuty agregó nuevos permisos para permitir que GuardDuty utilice las acciones de red de Amazon EC2 para mejorar los resultados.

GuardDuty ahora puede llevar a cabo las siguientes acciones de EC2 para obtener información sobre cómo se comunican sus instancias de EC2. Esta información se utiliza para mejorar la precisión de los resultados.

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

3 de agosto de 2021

GuardDuty comenzó a hacer un seguimiento de los cambios

GuardDuty comenzó a hacer un seguimiento de los cambios de las políticas administradas por AWS.

3 de agosto de 2021