Políticas administradas por AWS para Amazon GuardDuty
Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que le brinden a su equipo solo los permisos necesarios. Para comenzar rápidamente, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Los servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos en las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan los permisos de una política administrada de AWS, por lo tanto, las actualizaciones de las políticas no deteriorarán los permisos existentes.
Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada de AWS ReadOnlyAccess proporciona acceso de solo lectura a todos los servicios y los recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.
El elemento de la política Version
especifica las reglas de sintaxis del lenguaje que se van a utilizar para procesar esta política. Las siguientes políticas incluyen la versión actual que IAM admite. Para obtener más información, consulte Elementos de la política de JSON de IAM: Versión.
Política administrada de AWS: AmazonGuardDutyFullAccess
Puede adjuntar la política AmazonGuardDutyFullAccess
a las identidades de IAM.
Esta política otorga permisos administrativos que conceden a un usuario acceso completo a todas las acciones de GuardDuty.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
GuardDuty
: concede a los usuarios acceso completo a todas las acciones de GuardDuty. -
IAM
:-
Permite a los usuarios crear el rol vinculado al servicio de GuardDuty.
-
Permite que una cuenta de administrador habilite GuardDuty para cuentas de miembro.
-
Permite a los usuarios transmitir un rol a GuardDuty que utiliza este rol para habilitar la característica de protección contra malware para S3 de GuardDuty. Esto es independiente de cómo se habilite la protección contra malware para S3, ya sea como parte del servicio de GuardDuty o de forma independiente.
-
-
Organizations
: permite a los usuarios designar un administrador delegado y administrar los miembros de una organización de GuardDuty.
El permiso para llevar a cabo una acción iam:GetRole
en AWSServiceRoleForAmazonGuardDutyMalwareProtection
establece si el rol vinculado al servicio (SLR) para la protección contra malware para EC2 existe en una cuenta.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
Política administrada de AWS: AmazonGuardDutyReadOnlyAccess
Puede adjuntar la política AmazonGuardDutyReadOnlyAccess
a las identidades de IAM.
Esta política otorga permisos de solo lectura para que un usuario pueda ver los resultados de GuardDuty y los detalles de su organización de GuardDuty.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
GuardDuty
: permite a los usuarios ver los resultados de GuardDuty y llevar a cabo operaciones de la API que comiencen porGet
,List
oDescribe
. -
Organizations
: permite a los usuarios recuperar información sobre la configuración de su organización de GuardDuty, incluidos los detalles de la cuenta de administrador delegado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
Política administrada de AWS: AmazonGuardDutyServiceRolePolicy
No puede adjuntar AmazonGuardDutyServiceRolePolicy
a sus entidades de IAM. Esta política administrada por AWS está adjunta a un rol vinculado a servicios que permite a GuardDuty llevar a cabo acciones en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios de GuardDuty.
Actualizaciones de GuardDuty en las políticas administradas por AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para GuardDuty debido a que este servicio comenzó a hacer un seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de GuardDuty.
Cambio | Descripción | Fecha |
---|---|---|
AmazonGuardDutyServiceRolePolicy: actualización de una política existente |
Se agregó el permiso |
22 de agosto de 2024 |
AmazonGuardDutyServiceRolePolicy: actualización de una política existente |
Permiso agregado que permite transmitir un rol de IAM a GuardDuty al habilitar la protección contra malware para S3.
|
10 de junio de 2024 |
AmazonGuardDutyServiceRolePolicy: actualización de una política existente. |
Utilice acciones de AWS Systems Manager para administrar asociaciones de SSM en instancias de Amazon EC2 cuando habilite la Supervisión en tiempo de ejecución de GuardDuty con el agente automatizado para Amazon EC2. Cuando la configuración automatizada del agente de GuardDuty está desactivada, GuardDuty solo considera aquellas instancias de EC2 que tienen una etiqueta de inclusión ( |
26 de marzo de 2024 |
AmazonGuardDutyServiceRolePolicy: actualización de una política existente. |
GuardDuty ha agregado un nuevo permiso: |
9 de febrero de 2024 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy: actualización de una política existente. |
La protección contra malware para EC2 ha agregado dos permisos: |
25 de enero de 2024 |
AmazonGuardDutyServiceRolePolicy: actualización de una política existente |
Se han agregado nuevos permisos para que GuardDuty pueda agregar la configuración de cuentas |
26 de noviembre de 2023 |
AmazonGuardDutyReadOnlyAccess: actualización de una política actual |
GuardDuty agregó una nueva política para organizations para ListAccounts . |
16 de noviembre de 2023 |
AmazonGuardDutyFullAccess: actualización de una política actual |
GuardDuty agregó una nueva política para organizations para ListAccounts . |
16 de noviembre de 2023 |
AmazonGuardDutyServiceRolePolicy: actualización de una política actual |
GuardDuty agregó nuevos permisos para admitir la próxima característica de supervisión en tiempo de ejecución de EKS en GuardDuty. |
8 de marzo de 2023 |
AmazonGuardDutyServiceRolePolicy: actualización de una política existente |
GuardDuty agregó nuevos permisos para permitir a GuardDuty crear un rol vinculado al servicio para la protección contra malware para EC2. Esto ayudará a GuardDuty a agilizar el proceso de habilitación de la protección contra malware para EC2. GuardDuty ahora puede llevar a cabo la siguiente acción de IAM:
|
21 de febrero de 2023 |
AmazonGuardDutyFullAccess: actualización de una política actual |
GuardDuty actualizó el ARN de |
26 de julio de 2022 |
AmazonGuardDutyFullAccess: actualización de una política actual |
GuardDuty agregó un nuevo GuardDuty ahora puede llevar a cabo la acción |
26 de julio de 2022 |
AmazonGuardDutyServiceRolePolicy: actualización de una política actual |
GuardDuty agregó nuevos permisos para permitir que GuardDuty utilice las acciones de red de Amazon EC2 para mejorar los resultados. GuardDuty ahora puede llevar a cabo las siguientes acciones de EC2 para obtener información sobre cómo se comunican sus instancias de EC2. Esta información se utiliza para mejorar la precisión de los resultados.
|
3 de agosto de 2021 |
GuardDuty comenzó a hacer un seguimiento de los cambios |
GuardDuty comenzó a hacer un seguimiento de los cambios de las políticas administradas por AWS. |
3 de agosto de 2021 |