AWS políticas gestionadas para Amazon GuardDuty - Amazon GuardDuty
AmazonGuardDutyFullAccessAmazonGuardDutyReadOnlyAccessAmazonGuardDutyServiceRolePolicyActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para Amazon GuardDuty

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Crear políticas gestionadas por los IAM clientes que proporcionen a tu equipo solo los permisos que necesita requiere tiempo y experiencia. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del IAM usuario.

AWS los servicios mantienen y AWS actualizan las políticas administradas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y una descripción de las políticas de funciones laborales, consulte las políticas AWS gestionadas para las funciones laborales en la Guía del IAMusuario.

El elemento de la política Version especifica las reglas de sintaxis del lenguaje que se van a utilizar para procesar esta política. Las siguientes políticas incluyen la versión actual IAM compatible. Para obtener más información, consulte los elementos IAM JSON de la política: Versión.

AWS política gestionada: AmazonGuardDutyFullAccess

Puede adjuntar la AmazonGuardDutyFullAccess política a sus IAM identidades.

Esta política otorga permisos administrativos que permiten al usuario el acceso total a todas GuardDuty las acciones.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • GuardDuty— Permite a los usuarios el acceso total a todas GuardDuty las acciones.

  • IAM:

    • Permite a los usuarios crear el rol GuardDuty vinculado al servicio.

    • Permite que una cuenta de administrador se habilite GuardDuty para las cuentas de los miembros.

    • Permite a los usuarios transferir un rol a uno GuardDuty que utilice este rol para habilitar la función de protección contra GuardDuty malware para S3. Esto es independiente de cómo se active la protección contra malware para S3, ya sea dentro del GuardDuty servicio o de forma independiente.

  • Organizations— Permite a los usuarios designar un administrador delegado y gestionar los miembros de una GuardDuty organización.

El permiso para realizar una iam:GetRole acción AWSServiceRoleForAmazonGuardDutyMalwareProtection establece si el rol vinculado al servicio (SLR) de Malware Protection for EC2 existe en una cuenta.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS política gestionada: AmazonGuardDutyReadOnlyAccess

Puede adjuntar la AmazonGuardDutyReadOnlyAccess política a sus IAM identidades.

Esta política otorga permisos de solo lectura que permiten al usuario ver los GuardDuty hallazgos y los detalles de su GuardDuty organización.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • GuardDuty— Permite a los usuarios ver GuardDuty los hallazgos y realizar API operaciones que comienzan con GetList, o. Describe

  • Organizations— Permite a los usuarios recuperar información sobre GuardDuty la configuración de la organización, incluidos los detalles de la cuenta de administrador delegado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gestionada: AmazonGuardDutyServiceRolePolicy

No puede adjuntarse AmazonGuardDutyServiceRolePolicy a sus IAM entidades. Esta política AWS gestionada está asociada a un rol vinculado al servicio que permite GuardDuty realizar acciones en tu nombre. Para obtener más información, consulte Permisos de rol vinculados al servicio para GuardDuty.

GuardDuty actualizaciones de las políticas gestionadas AWS

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas GuardDuty desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial del GuardDuty documento.

Cambio Descripción Fecha

AmazonGuardDutyServiceRolePolicy: actualización de una política actual

Se ha añadido el ec2:DescribeVpcs permiso. Esto permite GuardDuty realizar un seguimiento de VPC las actualizaciones, como recuperar el VPCCIDR.

 22 de agosto de 2024

AmazonGuardDutyServiceRolePolicy: actualización de una política actual

Se agregó un permiso que te permite transferir una IAM función GuardDuty al activar la protección contra malware para S3.

{
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "guardduty.amazonaws.com"
                }
            }
}
 10 de junio de 2024

AmazonGuardDutyServiceRolePolicy: actualización de una política existente.

Usa AWS Systems Manager acciones para gestionar las SSM asociaciones en las EC2 instancias de Amazon cuando habilites GuardDuty Runtime Monitoring con un agente automatizado para AmazonEC2. Cuando la configuración GuardDuty automática de agentes está deshabilitada GuardDuty , solo tiene en cuenta las EC2 instancias que tienen una etiqueta de inclusión (GuardDutyManaged:true).

 26 de marzo de 2024

AmazonGuardDutyServiceRolePolicy: actualización de una política existente.

GuardDuty ha añadido un nuevo permiso organization:DescribeOrganization para recuperar el ID de la organización de la VPC cuenta de Amazon compartida y configurar la política de puntos finales de VPC Amazon con el ID de la organización.

 9 de febrero de 2024

AmazonGuardDutyMalwareProtectionServiceRolePolicy: actualización de una política existente.

Malware Protection for EC2 ha añadido dos permisos: GetSnapshotBlock el de ListSnapshotBlocks obtener la instantánea de un EBS volumen (cifrada mediante Clave administrada de AWS) Cuenta de AWS y copiarla a la cuenta de GuardDuty servicio antes de iniciar el análisis de malware.

 25 de enero de 2024

AmazonGuardDutyServiceRolePolicy: actualización de una política actual

Se han añadido nuevos permisos que permiten GuardDuty añadir la configuración de la ECS cuenta de guarddutyActivate Amazon y realizar operaciones de lista y descripción en ECS los clústeres de Amazon.

 26 de noviembre de 2023

AmazonGuardDutyReadOnlyAccess: actualización de una política actual

 GuardDuty agregó una nueva política organizations paraListAccounts.

16 de noviembre de 2023

AmazonGuardDutyFullAccess: actualización de una política actual

 GuardDuty agregó una nueva política organizations paraListAccounts.

16 de noviembre de 2023

AmazonGuardDutyServiceRolePolicy: actualización de una política actual

GuardDuty agregó nuevos permisos para admitir la próxima función GuardDuty EKS de monitoreo del tiempo de ejecución.

 8 de marzo de 2023

AmazonGuardDutyServiceRolePolicy: actualización de una política actual

GuardDuty ha añadido nuevos permisos que permiten crear un rol vinculado GuardDuty al servicio para Malware Protection for. EC2 Esto ayudará a GuardDuty agilizar el proceso de activación de la protección contra malware para. EC2

GuardDuty ahora puede realizar la siguiente IAM acción:

{
    "Effect": "Allow",
	"Action": "iam:CreateServiceLinkedRole",
	"Resource": "*",
	"Condition": {
	   "StringEquals": {
	       "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
	   }
	}
}
 21 de febrero de 2023

AmazonGuardDutyFullAccess: actualización de una política actual

GuardDuty actualizado ARN iam:GetRole para*AWSServiceRoleForAmazonGuardDutyMalwareProtection.

 26 de julio de 2022

AmazonGuardDutyFullAccess: actualización de una política actual

GuardDuty se agregó una nueva AWSServiceName para permitir la creación de un rol vinculado al servicio mediante GuardDuty Malware Protection iam:CreateServiceLinkedRole for EC2 Service.

GuardDuty ahora puede realizar la iam:GetRole acción para obtener información. AWSServiceRole

 26 de julio de 2022

AmazonGuardDutyServiceRolePolicy: actualización de una política actual

GuardDuty se han añadido nuevos permisos que permiten GuardDuty utilizar las acciones de EC2 red de Amazon para mejorar los resultados.

GuardDuty ahora puede realizar las siguientes EC2 acciones para obtener información sobre cómo se comunican sus EC2 instancias. Esta información se utiliza para mejorar la precisión de los resultados.

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

 3 de agosto de 2021

GuardDuty comenzó a rastrear los cambios

GuardDuty comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.

 3 de agosto de 2021