Permisos de rol vinculados al servicio para GuardDuty - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de rol vinculados al servicio para GuardDuty

GuardDuty usa el rol vinculado al servicio (SLR) denominado. AWSServiceRoleForAmazonGuardDuty La SLR permite realizar GuardDuty las siguientes tareas. También permite GuardDuty incluir los metadatos recuperados pertenecientes a la EC2 instancia en los hallazgos que se GuardDuty puedan generar sobre la potencial amenaza. El rol vinculado a servicios AWSServiceRoleForAmazonGuardDuty confía en el servicio guardduty.amazonaws.com para asumir el rol.

Las políticas de permisos ayudan a GuardDuty realizar las siguientes tareas:

  • Utilice EC2 las acciones de Amazon para gestionar y recuperar información sobre sus EC2 instancias, imágenes y componentes de red VPCs, como subredes y pasarelas de tránsito.

  • Utilice AWS Systems Manager acciones para gestionar las asociaciones de SSM en las EC2 instancias de Amazon al habilitar GuardDuty Runtime Monitoring con un agente automatizado para Amazon EC2. Cuando la configuración GuardDuty automática de agentes está deshabilitada, GuardDuty solo tiene en cuenta las EC2 instancias que tienen una etiqueta de inclusión (GuardDutyManaged:true).

  • Usa AWS Organizations acciones para describir las cuentas asociadas y el identificador de la organización.

  • Utilizar las acciones de Amazon S3 para recuperar información sobre buckets y objetos de S3.

  • Utilice AWS Lambda acciones para recuperar información sobre las funciones y etiquetas de Lambda.

  • Utilice las acciones de Amazon EKS para administrar y recuperar información sobre los clústeres de EKS y administrar los complementos de Amazon EKS en los clústeres de EKS. Las acciones de EKS también recuperan la información sobre las etiquetas asociadas a GuardDuty ellas.

  • Utilice IAM para crearla una Permisos de rol vinculados al servicio para Malware Protection para EC2 vez que se EC2 haya activado la protección contra malware.

  • Utilice las acciones de Amazon ECS para administrar y recuperar información sobre los clústeres de Amazon ECS y administrar la configuración de la cuenta de Amazon ECS con guarddutyActivate. Las acciones relacionadas con Amazon ECS también recuperan la información sobre las etiquetas asociadas a ellas GuardDuty.

El rol se configura con la siguiente política administrada por AWS, que se denomina AmazonGuardDutyServiceRolePolicy.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }

A continuación se presenta la política de confianza que se asocia al rol vinculado a servicio AWSServiceRoleForAmazonGuardDuty:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Para obtener más información sobre actualizaciones a la política AmazonGuardDutyServiceRolePolicy, consulte GuardDuty actualizaciones de las políticas gestionadas AWS. Para obtener alertas automáticas sobre cambios en esta política, suscríbase a la fuente RSS en la página de Historial de documentos.

Crear un rol vinculado a un servicio para GuardDuty

El rol AWSServiceRoleForAmazonGuardDuty vinculado al servicio se crea automáticamente cuando lo habilitas GuardDuty por primera vez o lo habilitas GuardDuty en una región compatible en la que antes no lo tenías habilitado. También puede crear el rol vinculado al servicio manualmente mediante la consola de IAM, la API de IAM o la misma AWS CLI.

importante

El rol vinculado al servicio que se crea para la cuenta de administrador GuardDuty delegado no se aplica a las cuentas de los miembros. GuardDuty

Debe configurar permisos para permitir a una entidad principal de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para que el rol AWSServiceRoleForAmazonGuardDuty vinculado al servicio se cree correctamente, el director de IAM GuardDuty con el que utilices debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a un usuario, un grupo o un rol de :

nota

Sustituya el ejemplo account ID del siguiente ejemplo por su ID de cuenta real AWS .

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }

Para obtener más información acerca de cómo crear un rol manualmente, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Edición de un rol vinculado a un servicio para GuardDuty

GuardDuty no permite editar el rol vinculado al AWSServiceRoleForAmazonGuardDuty servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar un rol vinculado a un servicio para GuardDuty

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitoree ni se mantenga de forma activa.

importante

Si ha activado la protección contra malware para EC2, la eliminación AWSServiceRoleForAmazonGuardDuty no se elimina automáticamente. AWSServiceRoleForAmazonGuardDutyMalwareProtection Si desea eliminarloAWSServiceRoleForAmazonGuardDutyMalwareProtection, consulte Eliminar un rol vinculado a un servicio de Malware Protection para. EC2

Primero debe deshabilitarlo GuardDuty en todas las regiones en las que esté habilitado para eliminar el. AWSServiceRoleForAmazonGuardDuty Si el GuardDuty servicio no está deshabilitado al intentar eliminar el rol vinculado al servicio, se producirá un error en la eliminación. Para obtener más información, consulte Suspender o deshabilitar GuardDuty.

Cuando lo inhabilitas GuardDuty, AWSServiceRoleForAmazonGuardDuty no se elimina automáticamente. Si lo GuardDuty vuelves a activar, empezará a usar lo existenteAWSServiceRoleForAmazonGuardDuty.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Usa la consola de IAM AWS CLI, la o la API de IAM para eliminar la función vinculada al AWSServiceRoleForAmazonGuardDuty servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Soportado Regiones de AWS

Amazon GuardDuty admite el uso de la función AWSServiceRoleForAmazonGuardDuty vinculada al servicio en todos los Regiones de AWS lugares disponibles GuardDuty . Para ver una lista de las regiones en las GuardDuty que está disponible actualmente, consulta los GuardDuty puntos de conexión y las cuotas de Amazon en. Referencia general de Amazon Web Services