Acciones, recursos y claves de condición de Amazon GuardDuty - Referencia de autorizaciones de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acciones, recursos y claves de condición de Amazon GuardDuty

Amazon GuardDuty (prefijo de servicio:guardduty) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en IAM las políticas de permisos.

Referencias:

Acciones definidas por Amazon GuardDuty

Puede especificar las siguientes acciones en el Action elemento de una declaración de IAM política. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, normalmente se permite o deniega el acceso a la API operación o CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptAdministratorInvitation Otorga permiso para aceptar invitaciones para convertirse en una cuenta de GuardDuty miembro Escritura
AcceptInvitation Otorga permiso para aceptar invitaciones para convertirse en una cuenta de GuardDuty miembro Escritura
ArchiveFindings Otorga permiso para archivar GuardDuty las conclusiones Escritura
CreateDetector Otorga permiso para crear un detector Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFilter Otorga permiso para crear GuardDuty filtros. Un filtro define los atributos de búsqueda y las condiciones que se utilizan para filtrar resultados Escritura

filter*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIPSet Otorga permiso para crear un IPSet Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

iam:DeleteRolePolicy

iam:PutRolePolicy

CreateMalwareProtectionPlan Concede permiso para crear un nuevo plan de protección contra malware Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMembers Otorga permiso para crear cuentas de GuardDuty miembros, donde la cuenta utilizada para crear un miembro pasa a ser la cuenta de GuardDuty administrador Escritura
CreatePublishingDestination Otorga permisos para crear un destino de publicación Write

s3:GetObject

s3:ListBucket

CreateSampleFindings Otorga permiso para crear hallazgos de muestra Escritura
CreateThreatIntelSet Otorga permiso de creación GuardDuty ThreatIntelSets, donde a ThreatIntelSet consiste en direcciones IP maliciosas conocidas utilizadas GuardDuty para generar hallazgos Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineInvitations Otorga permiso para rechazar invitaciones para convertirse en una cuenta de GuardDuty miembro Escritura
DeleteDetector Otorga permiso para eliminar GuardDuty los detectores Escritura

detector*

DeleteFilter Otorga permiso para eliminar GuardDuty filtros Escritura

filter*

DeleteIPSet Otorga permiso para eliminar GuardDuty IPSets Escritura

ipset*

DeleteInvitations Otorga permiso para eliminar las invitaciones para convertirse en una cuenta de GuardDuty miembro Escritura
DeleteMalwareProtectionPlan Concede permiso para crear un nuevo plan de protección contra malware Escritura

malwareprotectionplan*

DeleteMembers Otorga permiso para eliminar las cuentas GuardDuty de los miembros Escritura
DeletePublishingDestination Otorga permisos para eliminar un destino de publicación Escritura

publishingDestination*

DeleteThreatIntelSet Otorga permiso para eliminar GuardDuty ThreatIntelSets Escritura

threatintelset*

DescribeMalwareScans Otorga permiso para recuperar los detalles sobre análisis de malware Lectura
DescribeOrganizationConfiguration Otorga permiso para recuperar detalles sobre el administrador delegado asociado a un detector GuardDuty Lectura
DescribePublishingDestination Otorga permisos para recuperar detalles sobre un destino de publicación Lectura

publishingDestination*

DisableOrganizationAdminAccount Otorga permiso para deshabilitar el administrador delegado de la organización para GuardDuty Escritura
DisassociateFromAdministratorAccount Otorga permiso para desasociar una cuenta de GuardDuty miembro de su cuenta de administrador GuardDuty Escritura
DisassociateFromMasterAccount Otorga permiso para desasociar una cuenta de GuardDuty miembro de su cuenta de administrador GuardDuty Escritura
DisassociateMembers Otorga permiso para desasociar las cuentas de GuardDuty los miembros de su cuenta de administrador GuardDuty Escritura
EnableOrganizationAdminAccount Otorga permiso para que un administrador delegado de la organización pueda GuardDuty Escritura
GetAdministratorAccount Otorga permiso para recuperar los detalles de la cuenta de GuardDuty administrador asociada a la cuenta de un miembro Lectura
GetCoverageStatistics Otorga permiso para incluir las estadísticas de GuardDuty cobertura de Amazon para la GuardDuty cuenta especificada en una región Lectura

detector*

GetDetector Otorga permiso para recuperar GuardDuty los detectores Lectura

detector*

GetFilter Otorga permiso para recuperar GuardDuty filtros Lectura

filter*

GetFindings Otorga permiso para recuperar GuardDuty los hallazgos Lectura
GetFindingsStatistics Otorga permiso para recuperar una lista de estadísticas de GuardDuty búsqueda Lectura
GetIPSet Otorga permiso para recuperar GuardDuty IPSets Lectura

ipset*

GetInvitationsCount Otorga permiso para recuperar el recuento de todas GuardDuty las invitaciones enviadas a una cuenta específica, que no incluye la invitación aceptada Lectura
GetMalwareProtectionPlan Concede permiso para recuperar los detalles de un plan de protección contra malware Lectura

malwareprotectionplan*

GetMalwareScanSettings Otorga permiso para recuperar la configuración de análisis de malware Lectura
GetMasterAccount Otorga permiso para recuperar los detalles de la cuenta de GuardDuty administrador asociada a la cuenta de un miembro Lectura
GetMemberDetectors Otorga permiso para describir qué orígenes de datos están habilitados para los detectores de cuentas de miembros Lectura
GetMembers Otorga permiso para recuperar las cuentas de miembro asociadas a una cuenta de administrador Lectura
GetOrganizationStatistics Otorga permiso para recuperar las estadísticas de cobertura del plan de GuardDuty protección de las cuentas de los miembros en una región Lectura
GetRemainingFreeTrialDays Concede permiso para indicar el número de días restantes para cada origen de datos utilizado en el periodo de prueba gratuito Lectura
GetThreatIntelSet Otorga permiso para recuperarlas GuardDuty ThreatIntelSets Lectura

threatintelset*

GetUsageStatistics Otorga permiso para incluir las estadísticas de GuardDuty uso de Amazon de los últimos 30 días para el ID de detector especificado Lectura
InviteMembers Otorga permiso para invitar a otras AWS cuentas a habilitarlas GuardDuty y convertirse en cuentas de GuardDuty miembros Escritura
ListCoverage Concede permiso para enumerar todos los detalles de un recurso para una cuenta determinada en una región Enumeración

detector*

ListDetectors Otorga permiso para recuperar una lista de GuardDuty detectores Enumeración
ListFilters Otorga permiso para recuperar una lista de GuardDuty filtros Enumeración
ListFindings Otorga permiso para recuperar una lista de GuardDuty hallazgos Enumeración
ListIPSets Otorga permiso para recuperar una lista de GuardDuty IPSets Enumeración
ListInvitations Otorga permiso para recuperar una lista de todas las invitaciones de GuardDuty membresía que se enviaron a un Cuenta de AWS Enumeración
ListMalwareProtectionPlans Concede permiso para recuperar una lista de planes de protección contra malware Enumeración
ListMembers Otorga permiso para recuperar una lista de cuentas de GuardDuty miembros asociadas a una cuenta de administrador Enumeración
ListOrganizationAdminAccounts Otorga permiso para enumerar los detalles sobre el administrador delegado de la organización para GuardDuty Enumeración
ListPublishingDestinations Otorga permisos para recuperar una lista de destinos de publicación Enumeración
ListTagsForResource Otorga permiso para recuperar una lista de etiquetas asociadas a un recurso GuardDuty Lectura

detector

filter

ipset

malwareprotectionplan

threatintelset

ListThreatIntelSets Otorga permiso para recuperar una lista de GuardDuty ThreatIntelSets Enumeración
SendSecurityTelemetry Otorga permiso para enviar telemetría de seguridad a una GuardDuty cuenta específica de una región Escritura
StartMalwareScan Concede permiso para iniciar un nuevo análisis de malware Escritura
StartMonitoringMembers Otorga permiso a una cuenta de GuardDuty administrador para supervisar los resultados de las cuentas de los miembros GuardDuty Escritura
StopMonitoringMembers Otorga permiso para desactivar los resultados de monitoreo de las cuentas de miembro Escritura
TagResource Otorga permiso para añadir etiquetas a un GuardDuty recurso Etiquetado

detector

filter

ipset

malwareprotectionplan

threatintelset

aws:RequestTag/${TagKey}

aws:TagKeys

UnarchiveFindings Otorga permiso para desarchivar los hallazgos GuardDuty Escritura
UntagResource Otorga permiso para eliminar etiquetas de un recurso GuardDuty Etiquetado

detector

filter

ipset

malwareprotectionplan

threatintelset

aws:TagKeys

UpdateDetector Otorga permiso para actualizar GuardDuty los detectores Escritura

detector*

UpdateFilter Otorga permiso para actualizar GuardDuty los filtros Escritura

filter*

UpdateFindingsFeedback Otorga permiso para actualizar los comentarios sobre los GuardDuty hallazgos para marcarlos como útiles o no útiles Escritura
UpdateIPSet Otorga permiso para actualizar GuardDuty IPSets Escritura

ipset*

iam:DeleteRolePolicy

iam:PutRolePolicy

UpdateMalwareProtectionPlan Concede permiso para actualizar el plan de protección contra malware Escritura

malwareprotectionplan*

UpdateMalwareScanSettings Otorga permiso para actualizar la configuración de análisis de malware Escritura
UpdateMemberDetectors Otorga permiso para actualizar qué orígenes de datos están habilitados para los detectores de cuentas de miembros Escritura
UpdateOrganizationConfiguration Otorga permiso para actualizar la configuración del administrador delegado asociada a un detector GuardDuty Escritura
UpdatePublishingDestination Otorga permisos para actualizar un destino de publicación Escritura

publishingDestination*

s3:GetObject

s3:ListBucket

UpdateThreatIntelSet Otorga permiso para actualizar el GuardDuty ThreatIntelSets Escritura

threatintelset*

iam:DeleteRolePolicy

iam:PutRolePolicy

Tipos de recursos definidos por Amazon GuardDuty

Este servicio define los siguientes tipos de recursos y se pueden utilizar como Resource elemento de las declaraciones de política de IAM permisos. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
detector arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}

aws:ResourceTag/${TagKey}

filter arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}

aws:ResourceTag/${TagKey}

ipset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}

aws:ResourceTag/${TagKey}

threatintelset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}

aws:ResourceTag/${TagKey}

publishingDestination arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}
malwareprotectionplan arn:${Partition}:guardduty:${Region}:${Account}:malware-protection-plan/${MalwareProtectionPlanId}

aws:ResourceTag/${TagKey}

Claves de estado de Amazon GuardDuty

Amazon GuardDuty define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta de la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra los accesos mediante las claves de etiqueta en la solicitud ArrayOfString