Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición de Amazon GuardDuty
Amazon GuardDuty (prefijo de servicio:guardduty) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en IAM las políticas de permisos.
Referencias:
-
Obtenga información para configurar este servicio.
-
Consulta una lista de las APIoperaciones disponibles para este servicio.
-
Aprenda a proteger este servicio y sus recursos mediante políticas de IAM permisos.
Temas
Acciones definidas por Amazon GuardDuty
Puede especificar las siguientes acciones en el Action elemento de una declaración de IAM política. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, normalmente se permite o deniega el acceso a la API operación o CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AcceptAdministratorInvitation | Otorga permiso para aceptar invitaciones para convertirse en una cuenta de GuardDuty miembro | Escritura | |||
| AcceptInvitation | Otorga permiso para aceptar invitaciones para convertirse en una cuenta de GuardDuty miembro | Escritura | |||
| ArchiveFindings | Otorga permiso para archivar GuardDuty las conclusiones | Escritura | |||
| CreateDetector | Otorga permiso para crear un detector | Escritura | |||
| CreateFilter | Otorga permiso para crear GuardDuty filtros. Un filtro define los atributos de búsqueda y las condiciones que se utilizan para filtrar resultados | Escritura | |||
| CreateIPSet | Otorga permiso para crear un IPSet | Escritura |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
| CreateMalwareProtectionPlan | Otorga permiso para crear un nuevo plan de protección contra malware | Escritura | |||
| CreateMembers | Otorga permiso para crear cuentas de GuardDuty miembros, donde la cuenta utilizada para crear un miembro pasa a ser la cuenta de GuardDuty administrador | Escritura | |||
| CreatePublishingDestination | Otorga permisos para crear un destino de publicación | Write |
s3:GetObject s3:ListBucket |
||
| CreateSampleFindings | Otorga permiso para crear hallazgos de muestra | Escritura | |||
| CreateThreatIntelSet | Otorga permiso de creación GuardDuty ThreatIntelSets, donde a ThreatIntelSet consiste en direcciones IP maliciosas conocidas utilizadas GuardDuty para generar hallazgos | Escritura | |||
| DeclineInvitations | Otorga permiso para rechazar invitaciones para convertirse en una cuenta de GuardDuty miembro | Escritura | |||
| DeleteDetector | Otorga permiso para eliminar GuardDuty los detectores | Escritura | |||
| DeleteFilter | Otorga permiso para eliminar GuardDuty filtros | Escritura | |||
| DeleteIPSet | Otorga permiso para eliminar GuardDuty IPSets | Escritura | |||
| DeleteInvitations | Otorga permiso para eliminar las invitaciones para convertirse en una cuenta de GuardDuty miembro | Escritura | |||
| DeleteMalwareProtectionPlan | Otorga permiso para eliminar un plan de protección contra malware | Escritura | |||
| DeleteMembers | Otorga permiso para eliminar las cuentas GuardDuty de los miembros | Escritura | |||
| DeletePublishingDestination | Otorga permisos para eliminar un destino de publicación | Escritura | |||
| DeleteThreatIntelSet | Otorga permiso para eliminar GuardDuty ThreatIntelSets | Escritura | |||
| DescribeMalwareScans | Otorga permiso para recuperar los detalles sobre análisis de malware | Leer | |||
| DescribeOrganizationConfiguration | Otorga permiso para recuperar detalles sobre el administrador delegado asociado a un detector GuardDuty | Leer | |||
| DescribePublishingDestination | Otorga permisos para recuperar detalles sobre un destino de publicación | Leer | |||
| DisableOrganizationAdminAccount | Otorga permiso para deshabilitar el administrador delegado de la organización para GuardDuty | Escritura | |||
| DisassociateFromAdministratorAccount | Otorga permiso para desasociar una cuenta de GuardDuty miembro de su cuenta de administrador GuardDuty | Escritura | |||
| DisassociateFromMasterAccount | Otorga permiso para desasociar una cuenta de GuardDuty miembro de su cuenta de administrador GuardDuty | Escritura | |||
| DisassociateMembers | Otorga permiso para desasociar las cuentas de GuardDuty los miembros de su cuenta de administrador GuardDuty | Escritura | |||
| EnableOrganizationAdminAccount | Otorga permiso para que un administrador delegado de la organización pueda GuardDuty | Escritura | |||
| GetAdministratorAccount | Otorga permiso para recuperar los detalles de la cuenta de GuardDuty administrador asociada a la cuenta de un miembro | Leer | |||
| GetCoverageStatistics | Otorga permiso para incluir las estadísticas de GuardDuty cobertura de Amazon para la GuardDuty cuenta especificada en una región | Leer | |||
| GetDetector | Otorga permiso para recuperar GuardDuty los detectores | Leer | |||
| GetFilter | Otorga permiso para recuperar GuardDuty filtros | Leer | |||
| GetFindings | Otorga permiso para recuperar GuardDuty los hallazgos | Leer | |||
| GetFindingsStatistics | Otorga permiso para recuperar una lista de estadísticas de GuardDuty búsqueda | Leer | |||
| GetIPSet | Otorga permiso para recuperar GuardDuty IPSets | Leer | |||
| GetInvitationsCount | Otorga permiso para recuperar el recuento de todas GuardDuty las invitaciones enviadas a una cuenta específica, que no incluye la invitación aceptada | Leer | |||
| GetMalwareProtectionPlan | Otorga permiso para recuperar los detalles de un plan de protección contra malware | Leer | |||
| GetMalwareScanSettings | Otorga permiso para recuperar la configuración de análisis de malware | Leer | |||
| GetMasterAccount | Otorga permiso para recuperar los detalles de la cuenta de GuardDuty administrador asociada a la cuenta de un miembro | Leer | |||
| GetMemberDetectors | Otorga permiso para describir qué orígenes de datos están habilitados para los detectores de cuentas de miembros | Leer | |||
| GetMembers | Otorga permiso para recuperar las cuentas de miembro asociadas a una cuenta de administrador | Leer | |||
| GetOrganizationStatistics | Otorga permiso para recuperar las estadísticas de cobertura del plan de GuardDuty protección de las cuentas de los miembros en una región | Leer | |||
| GetRemainingFreeTrialDays | Concede permiso para indicar el número de días restantes para cada origen de datos utilizado en el periodo de prueba gratuito | Leer | |||
| GetThreatIntelSet | Otorga permiso para recuperar GuardDuty ThreatIntelSets | Leer | |||
| GetUsageStatistics | Otorga permiso para incluir las estadísticas de GuardDuty uso de Amazon de los últimos 30 días para el ID de detector especificado | Leer | |||
| InviteMembers | Otorga permiso para invitar a otras AWS cuentas a habilitarlas GuardDuty y convertirse en cuentas de GuardDuty miembros | Escritura | |||
| ListCoverage | Concede permiso para enumerar todos los detalles de un recurso para una cuenta determinada en una región | Enumeración | |||
| ListDetectors | Otorga permiso para recuperar una lista de GuardDuty detectores | Enumeración | |||
| ListFilters | Otorga permiso para recuperar una lista de GuardDuty filtros | Enumeración | |||
| ListFindings | Otorga permiso para recuperar una lista de GuardDuty hallazgos | Enumeración | |||
| ListIPSets | Otorga permiso para recuperar una lista de GuardDuty IPSets | Enumeración | |||
| ListInvitations | Otorga permiso para recuperar una lista de todas las invitaciones de GuardDuty membresía que se enviaron a un Cuenta de AWS | Enumeración | |||
| ListMalwareProtectionPlans | Otorga permiso para recuperar una lista de planes de protección contra malware | Enumeración | |||
| ListMembers | Otorga permiso para recuperar una lista de cuentas de GuardDuty miembros asociadas a una cuenta de administrador | Enumeración | |||
| ListOrganizationAdminAccounts | Otorga permiso para incluir detalles sobre el administrador delegado de la organización para GuardDuty | Enumeración | |||
| ListPublishingDestinations | Otorga permisos para recuperar una lista de destinos de publicación | Enumeración | |||
| ListTagsForResource | Otorga permiso para recuperar una lista de etiquetas asociadas a un recurso GuardDuty | Leer | |||
| ListThreatIntelSets | Otorga permiso para recuperar una lista de GuardDuty ThreatIntelSets | Enumeración | |||
| SendSecurityTelemetry | Otorga permiso para enviar telemetría de seguridad a una GuardDuty cuenta específica de una región | Escritura | |||
| StartMalwareScan | Concede permiso para iniciar un nuevo análisis de malware | Escritura | |||
| StartMonitoringMembers | Otorga permiso a una cuenta de GuardDuty administrador para supervisar los resultados de las cuentas de los miembros GuardDuty | Escritura | |||
| StopMonitoringMembers | Otorga permiso para desactivar los resultados de monitoreo de las cuentas de miembro | Escritura | |||
| TagResource | Otorga permiso para añadir etiquetas a un GuardDuty recurso | Etiquetado | |||
| UnarchiveFindings | Otorga permiso para desarchivar los hallazgos GuardDuty | Escritura | |||
| UntagResource | Otorga permiso para eliminar etiquetas de un recurso GuardDuty | Etiquetado | |||
| UpdateDetector | Otorga permiso para actualizar GuardDuty los detectores | Escritura | |||
| UpdateFilter | Otorga permiso para actualizar GuardDuty los filtros | Escritura | |||
| UpdateFindingsFeedback | Otorga permiso para actualizar los comentarios sobre los GuardDuty hallazgos para marcarlos como útiles o no útiles | Escritura | |||
| UpdateIPSet | Otorga permiso para actualizar GuardDuty IPSets | Escritura |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
| UpdateMalwareProtectionPlan | Otorga permiso para actualizar el plan de protección contra malware | Escritura | |||
| UpdateMalwareScanSettings | Otorga permiso para actualizar la configuración de análisis de malware | Escritura | |||
| UpdateMemberDetectors | Otorga permiso para actualizar qué orígenes de datos están habilitados para los detectores de cuentas de miembros | Escritura | |||
| UpdateOrganizationConfiguration | Otorga permiso para actualizar la configuración de administrador delegado asociada a un detector GuardDuty | Escritura | |||
| UpdatePublishingDestination | Otorga permisos para actualizar un destino de publicación | Escritura |
s3:GetObject s3:ListBucket |
||
| UpdateThreatIntelSet | Otorga permiso para actualizar el GuardDuty ThreatIntelSets | Escritura |
iam:DeleteRolePolicy iam:PutRolePolicy |
Tipos de recursos definidos por Amazon GuardDuty
Este servicio define los siguientes tipos de recursos y se pueden utilizar como Resource elemento de las declaraciones de política de IAM permisos. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| detector |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}
|
|
| filter |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}
|
|
| ipset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}
|
|
| threatintelset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}
|
|
| publishingDestination |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}
|
|
| malwareprotectionplan |
arn:${Partition}:guardduty:${Region}:${Account}:malware-protection-plan/${MalwareProtectionPlanId}
|
Claves de estado de Amazon GuardDuty
Amazon GuardDuty define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso por los pares de clave-valor de etiqueta de la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso | Cadena |
| aws:TagKeys | Filtra los accesos mediante las claves de etiqueta en la solicitud | ArrayOfString |
