Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations de rôle liées à un service pour Malware Protection pour EC2
Malware Protection for EC2 utilise le rôle lié au service (SLR) nommé. AWSServiceRoleForAmazonGuardDutyMalwareProtection
Cela SLR permet à Malware Protection EC2 d'effectuer des analyses sans agent pour détecter les logiciels malveillants dans votre GuardDuty compte. Il permet GuardDuty de créer un instantané EBS du volume dans votre compte et de partager cet instantané avec le compte GuardDuty de service. Après avoir GuardDuty évalué le snapshot, il inclut les métadonnées de charge de travail de l'EC2instance et du conteneur récupérées dans la protection contre les logiciels malveillants pour obtenir des EC2 résultats. Le rôle lié à un service AWSServiceRoleForAmazonGuardDutyMalwareProtection
fait confiance au service malware-protection.guardduty.amazonaws.com
pour endosser le rôle.
Les politiques d'autorisation relatives à ce rôle aident Malware Protection for EC2 à effectuer les tâches suivantes :
-
Utilisez les actions Amazon Elastic Compute Cloud (AmazonEC2) pour récupérer des informations sur vos EC2 instances, volumes et instantanés Amazon. Malware Protection for fournit EC2 également l'autorisation d'accéder aux métadonnées d'Amazon EKS et ECS du cluster Amazon.
-
Créez des instantanés pour les EBS volumes dont la
GuardDutyExcluded
balise n'est pas définie sur.true
Par défaut, les instantanés sont créés avec une baliseGuardDutyScanId
. Ne supprimez pas cette balise, sinon Malware Protection for n'EC2aura pas accès aux instantanés.Important
Lorsque vous définissez le
GuardDutyExcluded
paramètre surtrue
, le GuardDuty service ne pourra plus accéder à ces instantanés à l'avenir. Cela est dû au fait que les autres instructions de ce rôle lié au service GuardDuty empêchent toute action sur les instantanés définis sur.GuardDutyExcluded
true
-
Autoriser le partage et la suppression d'instantanés uniquement si la balise
GuardDutyScanId
existe et que la baliseGuardDutyExcluded
n'est pas définie surtrue
.Note
N'autorise pas la protection contre les logiciels malveillants EC2 à rendre les instantanés publics.
-
Accédez aux clés gérées par le client, à l'exception de celles dont le
GuardDutyExcluded
tag est défini surtrue
,CreateGrant
pour appeler pour créer et accéder à un EBS volume chiffré à partir de l'instantané chiffré partagé avec le compte de GuardDuty service. Pour obtenir la liste des comptes de GuardDuty service pour chaque région, voirGuardDuty comptes de service par Région AWS. -
Accédez aux CloudWatch journaux des clients pour créer le groupe de EC2 journaux Malware Protection for Malware et placez les journaux des événements d'analyse des programmes malveillants dans le
/aws/guardduty/malware-scan-events
groupe de journaux. -
Autoriser le client à décider s'il souhaite conserver dans son compte les instantanés sur lesquels le logiciel malveillant a été détecté. Si l'analyse détecte un logiciel malveillant, le rôle lié au service permet d' GuardDuty ajouter deux balises aux instantanés : et.
GuardDutyFindingDetected
GuardDutyExcluded
Note
La balise
GuardDutyFindingDetected
indique que les instantanés contiennent des logiciels malveillants. -
Déterminez si un volume est chiffré avec une clé EBS gérée. GuardDuty exécute l'
DescribeKey
action pour déterminerkey Id
la clé EBS gérée de votre compte. -
Récupérez l'instantané des EBS volumes chiffrés à l'aide de Clé gérée par AWS, depuis votre Compte AWS et copiez-le dans leGuardDuty compte de service. À cette fin, nous utilisons les autorisations
GetSnapshotBlock
etListSnapshotBlocks
. GuardDuty scannera ensuite le cliché dans le compte de service. À l'heure actuelle, la protection contre les programmes malveillants pour la EC2 prise en charge de l'analyse des EBS volumes chiffrés avec Clé gérée par AWS peut ne pas être disponible dans tous les Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des fonctionnalités propres à la région. -
Autorisez Amazon EC2 à appeler AWS KMS au nom de Malware Protection pour EC2 effectuer plusieurs actions cryptographiques sur les clés gérées par le client. Des actions telles que
kms:ReEncryptTo
etkms:ReEncryptFrom
sont nécessaires pour partager les instantanés chiffrés avec les clés gérées par le client. Seules les clés suivantes pour lesquelles la baliseGuardDutyExcluded
n'est pas définietrue
sur sont accessibles.
Le rôle est configuré avec la stratégie gérée AWS suivante, nommée AmazonGuardDutyMalwareProtectionServiceRolePolicy
.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
La stratégie d'approbation suivante est attachée au rôle lié à un service AWSServiceRoleForAmazonGuardDutyMalwareProtection
:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Création d'un rôle lié à un service pour Malware Protection for EC2
Le rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection
lié au service est automatiquement créé lorsque vous activez la protection contre les programmes malveillants EC2 pour la première fois ou lorsque vous activez la protection contre les programmes malveillants EC2 dans une région prise en charge où elle n'était pas activée auparavant. Vous pouvez également créer le rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection
lié à un service manuellement à l'aide de la IAM console, du IAMCLI, ou du. IAM API
Note
Par défaut, si vous utilisez Amazon pour la première fois GuardDuty, la protection contre les programmes malveillants EC2 est automatiquement activée.
Important
Le rôle lié au service créé pour le compte d' GuardDuty administrateur délégué ne s'applique pas aux comptes des membres GuardDuty .
Vous devez configurer les autorisations pour autoriser un IAM principal (tel qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection
lié au service soit correctement créé, l'IAMidentité que vous utilisez GuardDuty doit disposer des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Pour plus d'informations sur la création manuelle du rôle, voir Création d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
Modification d'un rôle lié à un service pour Malware Protection for EC2
Malware Protection for EC2 ne vous permet pas de modifier le rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection
lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
Suppression d'un rôle lié à un service pour Malware Protection for EC2
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
Important
Pour le supprimerAWSServiceRoleForAmazonGuardDutyMalwareProtection
, vous devez d'abord désactiver la protection contre les programmes malveillants EC2 dans toutes les régions où elle est activée.
Si la protection contre les programmes malveillants EC2 n'est pas désactivée lorsque vous essayez de supprimer le rôle lié au service, la suppression échouera. Assurez-vous d'abord de désactiver la protection contre les programmes malveillants EC2 dans votre compte.
Lorsque vous choisissez Désactiver pour arrêter le EC2 service de protection contre les programmes malveillants, celui-ci n'AWSServiceRoleForAmazonGuardDutyMalwareProtection
est pas automatiquement supprimé. Si vous choisissez ensuite Activer pour redémarrer le EC2 service de protection contre les programmes malveillants, GuardDuty vous commencerez à utiliser le service existantAWSServiceRoleForAmazonGuardDutyMalwareProtection
.
Pour supprimer manuellement le rôle lié à un service à l'aide de IAM
Utilisez la IAM console AWS CLI, le ou le IAM API pour supprimer le rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection
lié au service. Pour plus d'informations, voir Supprimer un rôle lié à un service dans le Guide de l'IAMutilisateur.
Régions AWS prises en charge
Amazon GuardDuty prend en charge l'utilisation du rôle AWSServiceRoleForAmazonGuardDutyMalwareProtection
lié au service dans tous les domaines Régions AWS où Malware Protection for EC2 est disponible.
Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section GuardDuty Points de terminaison et quotas Amazon dans le Référence générale d'Amazon Web Services.
Note
La protection contre les programmes malveillants n'EC2est actuellement pas disponible dans AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest).