Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations de rôle liées au service pour GuardDuty
GuardDuty utilise le rôle lié au service (SLR) nommé. AWSServiceRoleForAmazonGuardDuty SLRPermet d' GuardDuty effectuer les tâches suivantes. Cela permet également GuardDuty d'inclure les métadonnées récupérées appartenant à l'EC2instance dans les résultats qui GuardDuty peuvent être générés concernant la menace potentielle. Le rôle lié à un service AWSServiceRoleForAmazonGuardDuty fait confiance au service guardduty.amazonaws.com pour endosser le rôle.
Les politiques d'autorisation permettent GuardDuty d'effectuer les tâches suivantes :
-
Utilisez EC2 les actions Amazon pour gérer et récupérer des informations sur vos EC2 instances, vos images et vos composants réseau tels que VPCs les sous-réseaux et les passerelles de transit.
-
Utilisez AWS Systems Manager des actions pour gérer les SSM associations sur les EC2 instances Amazon lorsque vous activez la surveillance du temps GuardDuty d'exécution avec un agent automatisé pour AmazonEC2. Lorsque la configuration GuardDuty automatique des agents est désactivée, ne GuardDuty prend en compte que les EC2 instances dotées d'une balise d'inclusion (
GuardDutyManaged:true). -
Utilisez AWS Organizations des actions pour décrire les comptes associés et l'identifiant de l'organisation.
-
Utilisez les actions Amazon S3 pour récupérer des informations sur les compartiments et les objets S3.
-
Utilisez AWS Lambda des actions pour récupérer des informations sur vos fonctions et balises Lambda.
-
Utilisez EKS les actions Amazon pour gérer et récupérer des informations sur les EKS clusters et gérer les EKSmodules complémentaires Amazon sur les EKS clusters. Les EKS actions récupèrent également les informations relatives aux balises associées à GuardDuty.
-
IAMÀ utiliser pour créer la protection contre les EC2 programmes malveillants Autorisations de rôle liées à un service pour Malware Protection pour EC2 après l'activation de.
-
Utilisez ECS les actions Amazon pour gérer et récupérer des informations sur les ECS clusters Amazon, et gérez les paramètres du ECS compte Amazon avec
guarddutyActivate. Les actions relatives à Amazon récupèrent ECS également les informations relatives aux tags associés à GuardDuty.
Le rôle est configuré avec la stratégie gérée AWS suivante, nommée AmazonGuardDutyServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
Voici la stratégie d'approbation qui est attachée au rôle lié à un service AWSServiceRoleForAmazonGuardDuty :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Pour plus de détails sur les mises à jour AmazonGuardDutyServiceRolePolicy de la politique, consultezGuardDuty mises à jour des politiques AWS gérées. Pour recevoir des alertes automatiques concernant les modifications apportées à cette politique, abonnez-vous au RSS fil d'actualité de la Historique de la documentation page.
Création d'un rôle lié à un service pour GuardDuty
Le rôle AWSServiceRoleForAmazonGuardDuty lié au service est automatiquement créé lorsque vous l'activez GuardDuty pour la première fois ou lorsque vous l'activez GuardDuty dans une région prise en charge où il n'était pas activé auparavant. Vous pouvez également créer le rôle lié à un service manuellement à l'aide de la IAM console, du AWS CLI, ou du. IAM API
Important
Le rôle lié au service créé pour le compte d'administrateur GuardDuty délégué ne s'applique pas aux comptes des membres GuardDuty .
Vous devez configurer les autorisations pour autoriser un IAM principal (tel qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle AWSServiceRoleForAmazonGuardDuty lié au service soit correctement créé, le IAM principal GuardDuty avec lequel vous l'utilisez doit disposer des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
Note
Remplacez l'échantillon account ID dans l'exemple suivant avec votre identifiant de AWS compte réel.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Pour plus d'informations sur la création manuelle du rôle, voir Création d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
Modification d'un rôle lié à un service pour GuardDuty
GuardDuty ne vous permet pas de modifier le rôle AWSServiceRoleForAmazonGuardDuty lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
Supprimer un rôle lié à un service pour GuardDuty
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
Important
Si vous avez activé la protection contre les programmes malveillants pourEC2, la suppression AWSServiceRoleForAmazonGuardDuty n'est pas automatiquement suppriméeAWSServiceRoleForAmazonGuardDutyMalwareProtection. Si vous souhaitez effectuer une suppressionAWSServiceRoleForAmazonGuardDutyMalwareProtection, consultez la section Suppression d'un rôle lié à un service pour Malware Protection for. EC2
Vous devez d'abord GuardDuty le désactiver dans toutes les régions où il est activé afin de supprimer leAWSServiceRoleForAmazonGuardDuty. Si le GuardDuty service n'est pas désactivé lorsque vous essayez de supprimer le rôle lié au service, la suppression échoue. Pour de plus amples informations, veuillez consulter Suspension ou désactivation GuardDuty.
Lorsque vous le désactivez GuardDuty, le AWSServiceRoleForAmazonGuardDuty fichier n'est pas supprimé automatiquement. Si vous GuardDuty réactivez, il commencera à utiliser l'existantAWSServiceRoleForAmazonGuardDuty.
Pour supprimer manuellement le rôle lié à un service à l'aide de IAM
Utilisez la IAM console AWS CLI, le ou le IAM API pour supprimer le rôle AWSServiceRoleForAmazonGuardDuty lié au service. Pour plus d'informations, voir Supprimer un rôle lié à un service dans le Guide de l'IAMutilisateur.
Soutenu Régions AWS
Amazon GuardDuty prend en charge l'utilisation du rôle AWSServiceRoleForAmazonGuardDuty lié au service dans tous les Régions AWS endroits où cela GuardDuty est disponible. Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section GuardDuty Points de terminaison et quotas Amazon dans le Référence générale d'Amazon Web Services.
