Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon GuardDuty
Amazon GuardDuty (préfixe de service :guardduty) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par Amazon GuardDuty
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AcceptAdministratorInvitation | Accorde l'autorisation d'accepter des invitations pour devenir un compte GuardDuty membre | Écrire | |||
| AcceptInvitation | Accorde l'autorisation d'accepter des invitations pour devenir un compte GuardDuty membre | Écrire | |||
| ArchiveFindings | Autorise l'archivage des GuardDuty résultats | Écrire | |||
| CreateDetector | Accorde l'autorisation de créer un détecteur | Écrire | |||
| CreateFilter | Accorde l'autorisation de créer des GuardDuty filtres. Un filtre définit les attributs et les conditions de résultat utilisés pour filtrer les résultats | Écrire | |||
| CreateIPSet | Accorde l'autorisation de créer un IPSet | Écrire |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
| CreateMalwareProtectionPlan | Autorise la création d'un nouveau plan de protection contre les logiciels malveillants | Écrire | |||
| CreateMembers | Accorde l'autorisation de créer des comptes de GuardDuty membre, le compte utilisé pour créer un membre devenant le compte GuardDuty d'administrateur | Écrire | |||
| CreatePublishingDestination | Accorde l'autorisation de créer une destination de publication | Écriture |
s3:GetObject s3:ListBucket |
||
| CreateSampleFindings | Accorde l'autorisation de créer des exemples de résultats. | Écrire | |||
| CreateThreatIntelSet | Accorde l'autorisation de créer GuardDuty ThreatIntelSets, lorsque a ThreatIntelSet est constitué d'adresses IP malveillantes connues utilisées GuardDuty pour générer des résultats | Écrire | |||
| DeclineInvitations | Accorde l'autorisation de refuser les invitations à devenir un compte GuardDuty membre | Écrire | |||
| DeleteDetector | Autorise la suppression GuardDuty des détecteurs | Écrire | |||
| DeleteFilter | Accorde l'autorisation de supprimer GuardDuty des filtres | Écrire | |||
| DeleteIPSet | Accorde l'autorisation de suppression GuardDuty IPSets | Écrire | |||
| DeleteInvitations | Accorde l'autorisation de supprimer les invitations à devenir un compte GuardDuty membre | Écrire | |||
| DeleteMalwareProtectionPlan | Autorise la suppression d'un plan de protection contre les programmes malveillants | Écrire | |||
| DeleteMembers | Accorde l'autorisation de supprimer les comptes des GuardDuty membres | Écrire | |||
| DeletePublishingDestination | Accorde l'autorisation de supprimer une destination de publication | Écrire | |||
| DeleteThreatIntelSet | Accorde l'autorisation de suppression GuardDuty ThreatIntelSets | Écrire | |||
| DescribeMalwareScans | Accorde l'autorisation de récupérer des informations sur les analyses de logiciels malveillants | Lecture | |||
| DescribeOrganizationConfiguration | Accorde l'autorisation de récupérer des informations sur l'administrateur délégué associé à un GuardDuty détecteur | Lecture | |||
| DescribePublishingDestination | Accorde l'autorisation de récupérer les détails relatifs à une destination de publication | Lecture | |||
| DisableOrganizationAdminAccount | Accorde l'autorisation de désactiver l'administrateur délégué de l'organisation pour GuardDuty | Écrire | |||
| DisassociateFromAdministratorAccount | Accorde l'autorisation de dissocier un compte GuardDuty membre de son compte GuardDuty administrateur | Écrire | |||
| DisassociateFromMasterAccount | Accorde l'autorisation de dissocier un compte GuardDuty membre de son compte GuardDuty administrateur | Écrire | |||
| DisassociateMembers | Accorde l'autorisation de dissocier GuardDuty les comptes des membres de leur compte administrateur GuardDuty | Écrire | |||
| EnableOrganizationAdminAccount | Accorde l'autorisation d'activer l'administrateur délégué d'une organisation pour GuardDuty | Écrire | |||
| GetAdministratorAccount | Accorde l'autorisation de récupérer les détails du compte GuardDuty administrateur associé à un compte membre | Lecture | |||
| GetCoverageStatistics | Accorde l'autorisation de répertorier les statistiques de GuardDuty couverture Amazon pour le GuardDuty compte spécifié dans une région | Lecture | |||
| GetDetector | Donne l'autorisation de récupérer les GuardDuty détecteurs | Lecture | |||
| GetFilter | Accorde l'autorisation de récupérer GuardDuty les filtres | Lecture | |||
| GetFindings | Donne l'autorisation de récupérer les GuardDuty résultats | Lecture | |||
| GetFindingsStatistics | Autorise l'extraction d'une liste de statistiques de GuardDuty recherche | Lecture | |||
| GetIPSet | Accorde l'autorisation de récupérer GuardDuty IPSets | Lecture | |||
| GetInvitationsCount | Accorde l'autorisation de récupérer le nombre de toutes les GuardDuty invitations envoyées à un compte spécifié, ce qui n'inclut pas l'invitation acceptée | Lecture | |||
| GetMalwareProtectionPlan | Autorise à récupérer les détails d'un plan de protection contre les logiciels malveillants | Lecture | |||
| GetMalwareScanSettings | Accorde l'autorisation de récupérer les paramètres de l'analyse des logiciels malveillants | Lecture | |||
| GetMasterAccount | Accorde l'autorisation de récupérer les détails du compte GuardDuty administrateur associé à un compte membre | Lecture | |||
| GetMemberDetectors | Accorde l'autorisation de décrire les sources de données activées pour les détecteurs de comptes membres | Lecture | |||
| GetMembers | Accorde l'autorisation de récupérer les comptes membres associés à un compte d'administrateur | Lecture | |||
| GetOrganizationStatistics | Accorde l'autorisation de récupérer les statistiques de couverture GuardDuty des plans de protection pour les comptes des membres dans une région | Lecture | |||
| GetRemainingFreeTrialDays | Accorde l'autorisation de fournir le nombre de jours restants pour chaque source de données utilisée pendant la période d'essai gratuite | Lecture | |||
| GetThreatIntelSet | Accorde l'autorisation de récupérer GuardDuty ThreatIntelSets | Lecture | |||
| GetUsageStatistics | Autorise à répertorier les statistiques GuardDuty d'utilisation d'Amazon au cours des 30 derniers jours pour l'ID de détecteur spécifié | Lecture | |||
| InviteMembers | Accorde l'autorisation d'inviter d'autres AWS comptes à activer GuardDuty et à devenir des comptes GuardDuty membres | Écrire | |||
| ListCoverage | Accorde l'autorisation de répertorier tous les détails des ressources d'un compte donné dans une région | Liste | |||
| ListDetectors | Autorise la récupération d'une liste de GuardDuty détecteurs | Liste | |||
| ListFilters | Accorde l'autorisation de récupérer une liste de GuardDuty filtres | Liste | |||
| ListFindings | Autorise la récupération d'une liste de GuardDuty résultats | Liste | |||
| ListIPSets | Accorde l'autorisation de récupérer une liste de GuardDuty IPSets | Liste | |||
| ListInvitations | Accorde l'autorisation de récupérer une liste de toutes les invitations GuardDuty d'adhésion envoyées à un Compte AWS | Liste | |||
| ListMalwareProtectionPlans | Autorise la récupération d'une liste de plans de protection contre les programmes malveillants | Liste | |||
| ListMembers | Accorde l'autorisation de récupérer la liste des comptes de GuardDuty membres associés à un compte d'administrateur | Liste | |||
| ListOrganizationAdminAccounts | Accorde l'autorisation de répertorier les informations relatives à l'administrateur délégué de l'organisation pour GuardDuty | Liste | |||
| ListPublishingDestinations | Accorde l'autorisation de récupérer une liste de destinations de publication | Liste | |||
| ListTagsForResource | Accorde l'autorisation de récupérer une liste de balises associées à une GuardDuty ressource | Lecture | |||
| ListThreatIntelSets | Accorde l'autorisation de récupérer une liste de GuardDuty ThreatIntelSets | Liste | |||
| SendSecurityTelemetry | Accorde l'autorisation d'envoyer des données de télémétrie de sécurité pour un GuardDuty compte spécifique dans une région | Écrire | |||
| StartMalwareScan | Accorde l'autorisation de lancer une nouvelle analyse de logiciels malveillants | Écrire | |||
| StartMonitoringMembers | Autorise un compte GuardDuty administrateur à suivre les résultats des comptes des GuardDuty membres | Écrire | |||
| StopMonitoringMembers | Accorde l'autorisation de désactiver les résultats de la surveillance des comptes membres | Écrire | |||
| TagResource | Accorde l'autorisation d'ajouter des balises à une GuardDuty ressource | Identification | |||
| UnarchiveFindings | Accorde l'autorisation de désarchiver les résultats GuardDuty | Écrire | |||
| UntagResource | Accorde l'autorisation de supprimer des balises d'une GuardDuty ressource | Identification | |||
| UpdateDetector | Autorise la mise à jour GuardDuty des détecteurs | Écrire | |||
| UpdateFilter | Accorde l'autorisation de mettre à jour GuardDuty les filtres | Écrire | |||
| UpdateFindingsFeedback | Accorde l'autorisation de mettre à jour les commentaires sur GuardDuty les résultats pour marquer les résultats comme utiles ou non utiles | Écrire | |||
| UpdateIPSet | Accorde l'autorisation de mise à jour GuardDuty IPSets | Écrire |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
| UpdateMalwareProtectionPlan | Autorise la mise à jour du plan de protection contre les logiciels malveillants | Écrire | |||
| UpdateMalwareScanSettings | Accorde l'autorisation de mettre à jour les paramètres de l'analyse des logiciels malveillants | Écrire | |||
| UpdateMemberDetectors | Accorde l'autorisation de mettre à jour les sources de données activées pour les détecteurs de comptes membres | Écrire | |||
| UpdateOrganizationConfiguration | Accorde l'autorisation de mettre à jour la configuration d'administrateur délégué associée à un GuardDuty détecteur | Écrire | |||
| UpdatePublishingDestination | Accorde l'autorisation de mettre à jour une destination de publication | Écrire |
s3:GetObject s3:ListBucket |
||
| UpdateThreatIntelSet | Accorde l'autorisation de mettre à jour le GuardDuty ThreatIntelSets | Écrire |
iam:DeleteRolePolicy iam:PutRolePolicy |
Types de ressources définis par Amazon GuardDuty
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| detector |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}
|
|
| filter |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}
|
|
| ipset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}
|
|
| threatintelset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}
|
|
| publishingDestination |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}
|
|
| malwareprotectionplan |
arn:${Partition}:guardduty:${Region}:${Account}:malware-protection-plan/${MalwareProtectionPlanId}
|
Clés de condition pour Amazon GuardDuty
Amazon GuardDuty définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur de balise dans la requête. | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource. | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification dans une requête | ArrayOfString |
