Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin peran terkait layanan untuk Perlindungan Malware untuk EC2
Perlindungan Malware untuk EC2 menggunakan peran terkait layanan (SLR) bernama. AWSServiceRoleForAmazonGuardDutyMalwareProtection
Hal ini SLR memungkinkan Perlindungan Malware EC2 untuk melakukan pemindaian tanpa agen untuk mendeteksi malware di akun Anda. GuardDuty Ini memungkinkan GuardDuty untuk membuat snapshot EBS volume di akun Anda, dan berbagi snapshot itu dengan akun GuardDuty layanan. Setelah GuardDuty mengevaluasi snapshot, itu termasuk EC2 instance yang diambil dan metadata beban kerja kontainer dalam Perlindungan Malware untuk temuan. EC2 Peran terkait layanan AWSServiceRoleForAmazonGuardDutyMalwareProtection
memercayai layanan malware-protection.guardduty.amazonaws.com
untuk menjalankan peran.
Kebijakan izin untuk peran ini membantu Perlindungan Malware EC2 untuk melakukan tugas-tugas berikut:
-
Gunakan tindakan Amazon Elastic Compute Cloud (AmazonEC2) untuk mengambil informasi tentang EC2 instans, volume, dan snapshot Amazon Anda. Perlindungan Malware untuk EC2 juga memberikan izin untuk mengakses metadata ECS cluster Amazon EKS dan Amazon.
-
Buat snapshot untuk EBS volume yang
GuardDutyExcluded
tag tidak disetel.true
Secara default, snapshot dibuat denganGuardDutyScanId
tag. Jangan hapus tag ini, jika tidak, Perlindungan Malware for tidak EC2 akan memiliki akses ke snapshot.penting
Saat Anda menyetel
GuardDutyExcluded
ketrue
, GuardDuty layanan tidak akan dapat mengakses snapshot ini di masa mendatang. Ini karena pernyataan lain dalam peran terkait layanan ini GuardDuty mencegah melakukan tindakan apa pun pada snapshot yang disetel keGuardDutyExcluded
.true
-
Izinkan berbagi dan menghapus snapshot hanya jika
GuardDutyScanId
tag ada danGuardDutyExcluded
tag tidak disetel ke.true
catatan
Tidak mengizinkan Perlindungan Malware EC2 untuk membuat snapshot publik.
-
Akses kunci terkelola pelanggan, kecuali yang memiliki
GuardDutyExcluded
tag yang disetel ketrue
, untuk memanggilCreateGrant
untuk membuat dan mengakses EBS volume terenkripsi dari snapshot terenkripsi yang akan dibagikan dengan akun layanan. GuardDuty Untuk daftar akun GuardDuty layanan untuk setiap Wilayah, lihatGuardDuty akun layanan oleh Wilayah AWS. -
Akses CloudWatch log pelanggan untuk membuat Perlindungan Malware untuk grup EC2 log serta menempatkan log peristiwa pemindaian malware di bawah grup
/aws/guardduty/malware-scan-events
log. -
Izinkan pelanggan untuk memutuskan apakah mereka ingin menyimpan snapshot di mana malware terdeteksi, di akun mereka. Jika pemindaian mendeteksi malware, peran terkait layanan memungkinkan GuardDuty untuk menambahkan dua tag ke snapshot - dan.
GuardDutyFindingDetected
GuardDutyExcluded
catatan
GuardDutyFindingDetected
Tag menentukan bahwa snapshot berisi malware. -
Tentukan apakah volume dienkripsi dengan kunci EBS terkelola. GuardDuty melakukan
DescribeKey
tindakan untuk menentukankey Id
kunci EBS -managed di akun Anda. -
Ambil snapshot dari EBS volume yang dienkripsi menggunakan Kunci yang dikelola AWS, dari Anda Akun AWS dan salin ke file. GuardDuty akun layanan Untuk tujuan ini, kami menggunakan izin
GetSnapshotBlock
danListSnapshotBlocks
. GuardDuty kemudian akan memindai snapshot di akun layanan. Saat ini, Perlindungan Malware untuk EC2 dukungan untuk memindai EBS volume yang dienkripsi Kunci yang dikelola AWS mungkin tidak tersedia di semua. Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan fitur khusus wilayah. -
Izinkan Amazon EC2 menelepon AWS KMS atas nama Perlindungan Malware EC2 untuk melakukan beberapa tindakan kriptografi pada kunci yang dikelola pelanggan. Tindakan seperti
kms:ReEncryptTo
dankms:ReEncryptFrom
diperlukan untuk berbagi snapshot yang dienkripsi dengan kunci yang dikelola pelanggan. Hanya kunci tersebut yang dapat diakses yangGuardDutyExcluded
tag tidak diseteltrue
.
Peran dikonfigurasi dengan kebijakan AWS terkelola berikut, bernamaAmazonGuardDutyMalwareProtectionServiceRolePolicy
.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
Kebijakan kepercayaan berikut dilampirkan pada peran AWSServiceRoleForAmazonGuardDutyMalwareProtection
terkait layanan:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Membuat peran terkait layanan untuk Perlindungan Malware untuk EC2
Peran AWSServiceRoleForAmazonGuardDutyMalwareProtection
terkait layanan dibuat secara otomatis saat Anda mengaktifkan Perlindungan Malware EC2 untuk pertama kalinya atau mengaktifkan Perlindungan Malware di Wilayah yang didukung EC2 di mana Anda sebelumnya tidak mengaktifkannya. Anda juga dapat membuat peran AWSServiceRoleForAmazonGuardDutyMalwareProtection
terkait layanan secara manual menggunakan IAM konsol, file IAMCLI, atau. IAM API
catatan
Secara default, jika Anda baru mengenal Amazon GuardDuty, Perlindungan Malware untuk EC2 diaktifkan secara otomatis.
penting
Peran terkait layanan yang dibuat untuk akun GuardDuty administrator yang didelegasikan tidak berlaku untuk akun anggota. GuardDuty
Anda harus mengonfigurasi izin agar IAM prinsipal (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Agar peran AWSServiceRoleForAmazonGuardDutyMalwareProtection
terkait layanan berhasil dibuat, IAM identitas yang Anda gunakan harus memiliki GuardDuty izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut ke pengguna, grup, atau peran ini:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Untuk informasi selengkapnya tentang membuat peran secara manual, lihat Membuat peran terkait layanan di IAMPanduan Pengguna.
Mengedit peran terkait layanan untuk Perlindungan Malware untuk EC2
Perlindungan Malware for EC2 tidak memungkinkan Anda mengedit peran AWSServiceRoleForAmazonGuardDutyMalwareProtection
terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit peran terkait layanan di IAMPanduan Pengguna.
Menghapus peran terkait layanan untuk Perlindungan Malware untuk EC2
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dikelola secara aktif.
penting
Untuk menghapusAWSServiceRoleForAmazonGuardDutyMalwareProtection
, Anda harus terlebih dahulu menonaktifkan Perlindungan Malware untuk EC2 di semua Wilayah di mana ia diaktifkan.
Jika Perlindungan Malware untuk EC2 tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal. Untuk informasi selengkapnya, lihat Untuk mengaktifkan atau menonaktifkan GuardDuty pemindaian malware yang dimulai.
Ketika Anda memilih Nonaktifkan untuk menghentikan Perlindungan Malware untuk EC2 layanan, AWSServiceRoleForAmazonGuardDutyMalwareProtection
tidak dihapus secara otomatis. Jika Anda kemudian memilih Aktifkan untuk memulai Perlindungan Malware untuk EC2 layanan lagi, GuardDuty akan mulai menggunakan yang adaAWSServiceRoleForAmazonGuardDutyMalwareProtection
.
Untuk menghapus peran terkait layanan secara manual menggunakan IAM
Gunakan IAM konsol, AWS CLI, atau IAM API untuk menghapus peran AWSServiceRoleForAmazonGuardDutyMalwareProtection
terkait layanan. Untuk informasi selengkapnya, lihat Menghapus peran terkait layanan di Panduan Pengguna. IAM
Didukung Wilayah AWS
Amazon GuardDuty mendukung penggunaan peran AWSServiceRoleForAmazonGuardDutyMalwareProtection
terkait layanan di semua Wilayah AWS tempat Perlindungan Malware EC2 tersedia.
Untuk daftar Wilayah yang saat ini GuardDuty tersedia, lihat GuardDuty titik akhir dan kuota Amazon di. Referensi Umum Amazon Web
catatan
Perlindungan Malware untuk saat EC2 ini tidak tersedia di AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat).