Izin peran terkait layanan untuk Perlindungan Malware untuk EC2 - Amazon GuardDuty
Membuat peran terkait layanan untuk Perlindungan Malware untuk EC2Mengedit peran terkait layanan untuk Perlindungan Malware untuk EC2Menghapus peran terkait layanan untuk Perlindungan Malware untuk EC2Didukung Wilayah AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin peran terkait layanan untuk Perlindungan Malware untuk EC2

Perlindungan Malware untuk EC2 menggunakan peran terkait layanan (SLR) bernama. AWSServiceRoleForAmazonGuardDutyMalwareProtection Hal ini SLR memungkinkan Perlindungan Malware EC2 untuk melakukan pemindaian tanpa agen untuk mendeteksi malware di akun Anda. GuardDuty Ini memungkinkan GuardDuty untuk membuat snapshot EBS volume di akun Anda, dan berbagi snapshot itu dengan akun GuardDuty layanan. Setelah GuardDuty mengevaluasi snapshot, itu termasuk EC2 instance yang diambil dan metadata beban kerja kontainer dalam Perlindungan Malware untuk temuan. EC2 Peran terkait layanan AWSServiceRoleForAmazonGuardDutyMalwareProtection memercayai layanan malware-protection.guardduty.amazonaws.com untuk menjalankan peran.

Kebijakan izin untuk peran ini membantu Perlindungan Malware EC2 untuk melakukan tugas-tugas berikut:

  • Gunakan tindakan Amazon Elastic Compute Cloud (AmazonEC2) untuk mengambil informasi tentang EC2 instans, volume, dan snapshot Amazon Anda. Perlindungan Malware untuk EC2 juga memberikan izin untuk mengakses metadata ECS cluster Amazon EKS dan Amazon.

  • Buat snapshot untuk EBS volume yang GuardDutyExcluded tag tidak disetel. true Secara default, snapshot dibuat dengan GuardDutyScanId tag. Jangan hapus tag ini, jika tidak, Perlindungan Malware for tidak EC2 akan memiliki akses ke snapshot.

    penting

    Saat Anda menyetel GuardDutyExcluded ketrue, GuardDuty layanan tidak akan dapat mengakses snapshot ini di masa mendatang. Ini karena pernyataan lain dalam peran terkait layanan ini GuardDuty mencegah melakukan tindakan apa pun pada snapshot yang disetel keGuardDutyExcluded. true

  • Izinkan berbagi dan menghapus snapshot hanya jika GuardDutyScanId tag ada dan GuardDutyExcluded tag tidak disetel ke. true

    catatan

    Tidak mengizinkan Perlindungan Malware EC2 untuk membuat snapshot publik.

  • Akses kunci terkelola pelanggan, kecuali yang memiliki GuardDutyExcluded tag yang disetel ketrue, untuk memanggil CreateGrant untuk membuat dan mengakses EBS volume terenkripsi dari snapshot terenkripsi yang akan dibagikan dengan akun layanan. GuardDuty Untuk daftar akun GuardDuty layanan untuk setiap Wilayah, lihatGuardDuty akun layanan oleh Wilayah AWS.

  • Akses CloudWatch log pelanggan untuk membuat Perlindungan Malware untuk grup EC2 log serta menempatkan log peristiwa pemindaian malware di bawah grup /aws/guardduty/malware-scan-events log.

  • Izinkan pelanggan untuk memutuskan apakah mereka ingin menyimpan snapshot di mana malware terdeteksi, di akun mereka. Jika pemindaian mendeteksi malware, peran terkait layanan memungkinkan GuardDuty untuk menambahkan dua tag ke snapshot - dan. GuardDutyFindingDetected GuardDutyExcluded

    catatan

    GuardDutyFindingDetectedTag menentukan bahwa snapshot berisi malware.

  • Tentukan apakah volume dienkripsi dengan kunci EBS terkelola. GuardDuty melakukan DescribeKey tindakan untuk menentukan key Id kunci EBS -managed di akun Anda.

  • Ambil snapshot dari EBS volume yang dienkripsi menggunakan Kunci yang dikelola AWS, dari Anda Akun AWS dan salin ke file. GuardDuty akun layanan Untuk tujuan ini, kami menggunakan izin GetSnapshotBlock danListSnapshotBlocks. GuardDuty kemudian akan memindai snapshot di akun layanan. Saat ini, Perlindungan Malware untuk EC2 dukungan untuk memindai EBS volume yang dienkripsi Kunci yang dikelola AWS mungkin tidak tersedia di semua. Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan fitur khusus wilayah.

  • Izinkan Amazon EC2 menelepon AWS KMS atas nama Perlindungan Malware EC2 untuk melakukan beberapa tindakan kriptografi pada kunci yang dikelola pelanggan. Tindakan seperti kms:ReEncryptTo dan kms:ReEncryptFrom diperlukan untuk berbagi snapshot yang dienkripsi dengan kunci yang dikelola pelanggan. Hanya kunci tersebut yang dapat diakses yang GuardDutyExcluded tag tidak diseteltrue.

Peran dikonfigurasi dengan kebijakan AWS terkelola berikut, bernamaAmazonGuardDutyMalwareProtectionServiceRolePolicy.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DescribeAndListPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ecs:ListClusters",
                "ecs:ListContainerInstances",
                "ecs:ListTasks",
                "ecs:DescribeTasks",
                "eks:DescribeCluster"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateSnapshotVolumeConditionalStatement",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshot",
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "CreateSnapshotConditionalStatement",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshot",
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyScanId"
                }
            }
        },
        {
            "Sid": "CreateTagsPermission",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:*/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateSnapshot"
                }
            }
        },
        {
            "Sid": "AddTagsToSnapshotPermission",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GuardDutyScanId": "*"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "GuardDutyExcluded",
                        "GuardDutyFindingDetected"
                    ]
                }
            }
        },
        {
            "Sid": "DeleteAndShareSnapshotPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteSnapshot",
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GuardDutyScanId": "*"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "PreventPublicAccessToSnapshotPermission",
            "Effect": "Deny",
            "Action": [
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:Add/group": "all"
                }
            }
        },
        {
            "Sid": "CreateGrantPermission",
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:ebs:id": "snap-*"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Decrypt",
                        "CreateGrant",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "RetireGrant",
                        "DescribeKey"
                    ]
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Sid": "ShareSnapshotKMSPermission",
            "Effect": "Allow",
            "Action": [
                "kms:ReEncryptTo",
                "kms:ReEncryptFrom"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "ec2.*.amazonaws.com"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "DescribeKeyPermission",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Sid": "GuardDutyLogGroupPermission",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups",
                "logs:CreateLogGroup",
                "logs:PutRetentionPolicy"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*"
        },
        {
            "Sid": "GuardDutyLogStreamPermission",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*"
        },
        {
            "Sid": "EBSDirectAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:GetSnapshotBlock",
                "ebs:ListSnapshotBlocks"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/GuardDutyScanId": "*"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        }
    ]
}

Kebijakan kepercayaan berikut dilampirkan pada peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Membuat peran terkait layanan untuk Perlindungan Malware untuk EC2

Peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan dibuat secara otomatis saat Anda mengaktifkan Perlindungan Malware EC2 untuk pertama kalinya atau mengaktifkan Perlindungan Malware di Wilayah yang didukung EC2 di mana Anda sebelumnya tidak mengaktifkannya. Anda juga dapat membuat peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan secara manual menggunakan IAM konsol, file IAMCLI, atau. IAM API

catatan

Secara default, jika Anda baru mengenal Amazon GuardDuty, Perlindungan Malware untuk EC2 diaktifkan secara otomatis.

penting

Peran terkait layanan yang dibuat untuk akun GuardDuty administrator yang didelegasikan tidak berlaku untuk akun anggota. GuardDuty

Anda harus mengonfigurasi izin agar IAM prinsipal (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Agar peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan berhasil dibuat, IAM identitas yang Anda gunakan harus memiliki GuardDuty izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut ke pengguna, grup, atau peran ini: 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        }
    ]
}

Untuk informasi selengkapnya tentang membuat peran secara manual, lihat Membuat peran terkait layanan di IAMPanduan Pengguna.

Mengedit peran terkait layanan untuk Perlindungan Malware untuk EC2

Perlindungan Malware for EC2 tidak memungkinkan Anda mengedit peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit peran terkait layanan di IAMPanduan Pengguna.

Menghapus peran terkait layanan untuk Perlindungan Malware untuk EC2

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dikelola secara aktif.

penting

Untuk menghapusAWSServiceRoleForAmazonGuardDutyMalwareProtection, Anda harus terlebih dahulu menonaktifkan Perlindungan Malware untuk EC2 di semua Wilayah di mana ia diaktifkan.

Jika Perlindungan Malware untuk EC2 tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal. Untuk informasi selengkapnya, lihat Untuk mengaktifkan atau menonaktifkan GuardDuty pemindaian malware yang dimulai.

Ketika Anda memilih Nonaktifkan untuk menghentikan Perlindungan Malware untuk EC2 layanan, AWSServiceRoleForAmazonGuardDutyMalwareProtection tidak dihapus secara otomatis. Jika Anda kemudian memilih Aktifkan untuk memulai Perlindungan Malware untuk EC2 layanan lagi, GuardDuty akan mulai menggunakan yang adaAWSServiceRoleForAmazonGuardDutyMalwareProtection.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan IAM konsol, AWS CLI, atau IAM API untuk menghapus peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan. Untuk informasi selengkapnya, lihat Menghapus peran terkait layanan di Panduan Pengguna. IAM

Didukung Wilayah AWS

Amazon GuardDuty mendukung penggunaan peran AWSServiceRoleForAmazonGuardDutyMalwareProtection terkait layanan di semua Wilayah AWS tempat Perlindungan Malware EC2 tersedia.

Untuk daftar Wilayah yang saat ini GuardDuty tersedia, lihat GuardDuty titik akhir dan kuota Amazon di. Referensi Umum Amazon Web

catatan

Perlindungan Malware untuk saat EC2 ini tidak tersedia di AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat).