AWS politiche gestite per Amazon GuardDuty - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Amazon GuardDuty

Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. Ci vogliono tempo ed esperienza per creare politiche gestite dai IAM clienti che forniscano al team solo le autorizzazioni di cui ha bisogno. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d'uso comuni e sono disponibili nel tuo Account AWS. Per ulteriori informazioni sulle politiche AWS gestite, consulta le politiche AWS gestite nella Guida IAM per l'utente.

AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.

Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e le descrizioni delle politiche relative alle funzioni lavorative, consulta le politiche AWS gestite per le funzioni lavorative nella Guida per l'utente. IAM

L'elemento della policy Version specifica le regole sintattiche di linguaggio che devono essere utilizzate per elaborare una policy. Le seguenti politiche includono la versione corrente che IAM supporta. Per ulteriori informazioni, vedere Elementi IAM JSON della politica: Versione.

AWS politica gestita: AmazonGuardDutyFullAccess

Puoi allegare la AmazonGuardDutyFullAccess politica alle tue IAM identità.

Questa politica concede autorizzazioni amministrative che consentono a un utente l'accesso completo a tutte le azioni. GuardDuty

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • GuardDuty— Consente agli utenti l'accesso completo a tutte le GuardDuty azioni.

  • IAM:

    • Consente agli utenti di creare il ruolo GuardDuty collegato al servizio.

    • Consente a un account amministratore di abilitare gli account GuardDuty dei membri.

    • Consente agli utenti di passare un ruolo GuardDuty che utilizza questo ruolo per abilitare la funzionalità GuardDuty Malware Protection for S3. Questo indipendentemente dal modo in cui abiliti Malware Protection for S3, all'interno del GuardDuty servizio o in modo indipendente.

  • Organizations— Consente agli utenti di designare un amministratore delegato e gestire i membri di un'organizzazione. GuardDuty

L'autorizzazione a eseguire un'iam:GetRoleazione AWSServiceRoleForAmazonGuardDutyMalwareProtection stabilisce se il ruolo collegato al servizio (SLR) per Malware Protection for EC2 esiste in un account.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }

AWS politica gestita: AmazonGuardDutyReadOnlyAccess

Puoi allegare la AmazonGuardDutyReadOnlyAccess politica alle tue IAM identità.

Questa politica concede autorizzazioni di sola lettura che consentono a un utente di visualizzare i GuardDuty risultati e i dettagli dell'organizzazione. GuardDuty

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • GuardDuty— Consente agli utenti di visualizzare GuardDuty i risultati ed eseguire API operazioni che iniziano conGet, o. List Describe

  • Organizations— Consente agli utenti di recuperare informazioni sulla configurazione GuardDuty dell'organizzazione, inclusi i dettagli dell'account amministratore delegato.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }

AWS politica gestita: AmazonGuardDutyServiceRolePolicy

Non puoi collegarti AmazonGuardDutyServiceRolePolicy alle tue IAM entità. Questa policy AWS gestita è associata a un ruolo collegato al servizio che consente di eseguire azioni GuardDuty per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni di ruolo collegate ai servizi per GuardDuty.

GuardDuty aggiornamenti alle politiche gestite AWS

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite GuardDuty da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia dei GuardDuty documenti.

Modifica Descrizione Data

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

È stata aggiunta l'ec2:DescribeVpcsautorizzazione. Ciò consente di GuardDuty tenere traccia VPC degli aggiornamenti, come il recupero di. VPC CIDR

22 agosto 2024

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

È stata aggiunta l'autorizzazione che consente di assegnare un IAM ruolo GuardDuty all'attivazione di Malware Protection for S3.

{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }
10 giugno 2024

AmazonGuardDutyServiceRolePolicy: aggiorna a una policy esistente.

Usa AWS Systems Manager le azioni per gestire SSM le associazioni sulle EC2 istanze Amazon quando abiliti il monitoraggio del GuardDuty runtime con agente automatizzato per AmazonEC2. Quando la configurazione GuardDuty automatica degli agenti è disabilitata, GuardDuty considera solo le EC2 istanze che hanno un tag di inclusione (GuardDutyManaged:true).

26 marzo 2024

AmazonGuardDutyServiceRolePolicy: aggiorna a una policy esistente.

GuardDuty ha aggiunto una nuova autorizzazione: organization:DescribeOrganization recuperare l'ID dell'organizzazione dell'VPCaccount Amazon condiviso e impostare la politica degli VPC endpoint di Amazon con l'ID dell'organizzazione.

9 febbraio 2024

AmazonGuardDutyMalwareProtectionServiceRolePolicy: aggiorna a una policy esistente.

Malware Protection for EC2 ha aggiunto due autorizzazioni: GetSnapshotBlock quella di ListSnapshotBlocks recuperare l'istantanea di un EBS volume (tramite crittografia Chiave gestita da AWS) dall'utente Account AWS e copiarla sull'account del GuardDuty servizio prima di avviare la scansione antimalware.

25 gennaio 2024

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

Sono state aggiunte nuove autorizzazioni GuardDuty per consentire di aggiungere impostazioni ECS dell'account guarddutyActivate Amazon ed eseguire operazioni di elenco e descrizione sui ECS cluster Amazon.

26 novembre 2023

AmazonGuardDutyReadOnlyAccess: aggiornamento a una policy esistente

GuardDuty ha aggiunto una nuova politica organizations per. ListAccounts

16 novembre 2023

AmazonGuardDutyFullAccess: aggiornamento a una policy esistente

GuardDuty ha aggiunto una nuova politica organizations perListAccounts.

16 novembre 2023

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

GuardDuty ha aggiunto nuove autorizzazioni per supportare la prossima funzionalità GuardDuty EKS di monitoraggio del runtime.

8 marzo 2023

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

GuardDuty ha aggiunto nuove autorizzazioni per consentire la creazione di un ruolo collegato GuardDuty al servizio per Malware Protection for. EC2 Ciò contribuirà a GuardDuty semplificare il processo di attivazione di Malware Protection for. EC2

GuardDuty ora può eseguire la seguente IAM azione:

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }
21 febbraio 2023

AmazonGuardDutyFullAccess: aggiornamento a una policy esistente

GuardDuty aggiornato ARN iam:GetRole per*AWSServiceRoleForAmazonGuardDutyMalwareProtection.

26 luglio 2022

AmazonGuardDutyFullAccess: aggiornamento a una policy esistente

GuardDuty ha aggiunto un nuovo AWSServiceName per consentire la creazione di ruoli collegati al servizio utilizzando iam:CreateServiceLinkedRole for GuardDuty Malware Protection for EC2 service.

GuardDuty ora può eseguire l'iam:GetRoleazione per ottenere informazioni per. AWSServiceRole

26 luglio 2022

AmazonGuardDutyServiceRolePolicy: aggiornamento a una policy esistente

GuardDuty ha aggiunto nuove autorizzazioni per consentire di GuardDuty utilizzare le azioni EC2 di rete di Amazon per migliorare i risultati.

GuardDuty ora puoi eseguire le seguenti EC2 azioni per ottenere informazioni sul modo in cui le tue EC2 istanze comunicano. Queste informazioni vengono utilizzate per migliorare la precisione degli esiti.

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

3 agosto 2021

GuardDuty ha iniziato a tenere traccia delle modifiche

GuardDuty ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.

3 agosto 2021