Creazione di un ruolo collegato al servizio per Malware Protection for EC2 Modifica di un ruolo collegato al servizio per Malware Protection for EC2 Eliminazione di un ruolo collegato al servizio per Malware Protection for EC2 Supportato Regioni AWS

Autorizzazioni di ruolo collegate al servizio per Malware Protection for EC2

Malware Protection for EC2 utilizza il ruolo collegato al servizio () denominato. SLR AWSServiceRoleForAmazonGuardDutyMalwareProtection Ciò SLR consente a Malware Protection for EC2 di eseguire scansioni senza agenti per rilevare malware nel tuo account. GuardDuty Consente di GuardDuty creare un'istantanea di EBS volume nell'account e condividerla con l'account del servizio. GuardDuty Dopo aver GuardDuty valutato l'istantanea, include i metadati del carico di lavoro dell'EC2istanza e del contenitore recuperati in Malware Protection for findings. EC2 Ai fini dell'assunzione del ruolo AWSServiceRoleForAmazonGuardDutyMalwareProtection, il ruolo collegato ai servizi malware-protection---guardduty.amazonaws.com.rproxy.goskope.comconsidera attendibile il servizio.

Le politiche di autorizzazione per questo ruolo aiutano Malware Protection for EC2 a svolgere le seguenti attività:

Usa le azioni di Amazon Elastic Compute Cloud (AmazonEC2) per recuperare informazioni su EC2 istanze, volumi e istantanee Amazon. Malware Protection for fornisce EC2 anche l'autorizzazione per accedere ai metadati Amazon EKS e Amazon ECS cluster.
Crea istantanee per i EBS volumi il cui GuardDutyExcluded tag non è impostato su. true Per impostazione predefinita, gli snapshot vengono creati con un tag GuardDutyScanId. Non rimuovere questo tag, altrimenti Malware Protection for non EC2 avrà accesso alle istantanee.

Importante
Se lo GuardDutyExcluded imposti sutrue, il GuardDuty servizio non sarà in grado di accedere a queste istantanee in futuro. Questo perché le altre istruzioni di questo ruolo collegato al servizio GuardDuty impediscono di eseguire qualsiasi azione sulle istantanee impostate su. GuardDutyExcluded true
Consenti la condivisione e l'eliminazione degli snapshot solo se il tag GuardDutyScanId esiste e se il tag GuardDutyExcluded non è impostato su true.

Nota
Non consente a Malware Protection di EC2 rendere pubbliche le istantanee.
Accedi alle chiavi gestite dal cliente, ad eccezione di quelle con un GuardDutyExcluded tag impostato sutrue, da chiamare CreateGrant per creare e accedere a un EBS volume crittografato dall'istantanea crittografata che viene condivisa con l'account del GuardDuty servizio. Per un elenco degli account di GuardDuty servizio per ogni regione, vedereGuardDuty account di servizio di Regione AWS.
Accedi ai CloudWatch log dei clienti per creare il gruppo di EC2 log Malware Protection for e inserisci i registri degli eventi di scansione antimalware nel /aws/guardduty/malware-scan-events gruppo di log.
Consenti al cliente di decidere se conservare nel proprio account gli snapshot su cui è stato rilevato il malware. Se la scansione rileva malware, il ruolo collegato al servizio consente di aggiungere due tag GuardDuty alle istantanee: e. GuardDutyFindingDetected GuardDutyExcluded

Nota
Il tag GuardDutyFindingDetected specifica che gli snapshot contengono malware.
Determina se un volume è crittografato con una chiave gestita. EBS GuardDuty esegue l'DescribeKeyazione per determinare key Id la chiave EBS gestita nel tuo account.
Recupera l'istantanea dei EBS volumi crittografati utilizzando Chiave gestita da AWS, dal tuo Account AWS e copiala su. GuardDuty account di servizio A tal fine, utilizziamo le autorizzazioni GetSnapshotBlock e. ListSnapshotBlocks GuardDuty eseguirà quindi la scansione dell'istantanea nell'account del servizio. Attualmente, la protezione da malware per il EC2 supporto alla scansione di EBS volumi crittografati con Chiave gestita da AWS potrebbe non essere disponibile in tutti i. Regioni AWS Per ulteriori informazioni, consulta Disponibilità di funzionalità specifiche per ogni regione.
Consenti EC2 ad Amazon di effettuare una chiamata per AWS KMS conto di Malware Protection EC2 per eseguire diverse azioni crittografiche sulle chiavi gestite dal cliente. Operazioni come kms:ReEncryptTo e kms:ReEncryptFrom sono necessarie per condividere gli snapshot crittografati con le chiavi gestite dal cliente. Sono accessibili solo le chiavi per le quali il tag GuardDutyExcluded non è impostato su true.

Il ruolo è configurato con le seguenti policy gestite da AWS, denominate AmazonGuardDutyMalwareProtectionServiceRolePolicy.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DescribeAndListPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ecs:ListClusters",
                "ecs:ListContainerInstances",
                "ecs:ListTasks",
                "ecs:DescribeTasks",
                "eks:DescribeCluster"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateSnapshotVolumeConditionalStatement",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshot",
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "CreateSnapshotConditionalStatement",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshot",
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyScanId"
                }
            }
        },
        {
            "Sid": "CreateTagsPermission",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:*/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateSnapshot"
                }
            }
        },
        {
            "Sid": "AddTagsToSnapshotPermission",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GuardDutyScanId": "*"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "GuardDutyExcluded",
                        "GuardDutyFindingDetected"
                    ]
                }
            }
        },
        {
            "Sid": "DeleteAndShareSnapshotPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteSnapshot",
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GuardDutyScanId": "*"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "PreventPublicAccessToSnapshotPermission",
            "Effect": "Deny",
            "Action": [
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:Add/group": "all"
                }
            }
        },
        {
            "Sid": "CreateGrantPermission",
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:ebs:id": "snap-*"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Decrypt",
                        "CreateGrant",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "RetireGrant",
                        "DescribeKey"
                    ]
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Sid": "ShareSnapshotKMSPermission",
            "Effect": "Allow",
            "Action": [
                "kms:ReEncryptTo",
                "kms:ReEncryptFrom"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "ec2.*.amazonaws.com"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "DescribeKeyPermission",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Sid": "GuardDutyLogGroupPermission",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups",
                "logs:CreateLogGroup",
                "logs:PutRetentionPolicy"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*"
        },
        {
            "Sid": "GuardDutyLogStreamPermission",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*"
        },
        {
            "Sid": "EBSDirectAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:GetSnapshotBlock",
                "ebs:ListSnapshotBlocks"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/GuardDutyScanId": "*"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        }
    ]
}

La policy di attendibilità seguente è associata al ruolo collegato ai servizi AWSServiceRoleForAmazonGuardDutyMalwareProtection:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Creazione di un ruolo collegato al servizio per Malware Protection for EC2

Il ruolo AWSServiceRoleForAmazonGuardDutyMalwareProtection collegato al servizio viene creato automaticamente quando abiliti Malware Protection EC2 per la prima volta o abiliti Malware Protection per EC2 in una regione supportata in cui in precedenza non era abilitata. Puoi anche creare il ruolo AWSServiceRoleForAmazonGuardDutyMalwareProtection collegato al servizio manualmente utilizzando la IAM console, il, o il IAMCLI. IAM API

Nota

Per impostazione predefinita, se sei un nuovo utente di Amazon GuardDuty, Malware Protection for EC2 è abilitato automaticamente.

Importante

Il ruolo collegato al servizio creato per l'account GuardDuty amministratore delegato non si applica agli account dei membri. GuardDuty

È necessario configurare le autorizzazioni per consentire a un IAM responsabile (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. AWSServiceRoleForAmazonGuardDutyMalwareProtectionAffinché il ruolo collegato al servizio venga creato correttamente, l'IAMidentità con cui viene utilizzato deve disporre delle autorizzazioni GuardDuty richieste. Per concedere le autorizzazioni richieste, collega la seguente policy gestita a questo utente, gruppo o ruolo .


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        }
    ]
}

Per ulteriori informazioni sulla creazione manuale del ruolo, vedere Creazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Modifica di un ruolo collegato al servizio per Malware Protection for EC2

Malware Protection for EC2 non consente di modificare il ruolo collegato al AWSServiceRoleForAmazonGuardDutyMalwareProtection servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.

Eliminazione di un ruolo collegato al servizio per Malware Protection for EC2

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.

Importante

Per eliminare ilAWSServiceRoleForAmazonGuardDutyMalwareProtection, devi prima disabilitare Malware Protection for EC2 in tutte le regioni in cui è abilitato.

Se Malware Protection for EC2 non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione avrà esito negativo. Per ulteriori informazioni, consulta Per abilitare o disabilitare la scansione GuardDuty antimalware avviata.

Quando si sceglie Disattiva per interrompere il servizio Malware Protection for, il EC2 servizio non AWSServiceRoleForAmazonGuardDutyMalwareProtection viene eliminato automaticamente. Se poi scegli Abilita per avviare nuovamente il EC2 servizio Malware Protection for, GuardDuty inizierà a utilizzare il servizio esistenteAWSServiceRoleForAmazonGuardDutyMalwareProtection.

Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM

Usa la IAM console AWS CLI, o il IAM API per eliminare il ruolo collegato al AWSServiceRoleForAmazonGuardDutyMalwareProtection servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Supportato Regioni AWS

Amazon GuardDuty supporta l'utilizzo del ruolo AWSServiceRoleForAmazonGuardDutyMalwareProtection collegato al servizio in tutti i Regioni AWS casi in cui EC2 è disponibile Malware Protection for.

Per un elenco delle regioni in cui GuardDuty è attualmente disponibile, consulta gli GuardDuty endpoint e le quote di Amazon nel. Riferimenti generali di Amazon Web Services

Nota

Malware Protection for non EC2 è attualmente disponibile negli AWS GovCloud Stati Uniti orientali e AWS GovCloud negli Stati Uniti occidentali.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazioni di ruolo collegate ai servizi per GuardDuty

AWS politiche gestite