Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Azioni, risorse e chiavi di condizione per Amazon GuardDuty
Amazon GuardDuty (prefisso del servizio:guardduty) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle IAM politiche di autorizzazione.
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle APIoperazioni disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le politiche di IAM autorizzazione.
Argomenti
Azioni definite da Amazon GuardDuty
È possibile specificare le seguenti azioni nell'Actionelemento di una dichiarazione IAM politica. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una politica, in genere si consente o si nega l'accesso all'APIoperazione o al CLI comando con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, è possibile specificarne uno ARN di quel tipo in un'istruzione con tale azione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'Resourceelemento di una IAM policy, è necessario includere uno schema ARN o per ogni tipo di risorsa richiesto. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AcceptAdministratorInvitation | Concede l'autorizzazione ad accettare gli inviti a diventare un account membro GuardDuty | Scrittura | |||
| AcceptInvitation | Concede l'autorizzazione ad accettare gli inviti a diventare un account membro GuardDuty | Scrittura | |||
| ArchiveFindings | Concede il permesso di archiviare i risultati GuardDuty | Scrittura | |||
| CreateDetector | Concede l'autorizzazione per creare un detector. | Scrittura | |||
| CreateFilter | Concede l'autorizzazione a creare GuardDuty filtri. Un filtro definisce gli attributi e le condizioni di ricerca utilizzati per filtrare i risultati. | Scrittura | |||
| CreateIPSet | Concede l'autorizzazione a creare un IPSet | Scrittura |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
| CreateMalwareProtectionPlan | Concede l'autorizzazione a creare un nuovo piano di protezione da malware | Scrittura | |||
| CreateMembers | Concede l'autorizzazione a creare account GuardDuty membro, in cui l'account utilizzato per creare un membro diventa l' GuardDuty account amministratore | Scrittura | |||
| CreatePublishingDestination | Concede l'autorizzazione per creare una destinazione di pubblicazione. | Write |
s3:GetObject s3:ListBucket |
||
| CreateSampleFindings | Concede l'autorizzazione per creare risultati di esempio | Scrittura | |||
| CreateThreatIntelSet | Concede l'autorizzazione alla creazione GuardDuty ThreatIntelSets, laddove a sia ThreatIntelSet costituito da indirizzi IP malevoli noti utilizzati da GuardDuty per generare risultati | Scrittura | |||
| DeclineInvitations | Concede l'autorizzazione a rifiutare gli inviti a diventare un account membro GuardDuty | Scrittura | |||
| DeleteDetector | Concede l'autorizzazione a eliminare i rilevatori GuardDuty | Scrittura | |||
| DeleteFilter | Concede l'autorizzazione a eliminare i filtri GuardDuty | Scrittura | |||
| DeleteIPSet | Concede l'autorizzazione all'eliminazione GuardDuty IPSets | Scrittura | |||
| DeleteInvitations | Concede l'autorizzazione a eliminare gli inviti a diventare un account membro GuardDuty | Scrittura | |||
| DeleteMalwareProtectionPlan | Concede l'autorizzazione a eliminare un piano di protezione da malware | Scrittura | |||
| DeleteMembers | Concede l'autorizzazione a eliminare gli account dei membri GuardDuty | Scrittura | |||
| DeletePublishingDestination | Concede l'autorizzazione per eliminare una destinazione di pubblicazione. | Scrittura | |||
| DeleteThreatIntelSet | Concede l'autorizzazione all'eliminazione GuardDuty ThreatIntelSets | Scrittura | |||
| DescribeMalwareScans | Concede l'autorizzazione per recuperare i dettagli delle scansioni di malware | Lettura | |||
| DescribeOrganizationConfiguration | Concede l'autorizzazione a recuperare i dettagli sull'amministratore delegato associato a un rilevatore GuardDuty | Lettura | |||
| DescribePublishingDestination | Concede l'autorizzazione per recuperare i dettagli relativi a una destinazione di pubblicazione. | Lettura | |||
| DisableOrganizationAdminAccount | Concede l'autorizzazione a disabilitare l'amministratore delegato dell'organizzazione per GuardDuty | Scrittura | |||
| DisassociateFromAdministratorAccount | Concede l'autorizzazione a dissociare un account GuardDuty membro dal relativo account amministratore GuardDuty | Scrittura | |||
| DisassociateFromMasterAccount | Concede l'autorizzazione a dissociare un account GuardDuty membro dal relativo account amministratore GuardDuty | Scrittura | |||
| DisassociateMembers | Concede l'autorizzazione a dissociare GuardDuty gli account dei membri dal relativo account amministratore GuardDuty | Scrittura | |||
| EnableOrganizationAdminAccount | Concede l'autorizzazione a consentire a un amministratore delegato dell'organizzazione di GuardDuty | Scrittura | |||
| GetAdministratorAccount | Concede l'autorizzazione a recuperare i dettagli dell'account GuardDuty amministratore associato a un account membro | Lettura | |||
| GetCoverageStatistics | Concede l'autorizzazione a pubblicare le statistiche di GuardDuty copertura di Amazon per l' GuardDuty account specificato in una regione | Lettura | |||
| GetDetector | Concede l'autorizzazione a recuperare i rilevatori GuardDuty | Lettura | |||
| GetFilter | Concede l'autorizzazione a recuperare i filtri GuardDuty | Lettura | |||
| GetFindings | Concede l'autorizzazione a recuperare i risultati GuardDuty | Lettura | |||
| GetFindingsStatistics | Concede l'autorizzazione a recuperare un elenco di statistiche di ricerca GuardDuty | Lettura | |||
| GetIPSet | Concede l'autorizzazione al recupero GuardDuty IPSets | Lettura | |||
| GetInvitationsCount | Concede l'autorizzazione a recuperare il conteggio di tutti gli GuardDuty inviti inviati a un account specifico, che non include l'invito accettato | Lettura | |||
| GetMalwareProtectionPlan | Concede l'autorizzazione a recuperare i dettagli di un piano di protezione da malware | Lettura | |||
| GetMalwareScanSettings | Concede l'autorizzazione per recuperare le impostazioni di scansione di malware | Lettura | |||
| GetMasterAccount | Concede l'autorizzazione a recuperare i dettagli dell'account GuardDuty amministratore associato a un account membro | Lettura | |||
| GetMemberDetectors | Concede l'autorizzazione per descrivere quali origini dati sono abilitate per i rilevatori di account membri | Lettura | |||
| GetMembers | Concede l'autorizzazione per recuperare gli account membri associati a un account amministratore | Lettura | |||
| GetOrganizationStatistics | Concede l'autorizzazione a recuperare le statistiche sulla copertura del piano di GuardDuty protezione per gli account dei membri in una regione | Lettura | |||
| GetRemainingFreeTrialDays | Concede l'autorizzazione per fornire il numero di giorni rimanenti per ciascuna origine dati utilizzata nel periodo di prova gratuito | Lettura | |||
| GetThreatIntelSet | Concede l'autorizzazione al recupero GuardDuty ThreatIntelSets | Lettura | |||
| GetUsageStatistics | Concede l'autorizzazione a elencare le statistiche di GuardDuty utilizzo di Amazon negli ultimi 30 giorni per l'ID del rilevatore specificato | Lettura | |||
| InviteMembers | Concede l'autorizzazione a invitare altri AWS account ad attivare GuardDuty e diventare membri degli account GuardDuty | Scrittura | |||
| ListCoverage | Concede l'autorizzazione per elencare tutti i dettagli delle risorse per un determinato account in una Regione | Elenco | |||
| ListDetectors | Concede l'autorizzazione a recuperare un elenco di rilevatori GuardDuty | Elenco | |||
| ListFilters | Concede l'autorizzazione a recuperare un elenco di filtri GuardDuty | Elenco | |||
| ListFindings | Concede l'autorizzazione a recuperare un elenco di risultati GuardDuty | Elenco | |||
| ListIPSets | Concede il permesso di recuperare un elenco di GuardDuty IPSets | Elenco | |||
| ListInvitations | Concede l'autorizzazione a recuperare un elenco di tutti gli inviti all' GuardDuty iscrizione che sono stati inviati a un Account AWS | Elenco | |||
| ListMalwareProtectionPlans | Concede l'autorizzazione a recuperare un elenco di piani di protezione da malware | Elenco | |||
| ListMembers | Concede l'autorizzazione a recuperare un elenco di account GuardDuty membri associati a un account amministratore | Elenco | |||
| ListOrganizationAdminAccounts | Concede l'autorizzazione a elencare i dettagli sull'amministratore delegato dell'organizzazione per GuardDuty | Elenco | |||
| ListPublishingDestinations | Concede l'autorizzazione per recuperare un elenco di destinazioni di pubblicazione. | Elenco | |||
| ListTagsForResource | Concede l'autorizzazione a recuperare un elenco di tag associati a una risorsa GuardDuty | Lettura | |||
| ListThreatIntelSets | Concede il permesso di recuperare un elenco di GuardDuty ThreatIntelSets | Elenco | |||
| SendSecurityTelemetry | Concede l'autorizzazione a inviare telemetria di sicurezza per un account specifico in una regione GuardDuty | Scrittura | |||
| StartMalwareScan | Concede l'autorizzazione per avviare una scansione del malware | Scrittura | |||
| StartMonitoringMembers | Concede l'autorizzazione a un account GuardDuty amministratore per monitorare i risultati degli account dei membri GuardDuty | Scrittura | |||
| StopMonitoringMembers | Concede l'autorizzazione per disabilitare i risultati del monitoraggio dagli account dei membri. | Scrittura | |||
| TagResource | Concede il permesso di aggiungere tag a una risorsa GuardDuty | Assegnazione di tag | |||
| UnarchiveFindings | Concede il permesso di estrarre i risultati dall'archivio GuardDuty | Scrittura | |||
| UntagResource | Concede l'autorizzazione a rimuovere i tag da una risorsa GuardDuty | Assegnazione di tag | |||
| UpdateDetector | Concede l'autorizzazione ad aggiornare i rilevatori GuardDuty | Scrittura | |||
| UpdateFilter | Concede l'autorizzazione per aggiornare i filtri GuardDuty | Scrittura | |||
| UpdateFindingsFeedback | Concede l'autorizzazione ad aggiornare il feedback sui risultati per contrassegnare GuardDuty i risultati come utili o non utili | Scrittura | |||
| UpdateIPSet | Concede l'autorizzazione all'aggiornamento GuardDuty IPSets | Scrittura |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
| UpdateMalwareProtectionPlan | Concede l'autorizzazione ad aggiornare il piano di protezione da malware | Scrittura | |||
| UpdateMalwareScanSettings | Concede l'autorizzazione per aggiornare le impostazioni di scansione di malware | Scrittura | |||
| UpdateMemberDetectors | Concede l'autorizzazione per aggiornare le origini dati abilitate per i rilevatori di account membri | Scrittura | |||
| UpdateOrganizationConfiguration | Concede l'autorizzazione ad aggiornare la configurazione dell'amministratore delegato associata a un rilevatore GuardDuty | Scrittura | |||
| UpdatePublishingDestination | Concede l'autorizzazione per aggiornare una destinazione di pubblicazione. | Scrittura |
s3:GetObject s3:ListBucket |
||
| UpdateThreatIntelSet | Concede l'autorizzazione ad aggiornare il GuardDuty ThreatIntelSets | Scrittura |
iam:DeleteRolePolicy iam:PutRolePolicy |
Tipi di risorse definiti da Amazon GuardDuty
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'Resourceelemento delle dichiarazioni sulla politica di IAM autorizzazione. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| detector |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}
|
|
| filter |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}
|
|
| ipset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}
|
|
| threatintelset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}
|
|
| publishingDestination |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}
|
|
| malwareprotectionplan |
arn:${Partition}:guardduty:${Region}:${Account}:malware-protection-plan/${MalwareProtectionPlanId}
|
Chiavi di condizione per Amazon GuardDuty
Amazon GuardDuty definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una IAM policy. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso in base alle coppie chiave-valore di tag nella richiesta | Stringa |
| aws:ResourceTag/${TagKey} | Filtra le operazioni in base alle coppie chiave-valore di tag collegate alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso in base alle chiavi tag nella richiesta | ArrayOfString |
