기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 서비스 연결 역할 권한 GuardDuty
GuardDuty 는 라는 서비스 연결 역할(SLR)을 사용합니다AWSServiceRoleForAmazonGuardDuty. 는 가 다음 작업을 수행할 GuardDuty 수 있도록 SLR 허용합니다. 또한 인스턴스에 속하는 검색된 메타데이터를 잠재적 위협EC2에 대해 생성될 GuardDuty 수 있는 결과에 GuardDuty 포함할 수 있습니다. AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할은 역할을 수임하기 위해 guardduty.amazonaws.com 서비스를 신뢰합니다.
권한 정책은 다음 작업을 GuardDuty 수행하는 데 도움이 됩니다.
-
Amazon EC2 작업을 사용하여 EC2 인스턴스, 이미지 및 , VPCs서브넷, 전송 게이트웨이와 같은 네트워킹 구성 요소에 대한 정보를 관리하고 검색할 수 있습니다.
-
Amazon용 자동 에이전트로 GuardDuty 런타임 모니터링을 활성화할 때 AWS Systems Manager 작업을 사용하여 Amazon EC2 인스턴스의 SSM 연결을 관리합니다EC2. GuardDuty 자동 에이전트 구성이 비활성화된 경우 포함 태그(
GuardDutyManaged:)가 있는 EC2 인스턴스만 GuardDuty 고려합니다true. -
AWS Organizations 작업을 사용하여 연결된 계정 및 조직 ID를 설명합니다.
-
Amazon S3 작업을 사용하여 S3 버킷 및 객체에 대한 정보를 검색할 수 있습니다.
-
AWS Lambda 작업을 사용하여 Lambda 함수 및 태그에 대한 정보를 검색합니다.
-
Amazon EKS 작업을 사용하여 EKS 클러스터에 대한 정보를 관리 및 검색하고 EKS 클러스터의 Amazon EKS 추가 기능을 관리합니다. 또한 EKS 작업은 에 연결된 태그에 대한 정보를 검색합니다 GuardDuty.
-
에 대한 맬웨어 방지가 EC2 활성화된 용 맬웨어 보호에 대한 서비스 연결 역할 권한 EC2 후 를 생성하는 IAM 데 사용합니다.
-
Amazon ECS 작업을 사용하여 Amazon ECS 클러스터에 대한 정보를 관리 및 검색하고 를 사용하여 Amazon ECS 계정 설정을 관리합니다
guarddutyActivate. Amazon과 관련된 작업은 와 연결된 태그에 대한 정보ECS도 검색합니다 GuardDuty.
역할은 다음 AWS 관리형 정책인 AmazonGuardDutyServiceRolePolicy를 통해 구성됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
다음은 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할에 연결된 신뢰 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AmazonGuardDutyServiceRolePolicy 정책의 업데이트에 대한 자세한 정보는 GuardDuty AWS 관리형 정책에 대한 업데이트 섹션을 참조하세요. 이 정책의 변경 사항에 대한 자동 알림을 받으려면 문서 기록 페이지의 RSS 피드를 구독하세요.
에 대한 서비스 연결 역할 생성 GuardDuty
AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할은 GuardDuty 처음 활성화하거나 이전에 활성화하지 않은 지원되는 리전 GuardDuty 에서 활성화할 때 자동으로 생성됩니다. IAM 콘솔, AWS CLI또는 를 사용하여 서비스 연결 역할을 수동으로 생성할 수도 있습니다IAMAPI.
중요
GuardDuty 위임된 관리자 계정에 대해 생성된 서비스 연결 역할은 멤버 GuardDuty 계정에 적용되지 않습니다.
IAM 보안 주체(예: 사용자, 그룹 또는 역할)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할을 성공적으로 생성하려면 와 GuardDuty 함께 사용하는 IAM 보안 주체에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 이 사용자, 그룹 또는 역할에 연결하십시오.
참고
샘플 교체 account ID 다음 예제에서 실제 AWS 계정 ID를 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
역할을 수동으로 생성하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 생성을 참조하세요.
에 대한 서비스 연결 역할 편집 GuardDuty
GuardDuty 에서는 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 그러나 를 사용하여 역할에 대한 설명을 편집할 수 있습니다IAM. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.
에 대한 서비스 연결 역할 삭제 GuardDuty
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.
중요
에 대해 맬웨어 보호를 활성화한 경우 EC2삭제해도 AWSServiceRoleForAmazonGuardDuty가 자동으로 삭제되지 않습니다AWSServiceRoleForAmazonGuardDutyMalwareProtection. 를 삭제하려면 의 맬웨어 방지를 위한 서비스 연결 역할 삭제를 AWSServiceRoleForAmazonGuardDutyMalwareProtection참조하세요. EC2
를 삭제하려면 먼저 활성화된 모든 리전 GuardDuty 에서 를 비활성화해야 합니다AWSServiceRoleForAmazonGuardDuty. GuardDuty 서비스 연결 역할을 삭제하려고 할 때 서비스가 비활성화되지 않으면 삭제가 실패합니다. 자세한 내용은 일시 중지 또는 비활성화 GuardDuty 단원을 참조하십시오.
를 비활성화하면 GuardDuty가 자동으로 삭제되지 AWSServiceRoleForAmazonGuardDuty 않습니다. GuardDuty 다시 활성화하면 기존 를 사용하기 시작합니다AWSServiceRoleForAmazonGuardDuty.
를 사용하여 서비스 연결 역할을 수동으로 삭제하려면 IAM
IAM 콘솔, AWS CLI또는 를 사용하여 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할을 IAM API 삭제합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제를 참조하세요.
지원됨 AWS 리전
Amazon은 를 사용할 GuardDuty 수 AWS 리전 있는 모든 에서 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할 사용을 GuardDuty 지원합니다. GuardDuty 가 현재 사용 가능한 리전 목록은 의 Amazon GuardDuty 엔드포인트 및 할당량을 참조하세요Amazon Web Services 일반 참조.
