Usando funções vinculadas a serviços para AWS Audit Manager - AWS Audit Manager
Permissões de função vinculadas ao serviço para AWS Audit ManagerCriando a função AWS Audit Manager vinculada ao serviçoEditando a função AWS Audit Manager vinculada ao serviçoExcluindo a função vinculada ao AWS Audit Manager serviçoRegiões suportadas para funções vinculadas a AWS Audit Manager serviços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para AWS Audit Manager

AWS Audit Manager usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Audit Manager. As funções vinculadas ao serviço são predefinidas pelo Audit Manager e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração AWS Audit Manager porque você não precisa adicionar manualmente as permissões necessárias. O Audit Manager define as permissões das funções vinculadas ao serviço e, a menos que definido de outra forma, somente o Audit Manager pode presumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure serviços que tenham Sim na coluna função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões de função vinculadas ao serviço para AWS Audit Manager

O Audit Manager usa a função vinculada ao serviço chamadaAWSServiceRoleForAuditManager, que permite o acesso aos serviços e recursos da AWS usados ou gerenciados por. AWS Audit Manager

O perfil vinculado ao serviço AWSServiceRoleForAuditManager confia no serviço auditmanager.amazonaws.com para presumir o perfil.

A política de permissões de função, AWSAuditManagerServiceRolePolicy, permite que o Audit Manager colete evidências automatizadas sobre seu AWS uso. Mais especificamente, ele pode realizar as seguintes ações em seu nome:

  • O Audit Manager pode ser usado AWS Security Hub para coletar evidências de verificação de conformidade. Nesse caso, o Audit Manager usa a seguinte permissão para relatar os resultados das verificações de segurança diretamente de AWS Security Hub. Em seguida, ele anexa os resultados aos controles de avaliação relevantes como evidência.

    • securityhub:DescribeStandards

    nota

    Para obter mais informações sobre quais controles específicos do Security Hub o Audit Manager pode descrever, consulte AWS Security Hub controles suportados por AWS Audit Manager.

  • O Audit Manager pode ser usado AWS Config para coletar evidências de verificação de conformidade. Nesse caso, o Audit Manager usa as seguintes permissões para relatar os resultados das avaliações de AWS Config regras diretamente de AWS Config. Em seguida, ele anexa os resultados aos controles de avaliação relevantes como evidência.

    • config:DescribeConfigRules

    • config:DescribeDeliveryChannels

    • config:ListDiscoveredResources

    nota

    Para obter mais informações sobre quais AWS Config regras específicas o Audit Manager pode descrever, consulte AWS Config Regras suportadas por AWS Audit Manager.

  • O Audit Manager pode ser usado AWS CloudTrail para coletar evidências de atividades do usuário. Nesse caso, o Audit Manager usa as seguintes permissões para capturar a atividade do usuário CloudTrail nos registros. Em seguida, ele anexa a atividade aos controles de avaliação relevantes como evidência.

    • cloudtrail:DescribeTrails

    • cloudtrail:LookupEvents

    nota

    Para obter mais informações sobre quais CloudTrail eventos específicos o Audit Manager pode descrever, consulte nomes de AWS CloudTrail eventos suportados por AWS Audit Manager.

  • O Audit Manager pode usar chamadas de AWS API para coletar evidências de configuração de recursos. Nesse caso, o Audit Manager usa as seguintes permissões para chamar somente leitura, APIs que descrevem suas configurações de recursos para o seguinte. Serviços da AWS Em seguida, ele anexa os resultados API aos controles de avaliação relevantes como evidência.

    • acm:GetAccountConfiguration

    • acm:ListCertificates

    • apigateway:GET

    • autoscaling:DescribeAutoScalingGroups

    • backup:ListBackupPlans

    • backup:ListRecoveryPointsByResource

    • bedrock:GetCustomModel

    • bedrock:GetFoundationModel

    • bedrock:GetModelCustomizationJob

    • bedrock:GetModelInvocationLoggingConfiguration

    • bedrock:ListCustomModels

    • bedrock:ListFoundationModels

    • bedrock:ListGuardrails

    • bedrock:ListModelCustomizationJobs

    • cloudfront:GetDistribution

    • cloudfront:GetDistributionConfig

    • cloudfront:ListDistributions

    • cloudtrail:DescribeTrails

    • cloudtrail:GetTrail

    • cloudtrail:ListTrails

    • cloudtrail:LookupEvents

    • cloudwatch:DescribeAlarms

    • cloudwatch:DescribeAlarmsForMetric

    • cloudwatch:GetMetricStatistics

    • cloudwatch:ListMetrics

    • cognito-idp:DescribeUserPool

    • config:DescribeConfigRules

    • config:DescribeDeliveryChannels

    • config:ListDiscoveredResources

    • directconnect:DescribeDirectConnectGateways

    • directconnect:DescribeVirtualGateways

    • dynamodb:DescribeBackup

    • dynamodb:DescribeContinuousBackups

    • dynamodb:DescribeTable

    • dynamodb:DescribeTableReplicaAutoScaling

    • dynamodb:ListBackups

    • dynamodb:ListGlobalTables

    • dynamodb:ListTables

    • ec2:DescribeAddresses

    • ec2:DescribeCustomerGateways

    • ec2:DescribeEgressOnlyInternetGateways

    • ec2:DescribeFlowLogs

    • ec2:DescribeInstanceCreditSpecifications

    • ec2:DescribeInstanceAttribute

    • ec2:DescribeInstances

    • ec2:DescribeInternetGateways

    • ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations

    • ec2:DescribeLocalGateways

    • ec2:DescribeLocalGatewayVirtualInterfaces

    • ec2:DescribeNatGateways

    • ec2:DescribeNetworkAcls

    • ec2:DescribeRouteTables

    • ec2:DescribeSecurityGroups

    • ec2:DescribeSecurityGroupRules

    • ec2:DescribeSnapshots

    • ec2:DescribeTransitGateways

    • ec2:DescribeVolumes

    • ec2:DescribeVpcEndpoints

    • ec2:DescribeVpcEndpointConnections

    • ec2:DescribeVpcEndpointServiceConfigurations

    • ec2:DescribeVpcPeeringConnections

    • ec2:DescribeVpcs

    • ec2:DescribeVpnConnections

    • ec2:DescribeVpnGateways

    • ec2:GetEbsDefaultKmsKeyId

    • ec2:GetEbsEncryptionByDefault

    • ec2:GetLaunchTemplateData

    • ecs:DescribeClusters

    • eks:DescribeAddonVersions

    • elasticache:DescribeCacheClusters

    • elasticache:DescribeServiceUpdates

    • elasticfilesystem:DescribeAccessPoints

    • elasticfilesystem:DescribeFileSystems

    • elasticloadbalancing:DescribeLoadBalancers

    • elasticloadbalancing:DescribeSslPolicies

    • elasticloadbalancing:DescribeTargetGroups

    • elasticmapreduce:ListClusters

    • elasticmapreduce:ListSecurityConfigurations

    • es:DescribeDomains

    • es:DescribeDomain

    • es:DescribeDomainConfig

    • es:ListDomainNames

    • events:DeleteRule

    • events:DescribeRule

    • events:DisableRule

    • events:EnableRule

    • events:ListConnections

    • events:ListEventBuses

    • events:ListEventSources

    • events:ListRules

    • events:ListTargetsByRule

    • events:PutRule

    • events:PutTargets

    • events:RemoveTargets

    • firehose:ListDeliveryStreams

    • fsx:DescribeFileSystems

    • guardduty:ListDetectors

    • iam:GenerateCredentialReport

    • iam:GetAccessKeyLastUsed

    • iam:GetAccountAuthorizationDetails

    • iam:GetAccountPasswordPolicy

    • iam:GetAccountSummary

    • iam:GetCredentialReport

    • iam:GetGroupPolicy

    • iam:GetPolicy

    • iam:GetPolicyVersion

    • iam:GetRolePolicy

    • iam:GetUser

    • iam:GetUserPolicy

    • iam:ListAccessKeys

    • iam:ListAttachedGroupPolicies

    • iam:ListAttachedRolePolicies

    • iam:ListAttachedUserPolicies

    • iam:ListEntitiesForPolicy

    • iam:ListGroupPolicies

    • iam:ListGroups

    • iam:ListGroupsForUser

    • iam:ListMfaDeviceTags

    • iam:ListMfaDevices

    • iam:ListOpenIdConnectProviders

    • iam:ListPolicies

    • iam:ListPolicyVersions

    • iam:ListRolePolicies

    • iam:ListRoles

    • iam:ListSamlProviders

    • iam:ListUserPolicies

    • iam:ListUsers

    • iam:ListVirtualMFADevices

    • kafka:ListClusters

    • kafka:ListKafkaVersions

    • kinesis:ListStreams

    • kms:DescribeKey

    • kms:GetKeyPolicy

    • kms:GetKeyRotationStatus

    • kms:ListGrants

    • kms:ListKeyPolicies

    • kms:ListKeys

    • lambda:ListFunctions

    • license-manager:ListAssociationsForLicenseConfiguration

    • license-manager:ListLicenseConfigurations

    • license-manager:ListUsageForLicenseConfiguration

    • logs:DescribeDestinations

    • logs:DescribeExportTasks

    • logs:DescribeLogGroups

    • logs:DescribeMetricFilters

    • logs:DescribeResourcePolicies

    • logs:FilterLogEvents

    • logs:GetDataProtectionPolicy

    • organizations:DescribeOrganization

    • organizations:DescribePolicy

    • rds:DescribeCertificates

    • rds:DescribeDBClusterEndpoints

    • rds:DescribeDBClusterParameterGroups

    • rds:DescribeDBClusters

    • rds:DescribeDBInstances

    • rds:DescribeDBInstanceAutomatedBackups

    • rds:DescribeDBSecurityGroups

    • redshift:DescribeClusters

    • redshift:DescribeClusterSnapshots

    • redshift:DescribeLoggingStatus

    • route53:GetQueryLoggingConfig

    • s3:GetBucketAcl

    • s3:GetBucketLogging

    • s3:GetBucketOwnershipControls

    • s3:GetBucketPolicy

      • Essa ação de API opera dentro do escopo de Conta da AWS onde service-linked-role está disponível. Ela não pode acessar políticas de bucket entre contas.

    • s3:GetBucketPublicAccessBlock

    • s3:GetBucketTagging

    • s3:GetBucketVersioning

    • s3:GetEncryptionConfiguration

    • s3:GetLifecycleConfiguration

    • s3:ListAllMyBuckets

    • sagemaker:DescribeAlgorithm

    • sagemaker:DescribeDomain

    • sagemaker:DescribeEndpoint

    • sagemaker:DescribeEndpointConfig

    • sagemaker:DescribeFlowDefinition

    • sagemaker:DescribeHumanTaskUi

    • sagemaker:DescribeLabelingJob

    • sagemaker:DescribeModel

    • sagemaker:DescribeModelBiasJobDefinition

    • sagemaker:DescribeModelCard

    • sagemaker:DescribeModelQualityJobDefinition

    • sagemaker:DescribeTrainingJob

    • sagemaker:DescribeUserProfile

    • sagemaker:ListAlgorithms

    • sagemaker:ListDomains

    • sagemaker:ListEndpointConfigs

    • sagemaker:ListEndpoints

    • sagemaker:ListFlowDefinitions

    • sagemaker:ListHumanTaskUis

    • sagemaker:ListLabelingJobs

    • sagemaker:ListModels

    • sagemaker:ListModelBiasJobDefinitions

    • sagemaker:ListModelCards

    • sagemaker:ListModelQualityJobDefinitions

    • sagemaker:ListMonitoringAlerts

    • sagemaker:ListMonitoringSchedules

    • sagemaker:ListTrainingJobs

    • sagemaker:ListUserProfiles

    • securityhub:DescribeStandards

    • secretsmanager:DescribeSecret

    • secretsmanager:ListSecrets

    • sns:ListTagsForResource

    • sns:ListTopics

    • sqs:ListQueues

    • waf-regional:GetLoggingConfiguration

    • waf-regional:GetRule

    • waf-regional:GetWebAcl

    • waf-regional:ListRuleGroups

    • waf-regional:ListRules

    • waf-regional:ListSubscribedRuleGroups

    • waf-regional:ListWebACLs

    • waf:GetRule

    • waf:GetRuleGroup

    • waf:ListActivatedRulesInRuleGroup

    • waf:ListRuleGroups

    • waf:ListRules

    • waf:ListWebAcls

    • wafv2:ListWebAcls

    nota

    Para obter mais informações sobre as chamadas de API específicas que o Audit Manager pode descrever, consulte Chamadas de API compatíveis com fontes de dados de controle personalizadas.

Para ver os detalhes completos das permissões do perfil vinculado ao serviço AWSServiceRoleForAuditManager, consulte AWSAuditManagerServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS .

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criando a função AWS Audit Manager vinculada ao serviço

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa AWS Audit Manager, o serviço cria automaticamente a função vinculada ao serviço para você. Você pode ativar o Audit Manager na página de integração do AWS Management Console, ou por meio da API ou AWS CLI. Para obter mais informações, consulte Habilitando AWS Audit Manager no guia de usuário.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta.

Editando a função AWS Audit Manager vinculada ao serviço

AWS Audit Manager não permite que você edite a função AWSServiceRoleForAuditManager vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do Usuário do IAM.

Permite que uma entidade IAM edite a descrição da função vinculada ao serviço AWSServiceRoleForAuditManager

Adicione a instrução abaixo à política de permissões da entidade do IAM para a qual precise editar a descrição de um perfil vinculado ao serviço.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}

Excluindo a função vinculada ao AWS Audit Manager serviço

Se você não precisa mais usar o Audit Manager, recomendamos que exclua a função vinculada a serviço AWSServiceRoleForAuditManager. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida. No entanto, você deve limpar sua função vinculada ao serviço antes de excluí-la.

Limpando a função vinculada ao serviço

Antes que possa usar o IAM para excluir uma função vinculada ao Audit Manager, você deve primeiro confirmar que a função não tem sessões ativas e remover quaisquer recursos usados pela função. Para fazer isso, certifique-se de que o registro do Audit Manager seja cancelado em todos. Regiões da AWS Depois de cancelar o registro, o Audit Manager não usará mais a função vinculada ao serviço.

Para obter instruções sobre como cancelar o Audit Manager, consulte os recursos a seguir:

Para obter instruções sobre como excluir recursos do Audit Manager manualmente, consulte Exclusão de dados do Audit Manager nesta guia.

Excluindo uma função vinculada ao serviço

Você também pode deletar a função vinculada ao serviço usando o console IAM, AWS Command Line Interface (AWS CLI) ou a API do IAM.

IAM console

Siga estas etapas para excluir o perfil vinculado ao serviço no console do IAM:

Para excluir uma função vinculada ao serviço (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Perfis. Marque a caixa de seleção ao lado de AWSServiceRoleForAuditManager, não o nome ou a linha em si.

  3. Em Ações da função na parte superior da página, escolha Excluir.

  4. Na caixa de diálogo de confirmação, analise as informações acessadas por último, que mostram quando cada uma das funções selecionadas foi acessada pela última vez um AWS service (Serviço da AWS). Isso ajuda a confirmar se a função está ativa no momento. Se quiser continuar, insira AWSServiceRoleForAuditManager no campo de texto e selecione Excluir para enviar a função vinculada ao serviço para eliminação.

  5. Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão da função vinculada ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a tarefa pode ou não ser bem-sucedida. Se a tarefa obtiver êxito, a função será removida da lista e uma notificação de êxito será exibida na parte superior da página.

AWS CLI

Você pode usar os comandos do IAM do AWS CLI para excluir uma função vinculada ao serviço.

Para excluir uma função vinculada ao serviço (AWS CLI)

  1. Insira o comando a seguir para listar a função na sua conta: 

    aws iam get-role --role-name AWSServiceRoleForAuditManager

  2. Como uma função vinculada ao serviço não pode ser excluída se estiver sendo usada ou possuir recursos associados, você deve enviar uma solicitação de exclusão. Essa solicitação pode ser negada se essas condições não forem atendidas. Você deve capturar o deletion-task-id da resposta para verificar o status da tarefa de exclusão.

    Insira o seguinte comando para enviar uma solicitação de exclusão de função vinculada ao serviço:

    aws iam delete-service-linked-role --role-name AWSServiceRoleForAuditManager

  3. Use o seguinte comando para verificar o status da tarefa de exclusão:

    aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    O status da tarefa de exclusão pode ser NOT_STARTED, IN_PROGRESS, SUCCEEDED, ou FAILED. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.

IAM API

Você pode usar a API do IAM para excluir uma função vinculada ao serviço.

Para excluir uma função vinculada ao serviço (API)

  1. Ligue GetRolepara listar a função em sua conta. Na solicitação, especifique AWSServiceRoleForAuditManager como RoleName.

  2. Como uma função vinculada ao serviço não pode ser excluída se estiver sendo usada ou possuir recursos associados, você deve enviar uma solicitação de exclusão. Essa solicitação pode ser negada se essas condições não forem atendidas. Você deve capturar o DeletionTaskId da resposta para verificar o status da tarefa de exclusão.

    Para enviar uma solicitação de exclusão para uma função vinculada ao serviço, ligue. DeleteServiceLinkedRole Na solicitação, especifique AWSServiceRoleForAuditManager como RoleName.

  3. Para verificar o status da exclusão, chame GetServiceLinkedRoleDeletionStatus. Na solicitação, especifique o DeletionTaskId.

    O status da tarefa de exclusão pode ser NOT_STARTED, IN_PROGRESS, SUCCEEDED, ou FAILED. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.

Dicas para excluir um perfil vinculado ao serviço no Audit Manager

O processo de exclusão do perfil vinculado ao serviço do Audit Manager falhará se o Audit Manager estiver usando o perfil ou possuir recursos associados. Isso pode acontecer nos seguintes cenários:

  1. Sua conta ainda está registrada no Audit Manager em um ou mais Regiões da AWS.

  2. Sua conta faz parte de uma AWS organização, e a conta de gerenciamento ou a conta de administrador delegado ainda está integrada ao Audit Manager.

Para resolver um problema de falha na exclusão, comece verificando se você Conta da AWS faz parte de uma organização. Você pode fazer isso chamando a operação da DescribeOrganizationAPI ou navegando até o AWS Organizations console.

Se você Conta da AWS faz parte de uma organização

  1. Use sua conta de gerenciamento para remover seu administrador delegado no Audit Manager em todos os Regiões da AWS em que você adicionou um.

  2. Use sua conta de gerenciamento para cancelar o registro do Audit Manager em todos os Regiões da AWS lugares em que você usou o serviço.

  3. Tente novamente excluir o perfil vinculado ao serviço seguindo as etapas do procedimento anterior.

Se você não Conta da AWS faz parte de uma organização

  1. Certifique-se de cancelar o registro do Audit Manager em todos os Regiões da AWS lugares em que você usou o serviço.

  2. Tente novamente excluir o perfil vinculado ao serviço seguindo as etapas do procedimento anterior.

Depois de cancelar o registro do Audit Manager, o serviço deixará de usar o perfil vinculado ao serviço. Em seguida, você pode excluir o perfil com êxito.

Regiões suportadas para funções vinculadas a AWS Audit Manager serviços

AWS Audit Manager suporta o uso de funções vinculadas ao serviço em todos os lugares em Regiões da AWS que o serviço está disponível. Para obter mais informações, consulte Endpoints de serviço da AWS.