As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para a Amazon GuardDuty
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões necessárias. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia IAM do usuário.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.
O elemento de política Version
especifica as regras de sintaxe de linguagem que devem ser usadas para processar uma política. As políticas a seguir incluem a versão atual IAM compatível. Para obter mais informações, consulte elementos IAM JSON da política: Versão.
AWS política gerenciada: AmazonGuardDutyFullAccess
Você pode anexar a AmazonGuardDutyFullAccess
política às suas IAM identidades.
Essa política concede permissões administrativas que permitem ao usuário acesso total a todas as GuardDuty ações.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
GuardDuty
— Permite aos usuários acesso total a todas as GuardDuty ações. -
IAM
:-
Permite que os usuários criem a função GuardDuty vinculada ao serviço.
-
Permite que uma conta de administrador seja ativada GuardDuty para contas de membros.
-
Permite que os usuários passem uma função GuardDuty que usa essa função para ativar o recurso GuardDuty Malware Protection for S3. Isso ocorre independentemente de como você ativa a Proteção contra Malware para S3 - dentro do GuardDuty serviço ou de forma independente.
-
-
Organizations
— Permite que os usuários designem um administrador delegado e gerenciem os membros de uma GuardDuty organização.
A permissão para realizar uma iam:GetRole
ação AWSServiceRoleForAmazonGuardDutyMalwareProtection
estabelece se a função vinculada ao serviço (SLR) do Malware Protection for EC2 existe em uma conta.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS política gerenciada: AmazonGuardDutyReadOnlyAccess
Você pode anexar a AmazonGuardDutyReadOnlyAccess
política às suas IAM identidades.
Essa política concede permissões somente para leitura que permitem ao usuário visualizar GuardDuty descobertas e detalhes da sua GuardDuty organização.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
GuardDuty
— permite que os usuários visualizem GuardDuty as descobertas e realizem API operações que comecem comGet
List
, ouDescribe
. -
Organizations
— permite que os usuários recuperem informações sobre a configuração GuardDuty da sua organização, incluindo detalhes da conta do administrador delegado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
AWS política gerenciada: AmazonGuardDutyServiceRolePolicy
Você não pode se vincular AmazonGuardDutyServiceRolePolicy
às suas IAM entidades. Essa política AWS gerenciada é anexada a uma função vinculada ao serviço que permite GuardDuty realizar ações em seu nome. Para obter mais informações, consulte Permissões de função vinculadas ao serviço para GuardDuty.
GuardDuty atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas GuardDuty desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico do GuardDuty documento.
Alteração | Descrição | Data |
---|---|---|
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente |
A |
22 de agosto de 2024 |
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente |
Permissão adicionada que permite que você passe uma IAM função para GuardDuty quando você ativa a Proteção contra Malware para S3.
|
10 de junho de 2024 |
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente. |
Use AWS Systems Manager ações para gerenciar SSM associações em EC2 instâncias da Amazon ao ativar o GuardDuty Runtime Monitoring com um agente automatizado para a AmazonEC2. Quando a configuração GuardDuty automatizada do agente está desativada, GuardDuty considera somente as EC2 instâncias que têm uma tag de inclusão ( |
26 de março de 2024 |
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente. |
GuardDuty adicionou uma nova permissão - |
9 de fevereiro de 2024 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy: atualizar para uma política existente. |
O Malware Protection for EC2 adicionou duas permissões: |
25 de janeiro de 2024 |
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente |
Foram adicionadas novas permissões GuardDuty para permitir adicionar configurações de ECS conta |
26 de novembro de 2023 |
AmazonGuardDutyReadOnlyAccess: atualizar para uma política existente |
GuardDuty adicionou uma nova política organizations para ListAccounts o. |
16 de novembro de 2023 |
AmazonGuardDutyFullAccess: atualizar para uma política existente |
GuardDuty adicionou uma nova política organizations para ListAccounts o. |
16 de novembro de 2023 |
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente |
GuardDuty adicionou novas permissões para dar suporte ao próximo recurso GuardDuty EKS de monitoramento de tempo de execução. |
8 de março de 2023 |
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente |
GuardDuty adicionou novas permissões para permitir a criação de uma função vinculada GuardDuty ao serviço para o Malware Protection for. EC2 Isso ajudará a GuardDuty agilizar o processo de ativação da Proteção contra Malware paraEC2. GuardDuty agora pode realizar a seguinte IAM ação:
|
21 de fevereiro de 2023 |
AmazonGuardDutyFullAccess: atualizar para uma política existente |
GuardDuty atualizado ARN |
26 de julho de 2022 |
AmazonGuardDutyFullAccess: atualização para uma política existente |
GuardDuty adicionou uma nova GuardDuty agora pode realizar a |
26 de julho de 2022 |
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente |
GuardDuty adicionou novas permissões para GuardDuty permitir o uso das ações EC2 de rede da Amazon para melhorar as descobertas. GuardDuty Agora você pode realizar as seguintes EC2 ações para obter informações sobre como suas EC2 instâncias estão se comunicando. Essas informações são usadas para melhorar a precisão da descoberta.
|
3 de agosto de 2021 |
GuardDuty começou a rastrear as alterações |
GuardDuty começou a rastrear as mudanças em suas políticas AWS gerenciadas. |
3 de agosto de 2021 |