AmazonGuardDutyFullAccess AmazonGuardDutyReadOnlyAccess AmazonGuardDutyServiceRolePolicy Atualizações da política

AWS políticas gerenciadas para a Amazon GuardDuty

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões necessárias. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia IAM do usuário.

AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.

O elemento de política Version especifica as regras de sintaxe de linguagem que devem ser usadas para processar uma política. As políticas a seguir incluem a versão atual IAM compatível. Para obter mais informações, consulte elementos IAM JSON da política: Versão.

AWS política gerenciada: AmazonGuardDutyFullAccess

Você pode anexar a AmazonGuardDutyFullAccess política às suas IAM identidades.

Essa política concede permissões administrativas que permitem ao usuário acesso total a todas as GuardDuty ações.

Detalhes das permissões

Esta política inclui as seguintes permissões:

GuardDuty— Permite aos usuários acesso total a todas as GuardDuty ações.
IAM:
- Permite que os usuários criem a função GuardDuty vinculada ao serviço.
- Permite que uma conta de administrador seja ativada GuardDuty para contas de membros.
- Permite que os usuários passem uma função GuardDuty que usa essa função para ativar o recurso GuardDuty Malware Protection for S3. Isso ocorre independentemente de como você ativa a Proteção contra Malware para S3 - dentro do GuardDuty serviço ou de forma independente.
Organizations— Permite que os usuários designem um administrador delegado e gerenciem os membros de uma GuardDuty organização.

A permissão para realizar uma iam:GetRole ação AWSServiceRoleForAmazonGuardDutyMalwareProtection estabelece se a função vinculada ao serviço (SLR) do Malware Protection for EC2 existe em uma conta.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS política gerenciada: AmazonGuardDutyReadOnlyAccess

Você pode anexar a AmazonGuardDutyReadOnlyAccess política às suas IAM identidades.

Essa política concede permissões somente para leitura que permitem ao usuário visualizar GuardDuty descobertas e detalhes da sua GuardDuty organização.

Detalhes das permissões

Esta política inclui as seguintes permissões:

GuardDuty— permite que os usuários visualizem GuardDuty as descobertas e realizem API operações que comecem com GetList, ouDescribe.
Organizations— permite que os usuários recuperem informações sobre a configuração GuardDuty da sua organização, incluindo detalhes da conta do administrador delegado.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AmazonGuardDutyServiceRolePolicy

Você não pode se vincular AmazonGuardDutyServiceRolePolicy às suas IAM entidades. Essa política AWS gerenciada é anexada a uma função vinculada ao serviço que permite GuardDuty realizar ações em seu nome. Para obter mais informações, consulte Permissões de função vinculadas ao serviço para GuardDuty.

GuardDuty atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas GuardDuty desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico do GuardDuty documento.

Alteração	Descrição	Data
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente	A `ec2:DescribeVpcs` permissão foi adicionada. Isso GuardDuty permite rastrear VPC atualizações, como recuperar o. VPC CIDR	22 de agosto de 2024
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente	Permissão adicionada que permite que você passe uma IAM função para GuardDuty quando você ativa a Proteção contra Malware para S3. `{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam:::role/", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }`	10 de junho de 2024
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente.	Use AWS Systems Manager ações para gerenciar SSM associações em EC2 instâncias da Amazon ao ativar o GuardDuty Runtime Monitoring com um agente automatizado para a AmazonEC2. Quando a configuração GuardDuty automatizada do agente está desativada, GuardDuty considera somente as EC2 instâncias que têm uma tag de inclusão (`GuardDutyManaged`:`true`).	26 de março de 2024
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente.	GuardDuty adicionou uma nova permissão - `organization:DescribeOrganization` para recuperar o ID da organização da VPC conta compartilhada da Amazon e definir a política de VPC endpoint da Amazon com o ID da organização.	9 de fevereiro de 2024
AmazonGuardDutyMalwareProtectionServiceRolePolicy: atualizar para uma política existente.	O Malware Protection for EC2 adicionou duas permissões: `ListSnapshotBlocks` obter o instantâneo de um EBS volume (usando criptografia Chave gerenciada pela AWS) do seu Conta da AWS e copiá-lo para a conta de GuardDuty serviço antes de iniciar a verificação de malware. `GetSnapshotBlock`	25 de janeiro de 2024
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente	Foram adicionadas novas permissões GuardDuty para permitir adicionar configurações de ECS conta `guarddutyActivate` da Amazon e realizar operações de lista e descrição nos ECS clusters da Amazon.	26 de novembro de 2023
AmazonGuardDutyReadOnlyAccess: atualizar para uma política existente	GuardDuty adicionou uma nova política `organizations` para `ListAccounts` o.	16 de novembro de 2023
AmazonGuardDutyFullAccess: atualizar para uma política existente	GuardDuty adicionou uma nova política `organizations` para `ListAccounts` o.	16 de novembro de 2023
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente	GuardDuty adicionou novas permissões para dar suporte ao próximo recurso GuardDuty EKS de monitoramento de tempo de execução.	8 de março de 2023
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente	GuardDuty adicionou novas permissões para permitir a criação de uma função vinculada GuardDuty ao serviço para o Malware Protection for. EC2 Isso ajudará a GuardDuty agilizar o processo de ativação da Proteção contra Malware paraEC2. GuardDuty agora pode realizar a seguinte IAM ação: `{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }`	21 de fevereiro de 2023
AmazonGuardDutyFullAccess: atualizar para uma política existente	GuardDuty atualizado ARN `iam:GetRole` para`*AWSServiceRoleForAmazonGuardDutyMalwareProtection`.	26 de julho de 2022
AmazonGuardDutyFullAccess: atualização para uma política existente	GuardDuty adicionou uma nova `AWSServiceName` para permitir a criação de uma função vinculada ao serviço usando o `iam:CreateServiceLinkedRole` GuardDuty Malware Protection for EC2 service. GuardDuty agora pode realizar a `iam:GetRole` ação para obter informações`AWSServiceRole`.	26 de julho de 2022
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente	GuardDuty adicionou novas permissões para GuardDuty permitir o uso das ações EC2 de rede da Amazon para melhorar as descobertas. GuardDuty Agora você pode realizar as seguintes EC2 ações para obter informações sobre como suas EC2 instâncias estão se comunicando. Essas informações são usadas para melhorar a precisão da descoberta. `ec2:DescribeVpcEndpoints` `ec2:DescribeSubnets` `ec2:DescribeVpcPeeringConnections` `ec2:DescribeTransitGatewayAttachments`	3 de agosto de 2021
GuardDuty começou a rastrear as alterações	GuardDuty começou a rastrear as mudanças em suas políticas AWS gerenciadas.	3 de agosto de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões de função vinculadas ao serviço para proteção contra malware para EC2

Solução de problemas