As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas gerenciadas da AWS para o Amazon GuardDuty
Para adicionar permissões a usuários, grupos e perfis, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no IAM User Guide.
Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.
Além disso, a AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política gerenciada pela denominada ReadOnlyAccess AWS fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.
O elemento de política Version especifica as regras de sintaxe de linguagem que devem ser usadas para processar uma política. As políticas a seguir incluem a versão atual compatível com o IAM. Para obter mais informações, consulte Elementos da política JSON do IAM: Versão.
Política gerenciada pela AWS: AmazonGuardDutyFullAccess
É possível anexar a política AmazonGuardDutyFullAccess a suas identidades do IAM.
Essa política concede permissões administrativas que oferecem ao usuário acesso total à ação do GuardDuty.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
GuardDuty: permite que os usuários tenham acesso total às ações do GuardDuty. -
IAM:-
Permite que os usuários criem o perfil vinculado ao serviço do GuardDuty.
-
Permite que um administrador de conta habilite o GuardDuty para contas de membro.
-
Permite que os usuários passem um perfil para o GuardDuty que usa esse perfil para ativar o recurso Proteção contra Malware para S3 do GuardDuty. Isso ocorre independentemente de como você ativa a Proteção contra Malware para S3 — dentro do serviço GuardDuty ou de forma independente.
-
-
Organizations- Permite que os usuários designem um administrador delegado e gerenciem os membros de uma organização do GuardDuty.
A permissão para realizar uma ação iam:GetRole no AWSServiceRoleForAmazonGuardDutyMalwareProtection estabelece se o perfil vinculado ao serviço (SLR) da Proteção contra malware existe em uma conta.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
Política gerenciada pela AWS: AmazonGuardDutyReadOnlyAccess
É possível anexar a política AmazonGuardDutyReadOnlyAccess a suas identidades do IAM.
Essa política concede permissões somente de leitura que permitem ao usuário visualizar as descobertas do GuardDuty e os detalhes da sua organização do GuardDuty.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
GuardDuty: permite que os usuários visualizem as descobertas do GuardDuty e realizem operações de API que comecem comGet,ListouDescribe. -
Organizations: permite que os usuários recuperem informações sobre a configuração da sua organização do GuardDuty, incluindo detalhes da conta do administrador delegado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
Política gerenciada pela AWS: AmazonGuardDutyServiceRolePolicy
Não é possível anexar AmazonGuardDutyServiceRolePolicy às entidades do IAM. Essa política gerenciada pela AWS é anexada a uma função vinculada ao serviço que permite que o GuardDuty realize ações em seu nome. Para ter mais informações, consulte Permissões de função vinculada ao serviço do GuardDuty.
Atualizações do GuardDuty para políticas gerenciadas pela AWS
Visualize detalhes sobre atualizações em políticas do GuardDuty gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS na página Histórico do documento do GuardDuty.
| Alteração | Descrição | Data |
|---|---|---|
|
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente |
Adicionou a permissão |
22 de agosto de 2024 |
|
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente |
Foi adicionada uma permissão que permite que você passe um perfil do IAM para o GuardDuty ao ativar a Proteção contra Malware para S3.
|
10 de junho de 2024 |
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente |
Use ações doAWS Systems Manager para gerenciar associações de SSM em instâncias do Amazon EC2 ao ativar Runtime Monitoring do GuardDuty com um atendente automatizado para o Amazon EC2. Quando a configuração automática do atendente GuardDuty é desativada, o GuardDuty considera somente as instâncias do EC2 que têm uma tag de inclusão ( |
26 de março de 2024 |
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente |
O GuardDuty adicionou uma nova permissão |
9 de fevereiro de 2024 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy — Atualização para uma política existente. |
Proteção contra Malware para EC2 adicionou duas permissões |
25 de janeiro de 2024 |
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente |
Adicionadas novas permissões para permitir que o GuardDuty adicione configurações de conta do |
26 de novembro de 2023 |
|
AmazonGuardDutyReadOnlyAccess - Atualizar para uma política existente |
O GuardDuty adicionou uma nova política para organizations para ListAccounts |
16 de novembro de 2023 |
|
AmazonGuardDutyFullAccess - Atualizar para uma política existente |
O GuardDuty adicionou uma nova política para organizations para ListAccounts |
16 de novembro de 2023 |
|
AmazonGuardDutyServiceRolePolicy - Atualizar para uma política existente |
O GuardDuty adicionou novas permissões para dar suporte ao próximo recurso de monitoramento de runtime do GuardDuty EKS. |
8 de março de 2023 |
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente |
O GuardDuty adicionou novas permissões para permitir que o GuardDuty crie um perfil vinculado ao serviço para Proteção contra malware para EC2. Isso ajudará o GuardDuty a agilizar o processo de habilitação da Proteção contra malware. O GuardDuty agora pode realizar a seguinte ação do IAM:
|
21 de fevereiro de 2023 |
|
AmazonGuardDutyFullAccess - Atualizar para uma política existente |
O GuardDuty atualizou o ARN para |
26 de julho de 2022 |
|
AmazonGuardDutyFullAccess - Atualizar para uma política existente |
O GuardDuty adicionou um novo O GuardDuty agora pode realizar a ação |
26 de julho de 2022 |
|
AmazonGuardDutyServiceRolePolicy - Atualizar para uma política existente |
O GuardDuty adicionou novas permissões para que o GuardDuty use as ações de rede do Amazon EC2 para melhorar as descobertas. Agora, o GuardDuty pode realizar as ações do EC2 a seguir para obter informações sobre como suas instâncias do EC2 estão se comunicando. Essas informações são usadas para melhorar a precisão da descoberta.
|
3 de agosto de 2021 |
|
O GuardDuty começou a monitorar alterações |
O GuardDuty começou a monitorar as alterações nas políticas gerenciadas pela AWS. |
3 de agosto de 2021 |
