As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões de função vinculada ao serviço para Proteção contra malware para EC2
A Proteção contra malware para EC2 usa a função vinculada ao serviço (SLR) chamada AWSServiceRoleForAmazonGuardDutyMalwareProtection
. Essa SLR permite que a Proteção contra malware para EC2 realize verificações sem agente para detectar malware em sua conta do GuardDuty. Ele permite que o GuardDuty crie um snapshot do volume do EBS em sua conta e compartilhe esse snapshot com a conta de serviço do GuardDuty. Depois que o GuardDuty avalia o snapshot, ele inclui os metadados recuperados da instância do EC2 e da workload do contêiner nas descobertas da Proteção contra malware para EC2. A função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
confia no serviço malware-protection.guardduty.amazonaws.com
para presumir a função.
As políticas de permissão para essa função ajudam a Proteção contra malware para EC2 a realizar as seguintes tarefas:
-
Use ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre instâncias, volumes e snapshots do Amazon EC2. A Proteção contra malware para EC2 também fornece permissão para acessar os metadados de cluster do Amazon EKS e do Amazon ECS.
-
Crie snapshots para volumes do EBS que tenham a tag
GuardDutyExcluded
não definida comotrue
. Por padrão, os snapshots são criados com uma tagGuardDutyScanId
. Não remova essa tag, caso contrário, a Proteção contra malware para EC2 não terá acesso aos snapshots.Importante
Aop definir
GuardDutyExcluded
comotrue
, o serviço GuardDuty não poderá acessar esses snapshots no futuro. Isso ocorre porque as outras instruções nessa função vinculada ao serviço impedem que o GuardDuty execute qualquer ação nos snapshots que têm oGuardDutyExcluded
definido comotrue
. -
Permita o compartilhamento e a exclusão de snapshots somente se a tag
GuardDutyScanId
existir e a tagGuardDutyExcluded
não estiver definida comotrue
.nota
Não permite que a Proteção contra malware para EC2 torne os snapshots públicos.
-
Acesse as chaves gerenciadas pelo cliente, exceto aquelas que têm uma tag
GuardDutyExcluded
definida comotrue
, para chamarCreateGrant
para criar e acessar um volume criptografado do EBS a partir do snapshot criptografado que é compartilhado com a conta de serviço do GuardDuty. Para obter uma lista das contas de serviço do GuardDuty para cada região, consulte GuardDuty contas de serviço por Região da AWS. -
Acesse os logs do CloudWatch dos clientes para criar o grupo de logs da Proteção contra malware para EC2, bem como colocar os logs de eventos de verificação de malware no grupo de logs
/aws/guardduty/malware-scan-events
. -
Permita que o cliente decida se deseja manter os snapshots nos quais o malware foi detectado em sua conta. Se o verificação detectar malware, a função vinculada ao serviço permite que o GuardDuty adicione duas tags aos snapshots:
GuardDutyFindingDetected
eGuardDutyExcluded
.nota
A tag
GuardDutyFindingDetected
especifica que os snapshots contêm malware. -
Determine se um volume está criptografado com uma chave gerenciada pelo EBS. O GuardDuty executa a ação
DescribeKey
para determinar okey Id
da chave gerenciada pelo EBS em sua conta. -
Obtenha o snapshot dos volumes do EBS criptografados usandoChave gerenciada pela AWS, do seu Conta da AWS e copie-o para o GuardDuty conta de serviço. Para isso, usamos as permissões
GetSnapshotBlock
eListSnapshotBlocks
. Em seguida, o GuardDuty verificará o snapshot na conta de serviço. Atualmente, o suporte da Proteção contra Malware para EC2 para escanear volumes do EBS criptografados com Chave gerenciada pela AWS pode não estar disponível em todos os. Regiões da AWS Para ter mais informações, consulte Disponibilidade de recursos específicos da região. -
Permita que o Amazon EC2 chame o AWS KMS em nome da Proteção contra malware para EC2 para realizar várias ações criptográficas nas chaves gerenciadas pelo cliente. Ações como
kms:ReEncryptTo
ekms:ReEncryptFrom
são necessárias para compartilhar os snapshots criptografados com as chaves gerenciadas pelo cliente. Somente as chaves para as quais a tagGuardDutyExcluded
não está definida comotrue
estão acessíveis.
A função é configurada com a seguinte política gerenciada da AWS, denominada AmazonGuardDutyMalwareProtectionServiceRolePolicy
.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
A seguinte política de confiança está anexada à função vinculada a serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Criar uma função vinculada ao serviço para Proteção contra malware para EC2
A função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
é criada automaticamente quando você habilita a Proteção contra Malware para EC2 pela primeira vez ou habilita a Proteção contra Malware para EC2 em uma região com suporte em que ela não tenha sido habilitada anteriormente. Também é possível criar a função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
manualmente usando o console do IAM, o IAM CLI ou o IAM API.
nota
Por padrão, se você for novo no Amazon GuardDuty, a Proteção contra malware para EC2 é habilitada automaticamente.
Importante
A função vinculada ao serviço criada para a conta de administrador do GuardDuty delegada não se aplica às contas-membro do GuardDuty.
É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
seja criada com êxito, a identidade do IAM com a qual você usa o GuardDuty deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Para obter mais informações sobre como criar a função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.
Editar uma função vinculada ao serviço para Proteção contra malware para EC2
A Proteção contra Malware para EC2 não permite que você edite a função vinculada a serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluir uma função vinculada ao serviço para a Proteção contra malware para EC2
Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.
Importante
Você deverá primeiramente desabilitar a Proteção contra Malware para EC2 em todas as regiões em que estiver habilitada para excluir o AWSServiceRoleForAmazonGuardDutyMalwareProtection
.
Se a Proteção contra malware para EC2 não estiver desabilitada quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão. Lembre-se de desabilitar primeiro a Proteção contra malware para o EC2 em sua conta.
Quando você escolhe Desabilitar para interromper o serviço de Proteção contra malware para EC2, o não AWSServiceRoleForAmazonGuardDutyMalwareProtection
é excluído automaticamente. Se você escolher Habilitar para iniciar o serviço de Proteção contra malware para EC2 novamente, o GuardDuty começará a usar o AWSServiceRoleForAmazonGuardDutyMalwareProtection
existente.
Como excluir manualmente a função vinculada a serviço usando o IAM
Use o console, a CLI da AWS ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Com suporte Regiões da AWS
O Amazon GuardDuty oferece suporte ao uso da função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection
em todas as áreas Regiões da AWS em que a Proteção contra malware para EC2 está disponível.
Para obter uma lista de todas as regiões onde o GuardDuty está disponível no momento, consulte Endpoints e cotas do Amazon GuardDuty na Referência geral da Amazon Web Services.
nota
No momento, a Proteção contra malware para EC2 não está disponível para a AWS GovCloud (Leste dos EUA) e AWS GovCloud (US-West).