Criação de uma função vinculada a serviços para proteção contra malware para EC2 Editando uma função vinculada ao serviço para Proteção contra Malware para EC2 Excluindo uma função vinculada ao serviço para Proteção contra Malware para EC2 Com suporte Regiões da AWS

Permissões de função vinculadas ao serviço para proteção contra malware para EC2

Proteção contra malware para EC2 usa a função vinculada ao serviço (SLR) chamada. AWSServiceRoleForAmazonGuardDutyMalwareProtection Isso SLR permite que o Malware EC2 Protection realize varreduras sem agente para detectar malware em sua conta. GuardDuty Ele permite GuardDuty criar um instantâneo de EBS volume em sua conta e compartilhar esse instantâneo com a conta de GuardDuty serviço. Depois de GuardDuty avaliar o snapshot, ele inclui a EC2 instância recuperada e os metadados da carga de trabalho do contêiner na Proteção contra Malware para descobertas. EC2 A função vinculada ao serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection confia no serviço malware-protection.guardduty.amazonaws.com para presumir a função.

As políticas de permissão para essa função ajudam o Malware Protection EC2 a realizar as seguintes tarefas:

Use as ações do Amazon Elastic Compute Cloud (AmazonEC2) para recuperar informações sobre suas EC2 instâncias, volumes e snapshots da Amazon. O Malware Protection for EC2 também fornece permissão para acessar a Amazon EKS e os metadados ECS do cluster Amazon.
Crie instantâneos para EBS volumes que tenham uma GuardDutyExcluded tag não definida como. true Por padrão, os snapshots são criados com uma tag GuardDutyScanId. Não remova essa tag, caso contrário, o Malware Protection for não EC2 terá acesso aos instantâneos.

Importante
Quando você define GuardDutyExcluded o comotrue, o GuardDuty serviço não poderá acessar esses instantâneos no futuro. Isso ocorre porque as outras instruções nessa função vinculada ao serviço impedem a execução GuardDuty de qualquer ação nos instantâneos que têm a GuardDutyExcluded função definida como. true
Permita o compartilhamento e a exclusão de snapshots somente se a tag GuardDutyScanId existir e a tag GuardDutyExcluded não estiver definida como true.

nota
Não permite que o Malware Protection EC2 torne os instantâneos públicos.
Acesse as chaves gerenciadas pelo cliente, exceto aquelas que têm uma GuardDutyExcluded tag definida comotrue, para ligar CreateGrant para criar e acessar um EBS volume criptografado a partir do instantâneo criptografado que é compartilhado com a conta GuardDuty de serviço. Para obter uma lista de contas de GuardDuty serviço para cada região, consulteGuardDuty contas de serviço por Região da AWS.
Acesse CloudWatch os registros dos clientes para criar a Proteção contra Malware para o grupo de EC2 registros, bem como colocar os registros de eventos de verificação de malware no /aws/guardduty/malware-scan-events grupo de registros.
Permita que o cliente decida se deseja manter os snapshots nos quais o malware foi detectado em sua conta. Se a verificação detectar malware, a função vinculada ao serviço permite adicionar duas tags GuardDuty aos instantâneos - e. GuardDutyFindingDetected GuardDutyExcluded

nota
A tag GuardDutyFindingDetected especifica que os snapshots contêm malware.
Determine se um volume está criptografado com uma chave EBS gerenciada. GuardDuty executa a DescribeKey ação para determinar key Id a chave EBS gerenciada em sua conta.
Obtenha o instantâneo dos EBS volumes criptografados usando Chave gerenciada pela AWS, do seu Conta da AWS e copie-o para o. GuardDuty conta de serviço Para isso, usamos as permissões GetSnapshotBlock ListSnapshotBlocks e. GuardDuty em seguida, digitalizará o instantâneo na conta de serviço. Atualmente, a Proteção contra Malware para EC2 suporte à verificação de EBS volumes criptografados com Chave gerenciada pela AWS pode não estar disponível em todos os Regiões da AWS. Para obter mais informações, consulte Disponibilidade de recursos específicos da região.
Permita que EC2 a Amazon ligue AWS KMS em nome da Malware Protection EC2 para realizar várias ações criptográficas nas chaves gerenciadas pelo cliente. Ações como kms:ReEncryptTo e kms:ReEncryptFrom são necessárias para compartilhar os snapshots criptografados com as chaves gerenciadas pelo cliente. Somente as chaves para as quais a tag GuardDutyExcluded não está definida como true estão acessíveis.

A função é configurada com a seguinte política gerenciada da AWS, denominada AmazonGuardDutyMalwareProtectionServiceRolePolicy.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DescribeAndListPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ecs:ListClusters",
                "ecs:ListContainerInstances",
                "ecs:ListTasks",
                "ecs:DescribeTasks",
                "eks:DescribeCluster"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateSnapshotVolumeConditionalStatement",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshot",
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "CreateSnapshotConditionalStatement",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshot",
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyScanId"
                }
            }
        },
        {
            "Sid": "CreateTagsPermission",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:*/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateSnapshot"
                }
            }
        },
        {
            "Sid": "AddTagsToSnapshotPermission",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GuardDutyScanId": "*"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "GuardDutyExcluded",
                        "GuardDutyFindingDetected"
                    ]
                }
            }
        },
        {
            "Sid": "DeleteAndShareSnapshotPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteSnapshot",
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GuardDutyScanId": "*"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "PreventPublicAccessToSnapshotPermission",
            "Effect": "Deny",
            "Action": [
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:Add/group": "all"
                }
            }
        },
        {
            "Sid": "CreateGrantPermission",
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:ebs:id": "snap-*"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Decrypt",
                        "CreateGrant",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "RetireGrant",
                        "DescribeKey"
                    ]
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Sid": "ShareSnapshotKMSPermission",
            "Effect": "Allow",
            "Action": [
                "kms:ReEncryptTo",
                "kms:ReEncryptFrom"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "ec2.*.amazonaws.com"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "DescribeKeyPermission",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Sid": "GuardDutyLogGroupPermission",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups",
                "logs:CreateLogGroup",
                "logs:PutRetentionPolicy"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*"
        },
        {
            "Sid": "GuardDutyLogStreamPermission",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*"
        },
        {
            "Sid": "EBSDirectAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:GetSnapshotBlock",
                "ebs:ListSnapshotBlocks"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/GuardDutyScanId": "*"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        }
    ]
}

A seguinte política de confiança está anexada à função vinculada a serviço AWSServiceRoleForAmazonGuardDutyMalwareProtection:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Criação de uma função vinculada a serviços para proteção contra malware para EC2

A função AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculada ao serviço é criada automaticamente quando você ativa a Proteção contra Malware pela primeira vez ou ativa a Proteção contra Malware EC2 em uma região com suporte na qual ela não estava ativada anteriormente. EC2 Você também pode criar a função AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculada ao serviço manualmente usando o IAM console IAMCLI, o ou o. IAM API

nota

Por padrão, se você for novo na Amazon GuardDuty, a Proteção contra Malware para EC2 é ativada automaticamente.

Importante

A função vinculada ao serviço criada para a conta de GuardDuty administrador delegado não se aplica às contas dos membros. GuardDuty

Você deve configurar permissões para permitir que um IAM principal (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculada ao serviço seja criada com êxito, a IAM identidade GuardDuty com a qual você usa deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do :


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        }
    ]
}

Para obter mais informações sobre como criar a função manualmente, consulte Criação de uma função vinculada ao serviço no Guia do IAMusuário.

Editando uma função vinculada ao serviço para Proteção contra Malware para EC2

O Malware Protection for EC2 não permite que você edite a função AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Edição de uma função vinculada ao serviço no Guia do IAMusuário.

Excluindo uma função vinculada ao serviço para Proteção contra Malware para EC2

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.

Importante

Para excluir oAWSServiceRoleForAmazonGuardDutyMalwareProtection, você deve primeiro desativar a Proteção contra Malware EC2 em todas as regiões em que ela está ativada.

Se o Malware Protection for EC2 não estiver desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará. Certifique-se de primeiro desativar a Proteção contra Malware EC2 em sua conta.

Quando você escolhe Desativar para interromper o serviço de Proteção contra Malware, o EC2 serviço não AWSServiceRoleForAmazonGuardDutyMalwareProtection é excluído automaticamente. Se você escolher Habilitar para iniciar a Proteção contra Malware para o EC2 serviço novamente, GuardDuty começará a usar o existenteAWSServiceRoleForAmazonGuardDutyMalwareProtection.

Para excluir manualmente a função vinculada ao serviço usando IAM

Use o IAM console AWS CLI, o ou o IAM API para excluir a função AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.

Com suporte Regiões da AWS

A Amazon GuardDuty oferece suporte ao uso da função AWSServiceRoleForAmazonGuardDutyMalwareProtection vinculada ao serviço em todas as áreas em que o Regiões da AWS Malware Protection for EC2 está disponível.

Para obter uma lista das regiões em que GuardDuty está disponível atualmente, consulte os GuardDuty endpoints e cotas da Amazon no. Referência geral da Amazon Web Services

nota

A Proteção contra Malware para EC2 está atualmente indisponível em AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões de função vinculadas ao serviço para GuardDuty

AWS políticas gerenciadas