AWS Amazon 的 受管政策 GuardDuty - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon 的 受管政策 GuardDuty

若要將許可新增至使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立IAM客戶受管政策需要時間和專業知識,為您的團隊提供他們所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南 中的AWS 受管政策

AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。啟動新功能或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。

此外, AWS 支援跨多個 服務的任務函數的受管政策。例如, ReadOnlyAccess AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務函數政策的清單和說明,請參閱 IAM 使用者指南 中的AWS 任務函數的受管政策

Version 政策元素指定用於處理政策的語言語法規則。下列政策包含IAM支援的目前版本。如需詳細資訊,請參閱IAMJSON政策元素:版本

AWS 受管政策:AmazonGuardDutyFullAccess

您可以將AmazonGuardDutyFullAccess政策連接至身分IAM。

此政策會授予管理許可,以允許使用者完整存取所有 GuardDuty 動作。

許可詳細資訊

此政策包含以下許可。

  • GuardDuty – 允許使用者完整存取所有 GuardDuty動作。

  • IAM:

    • 允許使用者建立 GuardDuty 服務連結角色。

    • 允許管理員帳戶 GuardDuty 為成員帳戶啟用 。

    • 允許使用者將角色傳遞至 GuardDuty 使用此角色來啟用 GuardDuty Malware Protection for S3 功能的角色。無論您在 GuardDuty 服務內或獨立啟用 Malware Protection for S3 的方式為何。

  • Organizations – 允許使用者指定委派的管理員和管理 GuardDuty 組織的成員。

如果帳戶中EC2存在 的惡意軟體防護服務連結角色 (SLR),則在 上執行iam:GetRole動作的許可即會AWSServiceRoleForAmazonGuardDutyMalwareProtection建立。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }

AWS 受管政策:AmazonGuardDutyReadOnlyAccess

您可以將AmazonGuardDutyReadOnlyAccess政策連接至身分IAM。

此政策授予唯讀許可,允許使用者檢視 GuardDuty 組織的 GuardDuty 調查結果和詳細資訊。

許可詳細資訊

此政策包含以下許可。

  • GuardDuty – 允許使用者檢視 GuardDuty 調查結果,並執行以 GetList或 開頭API的操作Describe

  • Organizations – 允許使用者擷取 GuardDuty 組織組態的相關資訊,包括委派管理員帳戶的詳細資訊。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }

AWS 受管政策:AmazonGuardDutyServiceRolePolicy

您無法AmazonGuardDutyServiceRolePolicy連接至IAM實體。此 AWS 受管政策會連接至服務連結角色, GuardDuty 允許 代表您執行動作。如需詳細資訊,請參閱的服務連結角色許可 GuardDuty

GuardDuty 受 AWS 管政策的更新

檢視自此服務開始追蹤這些變更 GuardDuty 以來, 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 GuardDuty 文件歷史記錄頁面上的RSS摘要。

變更 描述 日期

AmazonGuardDutyServiceRolePolicy – 更新現有政策

已新增 ec2:DescribeVpcs許可。這允許 GuardDuty 追蹤VPC更新,例如擷取 VPC CIDR。

2024 年 8 月 22 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

新增的許可可讓您在啟用 Malware Protection for S3 時將IAM角色傳遞至 GuardDuty 。

{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }
2024 年 6 月 10 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策。

當您為 Amazon 啟用 GuardDuty 執行期監控與自動代理程式時,請使用 AWS Systems Manager 動作來管理 Amazon EC2執行個體上的SSM關聯EC2。停用 GuardDuty 自動代理程式組態時, GuardDuty 只會考慮具有包含標籤 (GuardDutyManaged:) 的EC2執行個體true

2024 年 3 月 26 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策。

GuardDuty 已新增 許可 - organization:DescribeOrganization 擷取共用 Amazon VPC帳戶的組織 ID,並使用組織 ID 設定 Amazon VPC端點政策。

2024 年 2 月 9 日

AmazonGuardDutyMalwareProtectionServiceRolePolicy – 更新現有政策。

的惡意軟體防護EC2已新增兩個許可 - ListSnapshotBlocks GetSnapshotBlock並從您的 AWS 帳戶 擷取EBS磁碟區的快照 (使用 加密 AWS 受管金鑰),並在啟動惡意軟體掃描之前將其複製到 GuardDuty 服務帳戶。

2024 年 1 月 25 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

新增允許 GuardDuty 新增 Amazon guarddutyActivate ECS帳戶設定,以及執行清單和描述 Amazon ECS叢集操作的新許可。

2023 年 11 月 26 日

AmazonGuardDutyReadOnlyAccess – 更新現有政策

GuardDuty 已將 的新政策organizations新增至 ListAccounts

2023 年 11 月 16 日

AmazonGuardDutyFullAccess – 更新現有政策

GuardDuty 已將 的新政策organizations新增至 ListAccounts

2023 年 11 月 16 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

GuardDuty 已新增支援即將推出 GuardDuty的EKS執行期監控功能的新許可。

2023 年 3 月 8 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

GuardDuty 已新增允許 為惡意軟體防護 GuardDuty 建立服務連結角色的許可。 EC2這將有助於 GuardDuty簡化為 啟用惡意軟體防護的程序EC2。

GuardDuty 現在可以執行下列IAM動作:

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }
2023 年 2 月 21 日

AmazonGuardDutyFullAccess – 更新現有政策

GuardDuty 已ARN將 更新iam:GetRole*AWSServiceRoleForAmazonGuardDutyMalwareProtection

2022 年 7 月 26 日

AmazonGuardDutyFullAccess – 更新現有政策

GuardDuty 新增了 AWSServiceName,允許使用 iam:CreateServiceLinkedRole for GuardDuty Malware Protection for EC2 Service 建立服務連結角色。

GuardDuty 現在可以執行 iam:GetRole動作,以取得 的資訊AWSServiceRole

2022 年 7 月 26 日

AmazonGuardDutyServiceRolePolicy – 更新現有政策

GuardDuty 新增了允許 GuardDuty 使用 Amazon EC2 網路動作改善調查結果的許可。

GuardDuty 現在可以執行下列EC2動作,以取得EC2執行個體通訊方式的相關資訊。此資訊用於提高調查結果準確度。

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

2021 年 8 月 3 日

GuardDuty 已開始追蹤變更

GuardDuty 已開始追蹤其 AWS 受管政策的變更。

2021 年 8 月 3 日