Amazon GuardDuty 的動作、資源和條件索引鍵

Amazon GuardDuty （服務字首：guardduty) 提供下列服務特定的資源、動作和條件內容索引鍵，可用於 IAM 許可政策。

參考資料：

了解如何設定此服務。
檢視此服務可用的 API 操作清單。
了解如何使用 IAM 許可政策來保護此服務及其資源。

主題

Amazon GuardDuty 定義的動作
Amazon GuardDuty 定義的資源類型
Amazon GuardDuty 的條件索引鍵

Amazon GuardDuty 定義的動作

您可以在 IAM 政策陳述式的 Action元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用動作時，通常會允許或拒絕存取具有相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中使用 Resource元素限制資源存取，則必須為每個必要的資源類型包含 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
AcceptAdministratorInvitation	准許接受成為 a GuardDuty 成員帳戶的邀請	寫入
AcceptInvitation	准許接受成為 a GuardDuty 成員帳戶的邀請	寫入
ArchiveFindings	准許 archive GuardDuty 調查結果	寫入
CreateDetector	授予許可以建立偵測器	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateFilter	准許建立 GuardDuty 篩選條件。篩選條件會定義用來尋找篩選問題清單的屬性和條件	寫入	filter*
CreateFilter	准許建立 GuardDuty 篩選條件。篩選條件會定義用來尋找篩選問題清單的屬性和條件	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateIPSet	准許建立 IPSet	寫入		aws:RequestTag/${TagKey} aws:TagKeys	iam:DeleteRolePolicy iam:PutRolePolicy
CreateMalwareProtectionPlan	准許建立新的惡意軟體防護計劃	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateMembers	准許建立 GuardDuty 成員帳戶，其中用來建立成員的帳戶會成為 GuardDuty 管理員帳戶	寫入
CreatePublishingDestination	授予許可以建立發佈目標	寫入			s3:GetObject s3:ListBucket
CreateSampleFindings	准許建立範例問題清單	寫入
CreateThreatIntelSet	准許 create GuardDuty ThreatIntelSetsWord，其中 a ThreatIntelSet 由Word 用來產生調查結果的已知惡意 IP GuardDuty 地址組成	寫入		aws:RequestTag/${TagKey} aws:TagKeys
DeclineInvitations	准許拒絕成為 a GuardDuty 成員帳戶的邀請	寫入
DeleteDetector	准許 delete GuardDuty 偵測器	寫入	detector*
DeleteFilter	准許 delete GuardDuty 篩選條件	寫入	filter*
DeleteIPSet	准許 delete GuardDuty IPSetsWord	寫入	ipset*
DeleteInvitations	准許刪除成為 a GuardDuty 成員帳戶的邀請	寫入
DeleteMalwareProtectionPlan	准許刪除惡意軟體防護計劃	寫入	malwareprotectionplan*
DeleteMembers	准許刪除 GuardDuty 成員帳戶	寫入
DeletePublishingDestination	授予許可以刪除發佈目標	寫入	publishingDestination*
DeleteThreatIntelSet	准許 delete GuardDuty ThreatIntelSetsWord	寫入	threatintelset*
DescribeMalwareScans	准許擷取惡意軟體掃描的相關詳細資訊	讀取
DescribeOrganizationConfiguration	准許擷取與 a GuardDuty 偵測器相關聯的委派管理員詳細資訊	讀取
DescribePublishingDestination	授予許可以擷取發佈目標的詳細資訊	讀取	publishingDestination*
DisableOrganizationAdminAccount	准許停用組織委派管理員 for GuardDuty	寫入
DisassociateFromAdministratorAccount	准許取消 a GuardDuty 成員帳戶與 GuardDuty 管理員帳戶的關聯	寫入
DisassociateFromMasterAccount	准許取消 a GuardDuty 成員帳戶與 GuardDuty 管理員帳戶的關聯	寫入
DisassociateMembers	准許取消 GuardDuty 成員帳戶與其 GuardDuty 帳戶的關聯	寫入
EnableOrganizationAdminAccount	准許啟用組織委派管理員 for GuardDuty	寫入
GetAdministratorAccount	准許擷取與成員帳戶相關聯的 GuardDuty 管理員帳戶詳細資訊	讀取
GetCoverageStatistics	准許列出區域中指定 GuardDuty 帳戶的 Amazon GuardDuty 涵蓋範圍統計資料	讀取	detector*
GetDetector	准許擷取 GuardDuty 偵測器	讀取	detector*
GetFilter	准許擷取 GuardDuty 篩選條件	讀取	filter*
GetFindings	准許擷取 GuardDuty 調查結果	讀取
GetFindingsStatistics	准許擷取 GuardDuty 調查結果統計資料清單	讀取
GetIPSet	准許擷取 GuardDuty IPSetsWord	讀取	ipset*
GetInvitationsCount	准許擷取傳送至指定帳戶的所有 GuardDuty 邀請計數，其中不包含接受的邀請	讀取
GetMalwareProtectionPlan	准許擷取惡意軟體防護計劃詳細資訊	讀取	malwareprotectionplan*
GetMalwareScanSettings	准許擷取惡意軟體掃描設定	讀取
GetMasterAccount	准許擷取與成員帳戶相關聯的 GuardDuty 管理員帳戶詳細資訊	讀取
GetMemberDetectors	准許描述成員帳戶偵測器啟用了哪些資料來源	讀取
GetMembers	授予許可以擷取與管理員帳戶相關聯的成員帳戶	讀取
GetOrganizationStatistics	准許擷取區域中成員帳戶的 GuardDuty 保護計畫涵蓋範圍統計資料	讀取
GetRemainingFreeTrialDays	准許提供免費試用期間使用的每個資料來源的剩余天數	讀取
GetThreatIntelSet	准許擷取 GuardDuty ThreatIntelSetsWord	讀取	threatintelset*
GetUsageStatistics	准許列出指定偵測器 ID 過去 30 天內的 Amazon GuardDuty 用量統計資料	讀取
InviteMembers	准許邀請其他 AWS 帳戶啟用 GuardDuty 和 be GuardDuty 成員帳戶	寫入
ListCoverage	准許列出區域中指定帳戶的所有資源詳細資訊	清單	detector*
ListDetectors	准許擷取 GuardDuty 偵測器清單	清單
ListFilters	准許擷取 GuardDuty 篩選條件清單	清單
ListFindings	准許擷取 GuardDuty 調查結果清單	清單
ListIPSets	准許擷取 GuardDuty IPSetsWord 清單	清單
ListInvitations	准許擷取傳送至的所有 GuardDuty 成員資格邀請清單 AWS 帳戶	清單
ListMalwareProtectionPlans	准許擷取惡意軟體防護計劃清單	清單
ListMembers	准許擷取與管理員帳戶相關聯的 GuardDuty 成員帳戶清單	清單
ListOrganizationAdminAccounts	准許列出組織委派管理員 for GuardDuty 的詳細資訊	清單
ListPublishingDestinations	授予許可以擷取發佈目標的清單	清單
ListTagsForResource	准許擷取與 a GuardDuty 資源相關聯的標籤清單	讀取	detector
			filter
			ipset
			malwareprotectionplan
			threatintelset
ListThreatIntelSets	准許擷取 GuardDuty ThreatIntelSetsWord 清單	清單
SendSecurityTelemetry	准許傳送區域中特定 GuardDuty 帳戶的安全遙測	寫入
StartMalwareScan	准許初始化新的惡意軟體掃描	寫入
StartMonitoringMembers	准許 a GuardDuty 管理員帳戶監控來自 GuardDuty 成員帳戶的調查結果	寫入
StopMonitoringMembers	授予許可以停用監控來自成員帳戶的問題清單	寫入
TagResource	准許將標籤新增至 a GuardDuty 資源	標記	detector
			filter
			ipset
			malwareprotectionplan
			threatintelset
				aws:RequestTag/${TagKey} aws:TagKeys
UnarchiveFindings	准許 unarchive GuardDuty 調查結果	寫入
UntagResource	准許從 a GuardDuty 資源中移除標籤	標記	detector
			filter
			ipset
			malwareprotectionplan
			threatintelset
				aws:TagKeys
UpdateDetector	准許更新 GuardDuty 偵測器	寫入	detector*
UpdateFilter	准許 update GuardDuty 篩選條件	寫入	filter*
UpdateFindingsFeedback	准許將調查結果意見回饋更新為 Mark GuardDuty 調查結果有用或不有用	寫入
UpdateIPSet	准許更新 GuardDuty IPSetsWord	寫入	ipset*		iam:DeleteRolePolicy iam:PutRolePolicy
UpdateMalwareProtectionPlan	准許更新惡意軟體防護計劃	寫入	malwareprotectionplan*
UpdateMalwareScanSettings	准許更新惡意軟體掃描設定	寫入
UpdateMemberDetectors	准許更新成員帳戶偵測器啟用了哪些資料來源	寫入
UpdateOrganizationConfiguration	准許更新與 a GuardDuty 偵測器相關聯的委派管理員組態	寫入
UpdatePublishingDestination	授予許可以更新發佈目標	寫入	publishingDestination*		s3:GetObject s3:ListBucket
UpdateThreatIntelSet	准許更新 GuardDuty ThreatIntelSetsWord	寫入	threatintelset*		iam:DeleteRolePolicy iam:PutRolePolicy

Amazon GuardDuty 定義的資源類型

下列資源類型由此服務定義，可用於 IAM 許可政策陳述式的 Resource元素。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
detector	`arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}`	aws:ResourceTag/${TagKey}
filter	`arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}`	aws:ResourceTag/${TagKey}
ipset	`arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}`	aws:ResourceTag/${TagKey}
threatintelset	`arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}`	aws:ResourceTag/${TagKey}
publishingDestination	`arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}`
malwareprotectionplan	`arn:${Partition}:guardduty:${Region}:${Account}:malware-protection-plan/${MalwareProtectionPlanId}`	aws:ResourceTag/${TagKey}

Amazon GuardDuty 的條件索引鍵

Amazon GuardDuty 定義下列條件索引鍵，可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵表。

若要檢視所有服務都可使用的全域條件鍵，請參閱可用全域條件鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	依請求中的標籤鍵值對篩選存取權	字串
aws:ResourceTag/${TagKey}	依連接到資源的標籤鍵值對篩選存取權	字串
aws:TagKeys	依請求中的標籤索引鍵篩選存取權	ArrayOfString

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon GroundTruth 標籤

AWS Health APIs 和通知