Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für Amazon GuardDuty
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAM-Benutzerhandbuch unter AWS Verwaltete Richtlinien.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.
Die Version
-Richtlinienelemente legen die Sprachsyntaxregeln fest, die für die Verarbeitung einer Richtlinie verwendet werden sollen. Die folgenden Richtlinien beinhalten die aktuelle Version, die IAM unterstützt. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Version.
AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess_v2 (empfohlen)
Sie können die AmazonGuardDutyFullAccess_v2-Richtlinie an Ihre IAM-Identitäten anfügen. Zwischen AmazonGuardDutyFullAccess_v2 und GuardDuty empfiehlt das AnhängenAmazonGuardDutyFullAccess, AmazonGuardDutyFullAccess_v2 da es mehr Sicherheit bietet und Verwaltungsaktionen auf Dienstprinzipale beschränkt. GuardDuty Diese Richtlinie gewährt einem Benutzer weiterhin vollen Zugriff, sodass er alle GuardDuty Aktionen ausführen und auf die erforderlichen Ressourcen zugreifen kann.
Berechtigungsdetails
Die AmazonGuardDutyFullAccess_v2 Richtlinie umfasst die folgenden Berechtigungen:
-
GuardDuty
— Ermöglicht Benutzern vollen Zugriff auf alle GuardDuty Aktionen. -
IAM
:-
Ermöglicht Benutzern, eine GuardDuty dienstbezogene Rolle zu erstellen.
-
Ermöglicht das Anzeigen und Verwalten von IAM-Rollen und deren Richtlinien für. GuardDuty
-
Ermöglicht Benutzern, eine Rolle zu übergeben GuardDuty , die diese Rolle verwendet, um die Funktion GuardDuty Malware Protection for S3 zu aktivieren. Dies ist unabhängig davon, wie Sie den Malware-Schutz für S3 aktivieren — innerhalb des GuardDuty Dienstes oder unabhängig davon.
-
Durch die Genehmigung zur Ausführung einer
iam:GetRole
AktionAWSServiceRoleForAmazonGuardDutyMalwareProtection
wird festgelegt, ob die mit dem Dienst verknüpfte Rolle (SLR) für den Malware-Schutz für in einem EC2 Konto vorhanden ist.
-
-
Organizations
:-
Erlaubt Benutzern das Lesen (Anzeigen) der GuardDuty Organisationsstruktur und der Konten.
-
Ermöglicht Benutzern, einen delegierten Administrator zu benennen und Mitglieder für eine GuardDuty Organisation zu verwalten.
-
{ "Version": "2012-10-17", "Statement": [{ "Sid": "GuardDutyFullAccess", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateGuardDutyServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyOrganizationsAdminAccess", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyIamRoleAccess", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "PassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess
Sie können die AmazonGuardDutyFullAccess
-Richtlinie an Ihre IAM-Identitäten anfügen.
Wichtig
Für mehr Sicherheit und eingeschränkte Berechtigungen für GuardDuty Dienstprinzipale empfehlen wir Ihnen die Verwendung AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess_v2 (empfohlen) von.
Diese Richtlinie gewährt Administratorberechtigungen, die einem Benutzer vollen Zugriff auf alle GuardDuty Aktionen und Ressourcen gewähren.
Berechtigungsdetails
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
GuardDuty
— Ermöglicht Benutzern vollen Zugriff auf alle GuardDuty Aktionen. -
IAM
:-
Ermöglicht Benutzern, die GuardDuty dienstbezogene Rolle zu erstellen.
-
Ermöglicht die Aktivierung eines Administratorkontos GuardDuty für Mitgliedskonten.
-
Ermöglicht es Benutzern, eine Rolle zu übergeben GuardDuty , die diese Rolle verwendet, um die Funktion GuardDuty Malware Protection for S3 zu aktivieren. Dies ist unabhängig davon, wie Sie den Malware-Schutz für S3 aktivieren — innerhalb des GuardDuty Dienstes oder unabhängig davon.
-
-
Organizations
— Ermöglicht Benutzern, einen delegierten Administrator zu benennen und Mitglieder für eine GuardDuty Organisation zu verwalten.
Mit der Berechtigung zum Ausführen einer iam:GetRole
Aktion AWSServiceRoleForAmazonGuardDutyMalwareProtection
wird festgelegt, ob die mit dem Dienst verknüpfte Rolle (SLR) für den Malware-Schutz für in einem Konto EC2 vorhanden ist.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS verwaltete Richtlinie: AmazonGuardDutyReadOnlyAccess
Sie können die AmazonGuardDutyReadOnlyAccess
-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Benutzern nur Leseberechtigungen, die es Benutzern ermöglichen, GuardDuty Ergebnisse und Details Ihrer GuardDuty Organisation einzusehen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
GuardDuty
— Ermöglicht Benutzern, GuardDuty Ergebnisse einzusehen und API-Operationen durchzuführen, die mitGet
List
, oder beginnen.Describe
-
Organizations
— Ermöglicht Benutzern das Abrufen von Informationen über Ihre GuardDuty Organisationskonfiguration, einschließlich Details zum delegierten Administratorkonto.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
AWS verwaltete Richtlinie: AmazonGuardDutyServiceRolePolicy
Sie können AmazonGuardDutyServiceRolePolicy
nicht an Ihre IAM-Entitäten anhängen. Diese AWS verwaltete Richtlinie ist einer dienstbezogenen Rolle zugeordnet, mit der GuardDuty Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Berechtigungen von serviceverknüpften Rollen für GuardDuty.
GuardDuty Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die GuardDuty seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite GuardDuty Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
Änderung | Beschreibung | Datum |
---|---|---|
AmazonGuardDutyFullAccess_v2— Eine neue Richtlinie wurde hinzugefügt |
Eine neue AmazonGuardDutyFullAccess_v2 Richtlinie wurde hinzugefügt. Dies wird empfohlen, da ihre Berechtigungen die Sicherheit erhöhen, indem sie die administrativen Aktionen auf die GuardDuty Dienstprinzipale beschränken, die auf IAM-Rollen und -Richtlinien sowie auf der Integration basieren. AWS Organizations |
04. Juni 2025 |
AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
Die |
22. August 2024 |
AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
Es wurde eine Berechtigung hinzugefügt, mit der Sie eine IAM-Rolle übergeben können, GuardDuty wenn Sie Malware Protection for S3 aktivieren.
|
10. Juni 2024 |
AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie. |
Verwenden Sie AWS Systems Manager Aktionen, um SSM-Verknüpfungen auf EC2 Amazon-Instances zu verwalten, wenn Sie GuardDuty Runtime Monitoring mit automatisiertem Agenten für Amazon EC2 aktivieren. Wenn die GuardDuty automatische Agentenkonfiguration deaktiviert ist, werden nur die EC2 Instances GuardDuty berücksichtigt, die über ein Inclusion-Tag ( |
26. März 2024 |
AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie. |
GuardDuty hat eine neue Berechtigung hinzugefügt |
9. Februar 2024 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie. |
Malware Protection for EC2 hat zwei zusätzliche Berechtigungen hinzugefügt: |
25. Januar 2024 |
AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
Neue Berechtigungen wurden hinzugefügt, um das Hinzufügen von |
26. November 2023 |
AmazonGuardDutyReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
GuardDuty hat eine neue Richtlinie für organizations to hinzugefügtListAccounts . |
16. November 2023 |
AmazonGuardDutyFullAccess – Aktualisierung auf eine bestehende Richtlinie |
GuardDuty hat eine neue Richtlinie für organizations to hinzugefügtListAccounts . |
16. November 2023 |
AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
GuardDuty neue Berechtigungen hinzugefügt, um die kommende GuardDuty EKS Runtime Monitoring-Funktion zu unterstützen. |
08. März 2023 |
AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
GuardDuty hat neue Berechtigungen hinzugefügt, um die Erstellung GuardDuty einer dienstbezogenen Rolle für Malware Protection for EC2 zu ermöglichen. Dies wird dazu beitragen, den Prozess der Aktivierung von Malware Protection für zu GuardDuty rationalisieren. EC2 GuardDuty kann jetzt die folgende IAM-Aktion ausführen:
|
21. Februar 2023 |
AmazonGuardDutyFullAccess – Aktualisierung auf eine bestehende Richtlinie |
GuardDuty ARN für |
26. Juli 2022 |
AmazonGuardDutyFullAccess – Aktualisierung auf eine bestehende Richtlinie |
GuardDuty Es wurde eine neue hinzugefügt GuardDuty kann jetzt die |
26. Juli 2022 |
AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
GuardDuty neue Berechtigungen hinzugefügt, um die Nutzung von EC2 Amazon-Netzwerkaktionen zur Verbesserung der Ergebnisse zu ermöglichen GuardDuty . GuardDuty kann jetzt die folgenden EC2 Aktionen ausführen, um Informationen darüber zu erhalten, wie Ihre EC2 Instances kommunizieren. Diese Informationen werden verwendet, um die Genauigkeit der Erkenntnisse zu verbessern.
|
3. August 2021 |
GuardDuty hat begonnen, Änderungen zu verfolgen |
GuardDuty hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. |
3. August 2021 |