AWS verwaltete Richtlinien für Amazon GuardDuty - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon GuardDuty

Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAM-Benutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

Die Version-Richtlinienelemente legen die Sprachsyntaxregeln fest, die für die Verarbeitung einer Richtlinie verwendet werden sollen. Die folgenden Richtlinien beinhalten die aktuelle Version, die IAM unterstützt. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Version.

AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess_v2 (empfohlen)

Sie können die AmazonGuardDutyFullAccess_v2-Richtlinie an Ihre IAM-Identitäten anfügen. Zwischen AmazonGuardDutyFullAccess_v2 und GuardDuty empfiehlt das AnhängenAmazonGuardDutyFullAccess, AmazonGuardDutyFullAccess_v2 da es mehr Sicherheit bietet und Verwaltungsaktionen auf Dienstprinzipale beschränkt. GuardDuty Diese Richtlinie gewährt einem Benutzer weiterhin vollen Zugriff, sodass er alle GuardDuty Aktionen ausführen und auf die erforderlichen Ressourcen zugreifen kann.

Berechtigungsdetails

Die AmazonGuardDutyFullAccess_v2 Richtlinie umfasst die folgenden Berechtigungen:

  • GuardDuty— Ermöglicht Benutzern vollen Zugriff auf alle GuardDuty Aktionen.

  • IAM:

    • Ermöglicht Benutzern, eine GuardDuty dienstbezogene Rolle zu erstellen.

    • Ermöglicht das Anzeigen und Verwalten von IAM-Rollen und deren Richtlinien für. GuardDuty

    • Ermöglicht Benutzern, eine Rolle zu übergeben GuardDuty , die diese Rolle verwendet, um die Funktion GuardDuty Malware Protection for S3 zu aktivieren. Dies ist unabhängig davon, wie Sie den Malware-Schutz für S3 aktivieren — innerhalb des GuardDuty Dienstes oder unabhängig davon.

    • Durch die Genehmigung zur Ausführung einer iam:GetRole Aktion AWSServiceRoleForAmazonGuardDutyMalwareProtection wird festgelegt, ob die mit dem Dienst verknüpfte Rolle (SLR) für den Malware-Schutz für in einem EC2 Konto vorhanden ist.

  • Organizations:

    • Erlaubt Benutzern das Lesen (Anzeigen) der GuardDuty Organisationsstruktur und der Konten.

    • Ermöglicht Benutzern, einen delegierten Administrator zu benennen und Mitglieder für eine GuardDuty Organisation zu verwalten.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "GuardDutyFullAccess", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateGuardDutyServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyOrganizationsAdminAccess", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyIamRoleAccess", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "PassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }

AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess

Sie können die AmazonGuardDutyFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Wichtig

Für mehr Sicherheit und eingeschränkte Berechtigungen für GuardDuty Dienstprinzipale empfehlen wir Ihnen die Verwendung AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess_v2 (empfohlen) von.

Diese Richtlinie gewährt Administratorberechtigungen, die einem Benutzer vollen Zugriff auf alle GuardDuty Aktionen und Ressourcen gewähren.

Berechtigungsdetails

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • GuardDuty— Ermöglicht Benutzern vollen Zugriff auf alle GuardDuty Aktionen.

  • IAM:

    • Ermöglicht Benutzern, die GuardDuty dienstbezogene Rolle zu erstellen.

    • Ermöglicht die Aktivierung eines Administratorkontos GuardDuty für Mitgliedskonten.

    • Ermöglicht es Benutzern, eine Rolle zu übergeben GuardDuty , die diese Rolle verwendet, um die Funktion GuardDuty Malware Protection for S3 zu aktivieren. Dies ist unabhängig davon, wie Sie den Malware-Schutz für S3 aktivieren — innerhalb des GuardDuty Dienstes oder unabhängig davon.

  • Organizations— Ermöglicht Benutzern, einen delegierten Administrator zu benennen und Mitglieder für eine GuardDuty Organisation zu verwalten.

Mit der Berechtigung zum Ausführen einer iam:GetRole Aktion AWSServiceRoleForAmazonGuardDutyMalwareProtection wird festgelegt, ob die mit dem Dienst verknüpfte Rolle (SLR) für den Malware-Schutz für in einem Konto EC2 vorhanden ist.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }

AWS verwaltete Richtlinie: AmazonGuardDutyReadOnlyAccess

Sie können die AmazonGuardDutyReadOnlyAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Benutzern nur Leseberechtigungen, die es Benutzern ermöglichen, GuardDuty Ergebnisse und Details Ihrer GuardDuty Organisation einzusehen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • GuardDuty— Ermöglicht Benutzern, GuardDuty Ergebnisse einzusehen und API-Operationen durchzuführen, die mit GetList, oder beginnen. Describe

  • Organizations— Ermöglicht Benutzern das Abrufen von Informationen über Ihre GuardDuty Organisationskonfiguration, einschließlich Details zum delegierten Administratorkonto.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }

AWS verwaltete Richtlinie: AmazonGuardDutyServiceRolePolicy

Sie können AmazonGuardDutyServiceRolePolicy nicht an Ihre IAM-Entitäten anhängen. Diese AWS verwaltete Richtlinie ist einer dienstbezogenen Rolle zugeordnet, mit der GuardDuty Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Berechtigungen von serviceverknüpften Rollen für GuardDuty.

GuardDuty Aktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die GuardDuty seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite GuardDuty Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum

AmazonGuardDutyFullAccess_v2— Eine neue Richtlinie wurde hinzugefügt

Eine neue AmazonGuardDutyFullAccess_v2 Richtlinie wurde hinzugefügt. Dies wird empfohlen, da ihre Berechtigungen die Sicherheit erhöhen, indem sie die administrativen Aktionen auf die GuardDuty Dienstprinzipale beschränken, die auf IAM-Rollen und -Richtlinien sowie auf der Integration basieren. AWS Organizations

04. Juni 2025

AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Die ec2:DescribeVpcs Erlaubnis wurde hinzugefügt. Auf diese Weise können GuardDuty VPC-Updates nachverfolgt werden, z. B. das Abrufen des VPC-CIDR.

22. August 2024

AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Es wurde eine Berechtigung hinzugefügt, mit der Sie eine IAM-Rolle übergeben können, GuardDuty wenn Sie Malware Protection for S3 aktivieren.

{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }
10. Juni 2024

AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie.

Verwenden Sie AWS Systems Manager Aktionen, um SSM-Verknüpfungen auf EC2 Amazon-Instances zu verwalten, wenn Sie GuardDuty Runtime Monitoring mit automatisiertem Agenten für Amazon EC2 aktivieren. Wenn die GuardDuty automatische Agentenkonfiguration deaktiviert ist, werden nur die EC2 Instances GuardDuty berücksichtigt, die über ein Inclusion-Tag (GuardDutyManaged:true) verfügen.

26. März 2024

AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie.

GuardDuty hat eine neue Berechtigung hinzugefügtorganization:DescribeOrganization, um die Organisations-ID des gemeinsamen Amazon VPC-Kontos abzurufen und die Amazon VPC-Endpunktrichtlinie mit der Organisations-ID festzulegen.

9. Februar 2024

AmazonGuardDutyMalwareProtectionServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie.

Malware Protection for EC2 hat zwei zusätzliche Berechtigungen hinzugefügt: GetSnapshotBlock Sie ListSnapshotBlocks können den Snapshot eines EBS-Volumes (verschlüsselt mit Von AWS verwalteter Schlüssel) von Ihrem abrufen AWS-Konto und in das GuardDuty Dienstkonto kopieren, bevor der Malware-Scan gestartet wird.

25. Januar 2024

AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Neue Berechtigungen wurden hinzugefügt, um das Hinzufügen von guarddutyActivate Amazon ECS-Kontoeinstellungen und das Ausführen von Listen- und Beschreibungsvorgängen auf Amazon ECS-Clustern zu ermöglichen GuardDuty .

26. November 2023

AmazonGuardDutyReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie

GuardDuty hat eine neue Richtlinie für organizations to hinzugefügtListAccounts.

16. November 2023

AmazonGuardDutyFullAccess – Aktualisierung auf eine bestehende Richtlinie

GuardDuty hat eine neue Richtlinie für organizations to hinzugefügtListAccounts.

16. November 2023

AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

GuardDuty neue Berechtigungen hinzugefügt, um die kommende GuardDuty EKS Runtime Monitoring-Funktion zu unterstützen.

08. März 2023

AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

GuardDuty hat neue Berechtigungen hinzugefügt, um die Erstellung GuardDuty einer dienstbezogenen Rolle für Malware Protection for EC2 zu ermöglichen. Dies wird dazu beitragen, den Prozess der Aktivierung von Malware Protection für zu GuardDuty rationalisieren. EC2

GuardDuty kann jetzt die folgende IAM-Aktion ausführen:

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }
21. Februar 2023

AmazonGuardDutyFullAccess – Aktualisierung auf eine bestehende Richtlinie

GuardDuty ARN für iam:GetRole to aktualisiert*AWSServiceRoleForAmazonGuardDutyMalwareProtection.

26. Juli 2022

AmazonGuardDutyFullAccess – Aktualisierung auf eine bestehende Richtlinie

GuardDuty Es wurde eine neue hinzugefügtAWSServiceName, um die Erstellung einer dienstbezogenen Rolle mithilfe von GuardDuty Malware Protection iam:CreateServiceLinkedRole for EC2 Service zu ermöglichen.

GuardDuty kann jetzt die iam:GetRole Aktion ausführen, für AWSServiceRole die Informationen abgerufen werden sollen.

26. Juli 2022

AmazonGuardDutyServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

GuardDuty neue Berechtigungen hinzugefügt, um die Nutzung von EC2 Amazon-Netzwerkaktionen zur Verbesserung der Ergebnisse zu ermöglichen GuardDuty .

GuardDuty kann jetzt die folgenden EC2 Aktionen ausführen, um Informationen darüber zu erhalten, wie Ihre EC2 Instances kommunizieren. Diese Informationen werden verwendet, um die Genauigkeit der Erkenntnisse zu verbessern.

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

3. August 2021

GuardDuty hat begonnen, Änderungen zu verfolgen

GuardDuty hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

3. August 2021