Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungen von serviceverknüpften Rollen für GuardDuty
GuardDuty verwendet die serviceverknüpfte Rolle (SLR) namens. AWSServiceRoleForAmazonGuardDuty Mit der SLR können GuardDuty Sie die folgenden Aufgaben ausführen. Es ermöglicht auch GuardDuty , die abgerufenen Metadaten der EC2 Instanz in die Erkenntnisse einzubeziehen, die GuardDuty möglicherweise über die potenzielle Bedrohung generiert werden. Die serviceverknüpfte Rolle AWSServiceRoleForAmazonGuardDuty vertraut dem Service guardduty.amazonaws.com, sodass dieser die Rolle annehmen kann.
Die Berechtigungsrichtlinien helfen bei der GuardDuty Ausführung der folgenden Aufgaben:
-
Verwenden Sie EC2 Amazon-Aktionen, um Informationen über Ihre EC2 Instances, Images und Netzwerkkomponenten wie VPCs Subnetze und Transit-Gateways zu verwalten und abzurufen.
-
Verwenden Sie AWS Systems Manager Aktionen, um SSM-Verknüpfungen auf EC2 Amazon-Instances zu verwalten, wenn Sie GuardDuty Runtime Monitoring mit automatisiertem Agenten für Amazon EC2 aktivieren. Wenn die GuardDuty automatische Agentenkonfiguration deaktiviert ist, werden nur die EC2 Instances GuardDuty berücksichtigt, die über ein Inclusion-Tag (
GuardDutyManaged:true) verfügen. -
Verwenden Sie AWS Organizations -Aktionen, um zugehörige Konten und die Organisations-ID zu beschreiben.
-
Verwenden Sie Amazon-S3-Aktionen, um Informationen über S3-Buckets und Objekte abzurufen.
-
Mit AWS Lambda Aktionen können Sie Informationen über Ihre Lambda-Funktionen und Tags abrufen.
-
Verwenden Sie Amazon-EKS-Aktionen, um Informationen über die EKS-Cluster zu verwalten und abzurufen und Amazon-EKS-Add-Ons auf EKS-Clustern zu verwalten. Die EKS-Aktionen rufen auch die Informationen über die verknüpften Tags ab GuardDuty.
-
Verwenden Sie IAM, um zu erstellen, Berechtigungen von serviceverknüpften Rollen für Malware Protection für EC2 nachdem der Malware Protection für aktiviert EC2 wurde.
-
Verwenden Sie Amazon ECS-Aktionen, um Informationen über die Amazon ECS-Cluster zu verwalten und abzurufen, und verwalten Sie die Amazon ECS-Kontoeinstellungen mit
guarddutyActivate. Die Aktionen im Zusammenhang mit Amazon ECS rufen auch die Informationen über die verknüpften GuardDuty Tags ab.
Die Rolle ist mit der folgenden AWS -verwalteten Richtlinie namens AmazonGuardDutyServiceRolePolicy konfiguriert.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
Nachfolgend wird die der serviceverknüpften Rolle AWSServiceRoleForAmazonGuardDuty zugeordnete Vertrauensrichtlinie gezeigt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Einzelheiten zu Aktualisierungen der AmazonGuardDutyServiceRolePolicy Richtlinie finden Sie unterGuardDuty Aktualisierungen der AWS verwalteten Richtlinien. Um automatische Warnungen über Änderungen an dieser Richtlinie erhalten, abonnieren Sie den RSS-Feed auf der Dokumentverlauf -Seite.
Erstellen einer serviceverknüpften Rolle für GuardDuty
Die AWSServiceRoleForAmazonGuardDuty serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie GuardDuty zum ersten Mal aktivieren oder GuardDuty in einer unterstützten Region aktivieren, in der der Service zuvor nicht aktiviert war. Sie können die serviceverknüpfte Rolle namens auch manuell erstellen, indem Sie die IAM-Konsole AWS CLI, die oder die IAM-API verwenden.
Wichtig
Die serviceverknüpfte Rolle, die für das Konto des GuardDuty delegierten Administrators erstellt wird, gilt nicht für die GuardDuty Mitgliedskonten.
Sie müssen Berechtigungen konfigurieren, damit ein IAM-Prinzipal (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Damit die AWSServiceRoleForAmazonGuardDuty serviceverknüpfte Rolle erfolgreich erstellt wird, benötigt die IAM-Prinzipal, GuardDuty mit der Sie verwenden, die erforderlichen Berechtigungen. Um die erforderlichen Berechtigungen zu erteilen, weisen Sie diesem -Benutzer bzw. dieser-Gruppe oder -Rolle die folgende Richtlinie zu:
Anmerkung
Ersetzen Sie das Beispiel account ID im folgenden Beispiel durch Ihre tatsächliche AWS-Konto ID.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Bearbeiten einer serviceverknüpften Rolle für GuardDuty
GuardDuty erlaubt es Ihnen nicht, die AWSServiceRoleForAmazonGuardDuty serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für GuardDuty
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.
Wichtig
Wenn Sie Malware Protection für aktiviert haben EC2, wird AWSServiceRoleForAmazonGuardDuty das Löschen nicht automatisch gelöschtAWSServiceRoleForAmazonGuardDutyMalwareProtection. Wenn Sie löschen möchtenAWSServiceRoleForAmazonGuardDutyMalwareProtection, finden Sie Informationen unter Löschen einer serviceverknüpften Rolle für Malware Protection für EC2.
Sie müssen es zunächst GuardDuty in allen aktivierten Regionen deaktivieren, um zu löschenAWSServiceRoleForAmazonGuardDuty. Wenn Sie versuchen, die GuardDuty serviceverknüpfte Rolle zu löschen und der Service noch nicht deaktiviert wurde, schlägt das Löschen fehl. Weitere Informationen finden Sie unter Aussetzen oder Deaktivieren GuardDuty.
Wenn Sie deaktivieren GuardDuty, wird AWSServiceRoleForAmazonGuardDuty das nicht automatisch gelöscht. Wenn Sie GuardDuty erneut aktivieren, wird das Bestehende verwendetAWSServiceRoleForAmazonGuardDuty.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die oder die IAM-API AWS CLI, um die AWSServiceRoleForAmazonGuardDuty serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Wird unterstützt AWS-Regionen
Amazon GuardDuty unterstützt die Verwendung der AWSServiceRoleForAmazonGuardDuty serviceverknüpften Rolle überall AWS-Regionen dort, wo sie verfügbar GuardDuty ist. Eine Liste der Regionen, in denen GuardDuty das Produkt derzeit verfügbar ist, finden Sie unter GuardDuty Amazon-Endpunkte und Kontingente in der Allgemeine Amazon Web Services-Referenz.
