Permisos de roles vinculados a servicios de GuardDuty - Amazon GuardDuty
Creación de un rol vinculado a servicios de GuardDutyEdición de un rol vinculado a servicios de GuardDutyEliminación de un rol vinculado a servicios de GuardDutyRegiones de AWS admitidas

Permisos de roles vinculados a servicios de GuardDuty

GuardDuty usa el rol vinculado a servicios (SLR) denominado AWSServiceRoleForAmazonGuardDuty. El SLR permite a GuardDuty llevar a cabo las siguientes tareas. También permite a GuardDuty incluir los metadatos recuperados que pertenecen a la instancia de EC2 en los resultado que GuardDuty pueda generar sobre la posible amenaza. El rol vinculado a servicios AWSServiceRoleForAmazonGuardDuty confía en el servicio guardduty.amazonaws.com para asumir el rol.

Las políticas de permisos ayudan a GuardDuty a realizar las siguientes tareas:

  • Utilice las acciones de Amazon EC2 para administrar y recuperar información sobre las instancias de EC2, imágenes y componentes de red, como VPC, subredes y puertas de enlace de tránsito.

  • Utilice acciones de AWS Systems Manager para administrar asociaciones de SSM en instancias de Amazon EC2 cuando habilite la Supervisión en tiempo de ejecución de GuardDuty con el agente automatizado para Amazon EC2. Cuando la configuración automatizada del agente de GuardDuty está desactivada, GuardDuty solo considera aquellas instancias de EC2 que tienen una etiqueta de inclusión (GuardDutyManaged:true).

  • Utilice acciones AWS Organizations para describir las cuentas asociadas y el ID de la organización.

  • Utilice las acciones de Amazon S3 para recuperar información sobre buckets y objetos de S3.

  • Utilice las acciones de AWS Lambda para recuperar información sobre las funciones de Lambda y las etiquetas.

  • Utilice las acciones de Amazon EKS para administrar y recuperar información sobre los clústeres de EKS y administrar los complementos de Amazon EKS en los clústeres de EKS. Las acciones de EKS también recuperan la información sobre las etiquetas asociadas a GuardDuty.

  • Utilice IAM para crear el Permisos de rol vinculado al servicio para Malware Protection for EC2 después de que se haya habilitado Malware Protection for EC2.

  • Utilice las acciones de Amazon ECS para administrar y recuperar información sobre los clústeres de Amazon ECS y administrar la configuración de la cuenta de Amazon ECS con guarddutyActivate. Las acciones que pertenecen a Amazon ECS también recuperan la información sobre las etiquetas asociadas a GuardDuty.

El rol se configura con la siguiente política administrada por AWS, que se denomina AmazonGuardDutyServiceRolePolicy.

Para ver los permisos de esta política, consulte AmazonGuardDutyServiceRolePolicy en la Guía de referencia de políticas administradas por AWS.

A continuación se presenta la política de confianza que se asocia al rol vinculado a servicio AWSServiceRoleForAmazonGuardDuty:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para obtener más información sobre actualizaciones a la política AmazonGuardDutyServiceRolePolicy, consulte Actualizaciones de GuardDuty en las políticas administradas por AWS. Para obtener alertas automáticas sobre cambios en esta política, suscríbase a la fuente RSS en la página de Historial de revisión.

Creación de un rol vinculado a servicios de GuardDuty

El rol vinculado a servicios AWSServiceRoleForAmazonGuardDuty se crea automáticamente cuando se habilita GuardDuty por primera vez o al habilitar GuardDuty en una región compatible en la que no estaba habilitado. También puede crear el rol vinculado al servicio manualmente con la consola de IAM, la AWS CLI o la API de IAM.

importante

El rol vinculado a servicios creado para la cuenta de administrador delegado de GuardDuty no se aplica a cuentas de GuardDuty de miembros.

Debe configurar permisos para permitir a una entidad principal de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para que el rol vinculado a servicios AWSServiceRoleForAmazonGuardDuty se cree correctamente, la entidad principal de IAM con la que se utiliza GuardDuty debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a un usuario, un grupo o un rol de :

nota

Sustituya el ID de cuenta de ejemplo del siguiente ejemplo por su ID de Cuenta de AWS real.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}

Para obtener más información sobre cómo crear un rol manualmente, consulte Crear un rol vinculado a servicios en la Guía del usuario de IAM.

Edición de un rol vinculado a servicios de GuardDuty

GuardDuty no le permite editar el rol vinculado a servicios AWSServiceRoleForAmazonGuardDuty. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicios de GuardDuty

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitoree ni se mantenga de forma activa.

importante

Si ha habilitado Malware Protection for EC2, la eliminación de AWSServiceRoleForAmazonGuardDuty no elimina AWSServiceRoleForAmazonGuardDutyMalwareProtection automáticamente. Si desea eliminar AWSServiceRoleForAmazonGuardDutyMalwareProtection, consulte Eliminar un rol vinculado al servicio para Malware Protection for EC2.

Para poder eliminar AWSServiceRoleForAmazonGuardDuty, primero debe deshabilitar GuardDuty en todas las regiones en las que esté habilitado. Si el servicio GuardDuty está habilitado cuando intente eliminar el rol vinculado a servicios, no se eliminará. Para obtener más información, consulte Suspensión o deshabilitación de GuardDuty.

Al deshabilitar GuardDuty, AWSServiceRoleForAmazonGuardDuty no se elimina automáticamente. Si vuelve a habilitar GuardDuty, se iniciará con el AWSServiceRoleForAmazonGuardDuty existente.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado a servicios AWSServiceRoleForAmazonGuardDuty. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones de AWS admitidas

Amazon GuardDuty admite el uso del rol vinculado a servicios AWSServiceRoleForAmazonGuardDuty en todas las Regiones de AWS en las que GuardDuty está disponible. Para obtener una lista de las regiones en las que GuardDuty está disponible actualmente, consulte Amazon GuardDuty endpoints and quotas en la Referencia general de Amazon Web Services.