Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos de roles vinculados a servicios de GuardDuty
GuardDuty utiliza el rol vinculado a servicios (SLR) denominado. AWSServiceRoleForAmazonGuardDuty El SLR permite llevar GuardDuty a cabo las siguientes tareas. También permite GuardDuty incluir los metadatos recuperados que pertenecen a la EC2 instancia en los resultado que se GuardDuty puedan generar sobre la posible amenaza. El rol vinculado a servicios AWSServiceRoleForAmazonGuardDuty confía en el servicio guardduty.amazonaws.com para asumir el rol.
Las políticas de permisos ayudan a GuardDuty realizar las siguientes tareas:
-
Utilice EC2 las acciones de Amazon para administrar y recuperar información sobre sus EC2 instancias, imágenes y componentes de red VPCs, como subredes y puertas de enlace de tránsito.
-
Utilice AWS Systems Manager acciones de para administrar asociaciones de SSM en EC2 instancias de Amazon cuando habilite la Supervisión en GuardDuty tiempo de ejecución de Amazon con el agente automatizado para Amazon EC2. Cuando la configuración GuardDuty automática de agentes está deshabilitada, GuardDuty solo tiene en cuenta las EC2 instancias que tienen una etiqueta de inclusión (
GuardDutyManaged:true). -
Utilice AWS Organizations acciones para describir las cuentas asociadas y el ID de la organización.
-
Utilizar las acciones de Amazon S3 para recuperar información sobre buckets y objetos de S3.
-
Utilizar AWS Lambda las acciones de para recuperar información sobre las funciones de Lambda y las etiquetas.
-
Utilice las acciones de Amazon EKS para administrar y recuperar información sobre los clústeres de EKS y administrar los complementos de Amazon EKS en los clústeres de EKS. Las acciones de EKS también recuperan la información sobre las etiquetas asociadas a GuardDuty.
-
Utilice IAM para crear el Permisos de roles vinculados a servicios para Protección contra malware para EC2 después de que se EC2 haya habilitado Protección contra malware.
-
Utilice las acciones de Amazon ECS para administrar y recuperar información sobre los clústeres de Amazon ECS y administrar la configuración de la cuenta de Amazon ECS con
guarddutyActivate. Las acciones que pertenecen a Amazon ECS también recuperan la información sobre las etiquetas asociadas a GuardDuty.
El rol se configura con la siguiente política administrada por AWS, que se denomina AmazonGuardDutyServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
A continuación se presenta la política de confianza que se asocia al rol vinculado a servicio AWSServiceRoleForAmazonGuardDuty:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Para obtener más información sobre actualizaciones a la política AmazonGuardDutyServiceRolePolicy, consulte GuardDuty actualizaciones de las políticas gestionadas AWS. Para obtener alertas automáticas sobre cambios en esta política, suscríbase a la fuente RSS en la página de Historial de documentos.
Creación de un rol vinculado a servicios de GuardDuty
El rol AWSServiceRoleForAmazonGuardDuty vinculado a servicios se crea automáticamente cuando se habilita GuardDuty por primera vez o al habilitar GuardDuty en una región compatible en la que no estaba habilitado. También puede crear el rol vinculado a servicios manualmente con la consola de IAM, la o la API AWS CLI de IAM.
importante
El rol vinculado a servicios creado para la cuenta de administrador GuardDuty delegado no se aplica a cuentas miembro. GuardDuty
Debe configurar permisos para permitir a una entidad principal de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para que el rol AWSServiceRoleForAmazonGuardDuty vinculado a servicios se cree correctamente, el rol principal de IAM GuardDuty con el que se usa debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a un usuario, un grupo o un rol de :
nota
Sustituya account ID el ejemplo siguiente por su Cuenta de AWS ID de real.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Para obtener más información acerca de cómo crear un rol manualmente, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.
Modificación de un rol vinculado a servicios de GuardDuty
GuardDuty no le permite editar el rol AWSServiceRoleForAmazonGuardDuty vinculado a servicios. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a servicios de GuardDuty
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitoree ni se mantenga de forma activa.
importante
Si ha habilitado Protección contra malware para EC2, la eliminación AWSServiceRoleForAmazonGuardDuty no se elimina automáticamenteAWSServiceRoleForAmazonGuardDutyMalwareProtection. Si desea eliminarAWSServiceRoleForAmazonGuardDutyMalwareProtection, consulte Eliminar un rol vinculado a servicios para Protección contra malware para. EC2
Para poder eliminar el, primero debe deshabilitar GuardDuty en todas las regiones en las que esté habilitadoAWSServiceRoleForAmazonGuardDuty. Si el GuardDuty servicio está habilitado cuando intenta eliminar el rol vinculado a servicios, el rol no se eliminará. Para obtener más información, consulte Suspender o deshabilitar GuardDuty.
Al deshabilitar GuardDuty, el AWSServiceRoleForAmazonGuardDuty no se elimina automáticamente. Si GuardDuty vuelve a habilitar, se iniciará con el existenteAWSServiceRoleForAmazonGuardDuty.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM AWS CLI, la o la API de IAM para eliminar el rol vinculado a AWSServiceRoleForAmazonGuardDuty servicios. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Compatible Regiones de AWS
Amazon GuardDuty admite el uso del rol AWSServiceRoleForAmazonGuardDuty vinculado al servicio en todos los Regiones de AWS lugares disponibles GuardDuty . Para ver una lista de las regiones en las GuardDuty que está disponible actualmente, consulta los GuardDuty puntos de conexión y las cuotas de Amazon en. Referencia general de Amazon Web Services
