AWS politiques gérées pour Amazon GuardDuty - Amazon GuardDuty
AmazonGuardDutyFullAccess_v2 (recommandé)AmazonGuardDutyFullAccessAmazonGuardDutyReadOnlyAccessAmazonGuardDutyServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Amazon GuardDuty

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

L'élément de politique Version spécifie les règles de syntaxe de langage qui doivent être utilisées pour traiter une politique. Les politiques suivantes incluent la version actuelle prise en charge par IAM. Pour plus d'informations, voir Éléments de politique IAM JSON : Version.

AWS politique gérée : AmazonGuardDutyFullAccess_v2 (recommandée)

Vous pouvez associer la politique AmazonGuardDutyFullAccess_v2 à vos identités IAM. Between AmazonGuardDutyFullAccess_v2 etAmazonGuardDutyFullAccess, GuardDuty recommande de joindre une pièce jointe, AmazonGuardDutyFullAccess_v2 car cela offre une sécurité renforcée et limite les actions administratives aux principaux responsables GuardDuty du service. Cette politique permettra toujours à l'utilisateur d'avoir un accès complet pour effectuer toutes les GuardDuty actions et accéder aux ressources requises.

Détails de l’autorisation

La AmazonGuardDutyFullAccess_v2 politique inclut les autorisations suivantes :

  • GuardDuty— Permet aux utilisateurs d'accéder pleinement à toutes les GuardDuty actions.

  • IAM:

    • Permet aux utilisateurs de créer un rôle GuardDuty lié à un service.

    • Permet de visualiser et de gérer les rôles IAM et leurs politiques pour GuardDuty.

    • Permet aux utilisateurs de transmettre un rôle GuardDuty qui utilise ce rôle pour activer la fonctionnalité GuardDuty Malware Protection for S3. Cela s'applique quelle que soit la manière dont vous activez la protection contre les programmes malveillants pour S3, que ce soit dans le cadre du GuardDuty service ou indépendamment.

    • L'autorisation d'effectuer une iam:GetRole action permet de déterminer AWSServiceRoleForAmazonGuardDutyMalwareProtection si le rôle lié à un service (SLR) pour Malware Protection for EC2 existe dans un compte.

  • Organizations:

    • Permettre aux utilisateurs de lire (voir) la structure et les comptes de GuardDuty l'organisation.

    • Permet aux utilisateurs de désigner un administrateur délégué et de gérer les membres d'une GuardDuty organisation.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "GuardDutyFullAccess",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateGuardDutyServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GuardDutyOrganizationsAdminAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyIamRoleAccess",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "PassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS politique gérée : AmazonGuardDutyFullAccess

Vous pouvez associer la politique AmazonGuardDutyFullAccess à vos identités IAM.

Important

Pour une sécurité renforcée et des autorisations restrictives accordées aux responsables du GuardDuty service, nous vous recommandons d'utiliserAWS politique gérée : AmazonGuardDutyFullAccess_v2 (recommandée).

Cette politique accorde des autorisations administratives qui permettent à un utilisateur d'avoir un accès complet pour effectuer toutes les GuardDuty actions et ressources.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • GuardDuty— Permet aux utilisateurs d'accéder pleinement à toutes les GuardDuty actions.

  • IAM:

    • Permet aux utilisateurs de créer le rôle GuardDuty lié au service.

    • Permet à un compte administrateur d'activer GuardDuty les comptes des membres.

    • Permet aux utilisateurs de transmettre un rôle GuardDuty qui utilise ce rôle pour activer la fonctionnalité GuardDuty Malware Protection for S3. Cela s'applique quelle que soit la manière dont vous activez la protection contre les programmes malveillants pour S3, que ce soit dans le cadre du GuardDuty service ou indépendamment.

  • Organizations— Permet aux utilisateurs de désigner un administrateur délégué et de gérer les membres d'une GuardDuty organisation.

L'autorisation d'effectuer une iam:GetRole action permet de déterminer AWSServiceRoleForAmazonGuardDutyMalwareProtection si le rôle lié à un service (SLR) pour Malware Protection for EC2 existe dans un compte.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS politique gérée : AmazonGuardDutyReadOnlyAccess

Vous pouvez associer la politique AmazonGuardDutyReadOnlyAccess à vos identités IAM.

Cette politique accorde des autorisations en lecture seule qui permettent à un utilisateur de consulter les GuardDuty résultats et les détails de votre GuardDuty organisation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • GuardDuty— Permet aux utilisateurs de consulter GuardDuty les résultats et d'effectuer des opérations d'API commençant par GetList, ouDescribe.

  • Organizations— Permet aux utilisateurs de récupérer des informations sur la configuration de votre GuardDuty organisation, notamment les détails du compte d'administrateur délégué.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS politique gérée : AmazonGuardDutyServiceRolePolicy

Vous ne pouvez pas joindre de AmazonGuardDutyServiceRolePolicy à vos entités IAM. Cette politique AWS gérée est associée à un rôle lié à un service qui permet d' GuardDuty effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Autorisations des rôles liés à un service pour GuardDuty.

GuardDuty mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées GuardDuty depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du GuardDuty document.

Modification Description Date

AmazonGuardDutyFullAccess_v2— Ajout d'une nouvelle politique

Ajout d'une nouvelle AmazonGuardDutyFullAccess_v2 politique. Cela est recommandé car ses autorisations renforcent la sécurité en limitant les actions administratives aux principaux responsables du GuardDuty service en fonction des rôles et des politiques IAM, ainsi que de l'intégration. AWS Organizations

04 juin 2025

AmazonGuardDutyServiceRolePolicy – Mise à jour d’une politique existante

L'ec2:DescribeVpcsautorisation a été ajoutée. Cela permet de suivre GuardDuty les mises à jour du VPC, par exemple en récupérant le CIDR du VPC.

 22 août 2024

AmazonGuardDutyServiceRolePolicy – Mise à jour d’une politique existante

Autorisation ajoutée qui vous permet de transmettre un rôle IAM GuardDuty lorsque vous activez Malware Protection pour S3.

{
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "guardduty.amazonaws.com"
                }
            }
}
 10 juin 2024

AmazonGuardDutyServiceRolePolicy - Mettre à jour vers une politique existante.

Utilisez AWS Systems Manager des actions pour gérer les associations SSM sur les EC2 instances Amazon lorsque vous activez la surveillance du GuardDuty temps d'exécution avec un agent automatisé pour Amazon EC2. Lorsque la configuration GuardDuty automatique des agents est désactivée, ne GuardDuty prend en compte que les EC2 instances dotées d'une balise d'inclusion (GuardDutyManaged:true).

 26 mars 2024

AmazonGuardDutyServiceRolePolicy - Mettre à jour vers une politique existante.

GuardDuty a ajouté une nouvelle autorisation : organization:DescribeOrganization pour récupérer l'ID d'organisation du compte Amazon VPC partagé et définir la politique de point de terminaison Amazon VPC avec l'ID d'organisation.

 9 février 2024

AmazonGuardDutyMalwareProtectionServiceRolePolicy - Mettre à jour vers une politique existante.

Malware Protection for EC2 a ajouté deux autorisations : GetSnapshotBlock celle de ListSnapshotBlocks récupérer l'instantané d'un volume EBS (chiffré à l'aide Clé gérée par AWS) depuis votre compte de service Compte AWS et de le copier sur le compte de GuardDuty service avant de lancer l'analyse des logiciels malveillants.

 25 janvier 2024

AmazonGuardDutyServiceRolePolicy – Mise à jour d’une politique existante

De nouvelles autorisations ont été ajoutées GuardDuty pour permettre d'ajouter des paramètres de compte guarddutyActivate Amazon ECS et d'effectuer des opérations de liste et de description sur les clusters Amazon ECS.

 26 novembre 2023

AmazonGuardDutyReadOnlyAccess – Mise à jour d’une politique existante

 GuardDuty a ajouté une nouvelle politique pour organizations toListAccounts.

16 novembre 2023

AmazonGuardDutyFullAccess – Mise à jour d’une politique existante

 GuardDuty a ajouté une nouvelle politique pour organizations toListAccounts.

16 novembre 2023

AmazonGuardDutyServiceRolePolicy – Mise à jour d’une politique existante

GuardDuty a ajouté de nouvelles autorisations pour prendre en charge la prochaine fonctionnalité de surveillance du temps d'exécution d' GuardDutyEKS.

 8 mars 2023

AmazonGuardDutyServiceRolePolicy – Mise à jour d’une politique existante

GuardDuty a ajouté de nouvelles autorisations permettant de GuardDuty créer un rôle lié au service pour Malware Protection for. EC2 Cela permettra de GuardDuty rationaliser le processus d'activation de la protection contre les programmes malveillants pour EC2.

GuardDuty peut désormais effectuer l'action IAM suivante :

{
    "Effect": "Allow",
	"Action": "iam:CreateServiceLinkedRole",
	"Resource": "*",
	"Condition": {
	   "StringEquals": {
	       "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
	   }
	}
}
 21 février 2023

AmazonGuardDutyFullAccess – Mise à jour d’une politique existante

GuardDuty ARN mis à jour pour iam:GetRole to*AWSServiceRoleForAmazonGuardDutyMalwareProtection.

 26 juillet 2022

AmazonGuardDutyFullAccess – Mise à jour d’une politique existante

GuardDuty a ajouté un nouveau rôle AWSServiceName pour autoriser la création d'un rôle lié à un service à l'aide iam:CreateServiceLinkedRole de GuardDuty Malware Protection for EC2 Service.

GuardDuty peut désormais effectuer l'iam:GetRoleaction pour obtenir des informations pourAWSServiceRole.

 26 juillet 2022

AmazonGuardDutyServiceRolePolicy – Mise à jour d’une politique existante

GuardDuty a ajouté de nouvelles autorisations permettant GuardDuty d'utiliser les actions EC2 réseau d'Amazon pour améliorer les résultats.

GuardDuty peut désormais effectuer les EC2 actions suivantes pour obtenir des informations sur la façon dont vos EC2 instances communiquent. Ces informations permettent d'améliorer la précision des résultats.

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

 3 août 2021

GuardDuty a commencé à suivre les modifications

GuardDuty a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 3 août 2021