Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité sur Amazon GuardDuty
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le AWS cadre des [programmes](https://aws.amazon.com/compliance/programs/) de de ). Pour en savoir plus sur les programmes de conformité qui s'appliquent à GuardDuty, consultez la section [AWS services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/) et .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre entreprise, ainsi que la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation GuardDuty. Il vous explique comment procéder à la configuration GuardDuty pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos GuardDuty ressources.
**Topics**
+ [Protection des données sur Amazon GuardDuty](data-protection.md)
+ [Journalisation des appels GuardDuty d'API Amazon avec AWS CloudTrail](logging-using-cloudtrail.md)
+ [Identity and Access Management pour Amazon GuardDuty](security-iam.md)
+ [Validation de conformité pour Amazon GuardDuty](compliance-validation.md)
+ [Résilience chez Amazon GuardDuty](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure sur Amazon GuardDuty](infrastructure-security.md)
+ [Amazon GuardDuty et les points de terminaison VPC d'interface ()AWS PrivateLink](security-vpc-endpoints.md)
# Protection des données sur Amazon GuardDuty
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données sur Amazon GuardDuty. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec GuardDuty ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
## Chiffrement au repos
Toutes les données des GuardDuty clients sont cryptées au repos à l'aide de solutions de AWS chiffrement.
GuardDuty les données, telles que les résultats, sont chiffrées au repos à l'aide de AWS Key Management Service (AWS KMS) à l'aide AWS de clés gérées par le client.
## Chiffrement en transit
GuardDuty analyse les données du journal provenant d'autres services. Il chiffre toutes les données en transit depuis ces services avec HTTPS et KMS. Une GuardDuty fois les informations nécessaires extraites des journaux, elles sont supprimées. Pour plus d'informations sur l' GuardDuty utilisation des informations provenant d'autres services, consultez la section [Sources de GuardDuty données](guardduty_data-sources.md).
GuardDuty les données sont cryptées lors du transit entre les services.
# Refus d’utiliser vos données pour améliorer le service
Vous pouvez choisir de refuser que vos données soient utilisées pour développer GuardDuty et améliorer d'autres services de AWS sécurité en utilisant la politique de AWS Organizations désinscription. Vous pouvez choisir de vous désinscrire même si aucune donnée de ce type GuardDuty n'est actuellement collectée. Pour plus d'informations sur la procédure de désactivation, veuillez consulter [Politiques de désactivation des services IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) dans le *Guide de l'utilisateur AWS Organizations *.
**Note**
Pour que vous puissiez utiliser la politique de désinscription, vos AWS comptes doivent être gérés de manière centralisée par AWS Organizations. Si vous n'avez pas encore créé d'organisation pour vos AWS comptes, consultez la section [Création et gestion d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) dans le *Guide de AWS Organizations l'utilisateur*.
Les effets de la désactivation sont les suivants :
+ GuardDuty supprimera les données collectées et stockées à des fins d'amélioration du service avant votre désinscription (le cas échéant).
+ Après votre désinscription, GuardDuty nous ne collecterons ni ne stockerons ces données à des fins d'amélioration du service.
Les rubriques suivantes expliquent comment chaque fonctionnalité GuardDuty peut potentiellement gérer vos données dans le but d'améliorer le service.
**Topics**
+ [GuardDuty Surveillance du temps d'exécution](#runtime-monitoring-data-opt-out)
+ [GuardDuty Protection contre les logiciels malveillants](#malware-protection-data-opt-out)
## GuardDuty Surveillance du temps d'exécution
GuardDuty La surveillance du temps d'exécution permet de détecter les menaces liées à l'exécution pour les clusters Amazon Elastic Kubernetes Service (Amazon EKS) AWS Fargate , Amazon Elastic Container Service (Amazon ECS) uniquement et les instances Amazon Elastic Compute Cloud (Amazon EC2) de votre environnement. AWS Après avoir activé la surveillance du temps d'exécution et déployé l'agent de GuardDuty sécurité pour votre ressource, GuardDuty commencez à surveiller et à analyser les événements d'exécution associés à votre ressource. Ces types d'événements d'exécution incluent les événements de processus, les événements de conteneur, les événements DNS, etc. Pour de plus amples informations, veuillez consulter [Types d'événements d'exécution collectés qui GuardDuty utilisent](runtime-monitoring-collected-events.md).
GuardDuty collecte à la fois les commandes (telles que `curl``systemctl`, et`cron`) et leurs arguments associés (tels que`start`,`stop`,`disable`) à partir de vos charges de travail. Par exemple, lorsque quelqu'un exécute`systemctl stop service-name`, GuardDuty capture à la fois la commande `systemctl` et ses arguments`stop service-name`. Ces informations détaillées permettent de GuardDuty détecter les menaces sophistiquées en analysant les modèles de commande et en corrélant plusieurs événements. Par exemple, GuardDuty peut identifier le moment où un attaquant tente de désactiver les services de sécurité ou exécute des fichiers malveillants connus. Bien qu'il utilise GuardDuty activement ces données pour détecter les menaces, il **n'utilise pas** actuellement ces commandes et arguments à des fins d'amélioration du service (il se peut qu'il le fasse à l'avenir). Votre confiance, votre confidentialité et la sécurité de votre contenu sont nos priorités absolues et garantissent que notre utilisation est conforme à nos engagements envers vous. Pour de plus amples informations, veuillez consulter [FAQ sur la confidentialité des données](https://aws.amazon.com//compliance/data-privacy-faq/).
## GuardDuty Protection contre les logiciels malveillants
GuardDuty Malware Protection analyse et détecte les programmes malveillants contenus dans les volumes EBS attachés à votre instance Amazon EC2 et à vos charges de travail de conteneur potentiellement compromises, dans les fichiers récemment chargés dans les compartiments Amazon S3 que vous avez sélectionnés et dans les ressources de sauvegarde. Actuellement, GuardDuty ne collecte ni n'utilise les logiciels malveillants détectés pour améliorer le service. Toutefois, à l'avenir, lorsque GuardDuty Malware Protection identifie un fichier de volume EBS, un fichier de sauvegarde ou un fichier S3 comme étant malveillant ou dangereux, GuardDuty Malware Protection collectera et stockera ce fichier afin de développer et d'améliorer ses détections de malwares et le GuardDuty service. Ce fichier peut également être utilisé pour développer et améliorer d'autres services de sécurité AWS . Votre confiance, votre confidentialité et la sécurité de votre contenu sont nos priorités absolues et garantissent que notre utilisation est conforme à nos engagements envers vous. Pour de plus amples informations, veuillez consulter [FAQ sur la confidentialité des données](https://aws.amazon.com//compliance/data-privacy-faq/).
# Journalisation des appels GuardDuty d'API Amazon avec AWS CloudTrail
Amazon GuardDuty est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans GuardDuty. CloudTrail capture tous les appels d'API GuardDuty sous forme d'événements, y compris les appels depuis la GuardDuty console et les appels de code vers le GuardDuty APIs. Si vous créez un suivi, vous pouvez activer la diffusion continue des CloudTrail événements vers un bucket Amazon Simple Storage Service (Amazon S3), y compris les événements pour. GuardDuty Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite GuardDuty, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires.
Pour plus d'informations CloudTrail, notamment sur la manière de le configurer et de l'activer, consultez le *[guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)*.
## GuardDuty informations dans CloudTrail
CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité événementielle prise en charge se produit dans GuardDuty, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements AWS de service dans **l'historique des événements**. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour GuardDuty, créez un parcours. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour en savoir plus, consultez :
+ [Présentation de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Intégrations et services pris en charge par CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été effectuée avec des informations d'identification de connexion d'utilisateur root ou d'utilisateur IAM.
+ Si la demande a été effectuée avec des informations d’identification de sécurité temporaires pour un rôle ou un utilisateur fédéré
+ Si la demande a été faite par un autre AWS service
Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## GuardDuty événements du plan de contrôle dans CloudTrail
Par défaut, CloudTrail enregistre toutes les opérations GuardDuty d'API fournies dans le [Amazon GuardDuty API Reference](https://docs.aws.amazon.com/guardduty/latest/APIReference/) sous forme d'événements dans CloudTrail des fichiers.
## GuardDuty événements de données dans CloudTrail
[GuardDuty Surveillance du temps d'exécution](runtime-monitoring.md)utilise un agent de GuardDuty sécurité déployé sur vos clusters Amazon Elastic Kubernetes Service (Amazon EKS), vos AWS Fargate instances Amazon Elastic Compute Cloud (Amazon EC2) et vos tâches (Amazon Elastic Container Service (Amazon ECS) uniquement) pour collecter un module complémentaire [Types d'événement d'exécution collectés](runtime-monitoring-collected-events.md) () AWS qui collecte pour vos charges de travail puis les envoie `aws-guardduty-agent` à des fins de détection et d'analyse des menaces. GuardDuty
### Enregistrement et surveillance des événements de données
Vous pouvez éventuellement configurer les AWS CloudTrail journaux pour afficher les événements de données relatifs à votre agent GuardDuty de sécurité.
Pour créer et configurer CloudTrail, consultez la section [Événements liés aux données](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) dans le *guide de l'AWS CloudTrail utilisateur* et suivez les instructions relatives à la **journalisation des événements de données à l'aide des sélecteurs d'événements avancés dans le AWS Management Console**. Lorsque vous enregistrez le journal de suivi, veillez à apporter les modifications suivantes :
+ Pour le **type d'événement Data**, choisissez **GuardDutydetector**.
+ Pour le **modèle de sélecteur de journal**, choisissez **Consigner tous les événements**.
+ Développez la **vue JSON** pour la configuration. Elle doit être similaire au JSON suivant :
```
[
{
"name": "",
"fieldSelectors": [
{
"field": "eventCategory",
"equals": [
"Data"
]
},
{
"field": "resources.type",
"equals": [
"AWS::GuardDuty::Detector"
]
}
]
}
]
```
Après avoir activé le sélecteur pour le parcours, accédez à la console Amazon S3 à [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)l'adresse. Vous pouvez télécharger les événements de données depuis le compartiment S3 que vous avez choisi au moment de configurer les CloudTrail journaux.
# Exemple : entrées de fichier GuardDuty journal
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics. Ils n'apparaissent donc pas dans un ordre spécifique.
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'événement du plan de données.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-instance:i-123412341234example",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-instance/i-123412341234example",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-instance",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-instance",
"accountId": "111122223333",
"userName": "aws:ec2-instance"
},
"attributes": {
"creationDate": "2023-03-05T04:00:21Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2023-03-05T06:03:49Z",
"eventSource": "guardduty.amazonaws.com",
"eventName": "SendSecurityTelemetry",
"awsRegion": "us-east-1",
"sourceIPAddress": "54.240.230.177",
"userAgent": "aws-sdk-rust/0.54.1 os/linux lang/rust/1.66.0",
"requestParameters": null,
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::GuardDuty::Detector",
"ARN": "arn:aws:guardduty:us-west-2:111122223333:detector/12abc34d567e8fa901bc2d34e56789f0"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "guardduty-data.us-east-1.amazonaws.com"
}
}
```
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'`CreateIPThreatIntelSet`action (événement du plan de contrôle).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::444455556666:user/Alice",
"accountId": "444455556666",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-06-14T22:54:20Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::444455556666:user/Alice",
"accountId": "444455556666",
"userName": "Alice"
}
}
},
"eventTime": "2018-06-14T22:57:56Z",
"eventSource": "guardduty.amazonaws.com",
"eventName": "CreateThreatIntelSet",
"awsRegion": "us-west-2",
"sourceIPAddress": "54.240.230.177",
"userAgent": "console.amazonaws.com",
"requestParameters": {
"detectorId": "12abc34d567e8fa901bc2d34e56789f0",
"name": "Example",
"format": "TXT",
"activate": false,
"location": "https://s3.amazonaws.com/bucket.name/file.txt"
},
"responseElements": {
"threatIntelSetId": "1ab200428351c99d859bf61992460d24"
},
"requestID": "5f6bf981-7026-11e8-a9fc-5b37d2684c5c",
"eventID": "81337b11-e5c8-4f91-b141-deb405625bc9",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "444455556666"
}
```
À partir des informations de cet événement, vous pouvez déterminer que la demande a été effectuée pour créer un `Example` de liste de menaces dans GuardDuty. Vous pouvez également voir que la demande a été effectuée par un utilisateur nommé Alice le 14 juin 2018.
# Identity and Access Management pour Amazon GuardDuty
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser GuardDuty les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon GuardDuty travaille avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour Amazon GuardDuty](security_iam_id-based-policy-examples.md)
+ [Utilisation de rôles liés à un service pour Amazon GuardDuty](using-service-linked-roles.md)
+ [AWS politiques gérées pour Amazon GuardDuty](security-iam-awsmanpol.md)
+ [Résolution des problèmes liés à GuardDuty l'identité et à l'accès à Amazon](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes liés à GuardDuty l'identité et à l'accès à Amazon](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon GuardDuty travaille avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour Amazon GuardDuty](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon GuardDuty travaille avec IAM
Avant d'utiliser IAM pour gérer l'accès à GuardDuty, découvrez les fonctionnalités IAM disponibles. GuardDuty
**Fonctionnalités IAM que vous pouvez utiliser avec Amazon GuardDuty**
| Fonctionnalité IAM | GuardDuty soutien |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (identifications dans les politiques)](#security_iam_service-with-iam-tags) | Partielle |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Autorisations de principal](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles de service](#security_iam_service-with-iam-roles-service) | Oui |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont GuardDuty les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.
## Politiques basées sur l'identité pour GuardDuty
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour GuardDuty
Pour consulter des exemples de politiques GuardDuty basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour Amazon GuardDuty](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources au sein de GuardDuty
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Actions politiques pour GuardDuty
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des GuardDuty actions, consultez la section [Actions définies par Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-actions-as-permissions) dans le *Service Authorization Reference*.
Les actions de politique en GuardDuty cours utilisent le préfixe suivant avant l'action :
```
guardduty
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"guardduty:action1",
"guardduty:action2"
]
```
Pour consulter des exemples de politiques GuardDuty basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour Amazon GuardDuty](security_iam_id-based-policy-examples.md)
## Ressources politiques pour GuardDuty
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de GuardDuty ressources et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-resources-for-iam-policies) dans le *Service Authorization Reference*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-actions-as-permissions).
Pour consulter des exemples de politiques GuardDuty basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour Amazon GuardDuty](security_iam_id-based-policy-examples.md)
## Clés de conditions de politique pour GuardDuty
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de GuardDuty condition, consultez la section [Clés de condition pour Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-policy-keys) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-actions-as-permissions).
Pour consulter des exemples de politiques GuardDuty basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour Amazon GuardDuty](security_iam_id-based-policy-examples.md)
## Listes de contrôle d'accès (ACLs) dans GuardDuty
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## Contrôle d'accès basé sur les attributs (ABAC) avec GuardDuty
**Prend en charge ABAC (identifications dans les politiques) :** partiellement
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs nommés balise. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation d'informations d'identification temporaires avec GuardDuty
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations principales interservices pour GuardDuty
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour GuardDuty
**Prend en charge les rôles de service :** oui
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations associées à un rôle de service peut perturber GuardDuty les fonctionnalités. Modifiez les rôles de service uniquement lorsque GuardDuty vous recevez des instructions à cet effet.
## Rôles liés à un service pour GuardDuty
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus de détails sur la création ou la gestion des rôles GuardDuty liés à un service, consultez. [Utilisation de rôles liés à un service pour Amazon GuardDuty](using-service-linked-roles.md)
Pour plus d’informations sur la création ou la gestion des rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.
# Exemples de politiques basées sur l'identité pour Amazon GuardDuty
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources GuardDuty. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par GuardDuty, y compris le format de ARNs pour chacun des types de ressources, consultez la section [Actions, ressources et clés de condition pour Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html) dans le *Service Authorization Reference*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la GuardDuty console](#security_iam_id-based-policy-examples-console)
+ [Autorisations requises pour activer GuardDuty](#guardduty_enable-permissions)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Politique IAM personnalisée pour accorder un accès en lecture seule à GuardDuty](#security_iam_id-based-policy-examples-custom-readonly)
+ [Refuser l'accès aux GuardDuty résultats](#security_iam_id-based-policy-examples-deny-findings)
+ [Utilisation d'une politique IAM personnalisée pour limiter l'accès aux ressources GuardDuty](#security_iam_id-based-policy-examples-guardduty_restrict_access_to_resources)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer GuardDuty des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la GuardDuty console
Pour accéder à la GuardDuty console Amazon, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails GuardDuty des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la GuardDuty console, associez également la politique GuardDuty `ConsoleAccess` ou la politique `ReadOnly` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
## Autorisations requises pour activer GuardDuty
Pour accorder les autorisations nécessaires aux différentes identités IAM (utilisateurs, groupes et rôles), attachez la [AWS politique gérée : AmazonGuardDutyFullAccess\$1v2 (recommandée)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) politique requise à activer GuardDuty.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Politique IAM personnalisée pour accorder un accès en lecture seule à GuardDuty
Pour accorder un accès en lecture seule, GuardDuty vous pouvez utiliser la politique `AmazonGuardDutyReadOnlyAccess` gérée.
Pour créer une politique personnalisée qui accorde à un rôle, à un utilisateur ou à un groupe IAM un accès en lecture seule GuardDuty, vous pouvez utiliser l'instruction suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:ListMembers",
"guardduty:GetMembers",
"guardduty:ListInvitations",
"guardduty:ListDetectors",
"guardduty:GetDetector",
"guardduty:ListFindings",
"guardduty:GetFindings",
"guardduty:ListIPSets",
"guardduty:GetIPSet",
"guardduty:ListThreatIntelSets",
"guardduty:GetThreatIntelSet",
"guardduty:GetMasterAccount",
"guardduty:GetInvitationsCount",
"guardduty:GetFindingsStatistics",
"guardduty:DescribeMalwareScans",
"guardduty:UpdateMalwareScanSettings",
"guardduty:GetMalwareScanSettings"
],
"Resource": "*"
}
]
}
```
------
## Refuser l'accès aux GuardDuty résultats
Vous pouvez utiliser la politique suivante pour refuser à un rôle, à un utilisateur ou à un groupe IAM l'accès aux GuardDuty résultats. Les utilisateurs ne peuvent pas consulter les résultats ni les détails les concernant, mais ils peuvent accéder à toutes les autres GuardDuty opérations :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:CreateDetector",
"guardduty:DeleteDetector",
"guardduty:UpdateDetector",
"guardduty:GetDetector",
"guardduty:ListDetectors",
"guardduty:CreateIPSet",
"guardduty:DeleteIPSet",
"guardduty:UpdateIPSet",
"guardduty:GetIPSet",
"guardduty:ListIPSets",
"guardduty:CreateThreatIntelSet",
"guardduty:DeleteThreatIntelSet",
"guardduty:UpdateThreatIntelSet",
"guardduty:GetThreatIntelSet",
"guardduty:ListThreatIntelSets",
"guardduty:ArchiveFindings",
"guardduty:UnarchiveFindings",
"guardduty:CreateSampleFindings",
"guardduty:CreateMembers",
"guardduty:InviteMembers",
"guardduty:GetMembers",
"guardduty:DeleteMembers",
"guardduty:DisassociateMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:ListMembers",
"guardduty:GetMasterAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:AcceptAdministratorInvitation",
"guardduty:ListInvitations",
"guardduty:GetInvitationsCount",
"guardduty:DeclineInvitations",
"guardduty:DeleteInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
## Utilisation d'une politique IAM personnalisée pour limiter l'accès aux ressources GuardDuty
Pour définir l'accès d'un utilisateur en GuardDuty fonction de l'ID du détecteur, vous pouvez utiliser toutes les [actions d'GuardDutyAPI](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Operations.html) dans vos politiques IAM personnalisées, à l'**exception** des opérations suivantes :
+ `guardduty:CreateDetector`
+ `guardduty:DeclineInvitations`
+ `guardduty:DeleteInvitations`
+ `guardduty:GetInvitationsCount`
+ `guardduty:ListDetectors`
+ `guardduty:ListInvitations`
Utilisez les opérations suivantes dans une politique IAM pour définir l'accès d'un utilisateur en GuardDuty fonction de l' IPSet ID et de l' ThreatIntelSet ID :
+ `guardduty:DeleteIPSet`
+ `guardduty:DeleteThreatIntelSet`
+ `guardduty:GetIPSet`
+ `guardduty:GetThreatIntelSet`
+ `guardduty:UpdateIPSet`
+ `guardduty:UpdateThreatIntelSet`
Les exemples suivants montrent comment créer des stratégies à l'aide de certains des opérations précédentes :
+ Cette politique permet à un utilisateur d'exécuter l'opération `guardduty:UpdateDetector`, à l'aide de l'ID de détecteur 1234567 dans la région us-east-1 :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:UpdateDetector"
],
"Resource": "arn:aws:guardduty:us-east-1:123456789012:detector/1234567"
}
]
}
```
------
+ Cette politique permet à un utilisateur d'exécuter l'`guardduty:UpdateIPSet`opération en utilisant l'ID de détecteur 1234567 et l' IPSet ID 000000 dans la région us-east-1 :
**Note**
Assurez-vous que l'utilisateur dispose des autorisations requises pour accéder aux listes d'adresses IP fiables et aux listes de menaces dans GuardDuty. Pour de plus amples informations, veuillez consulter [Configuration des prérequis pour les listes d'entités et les listes d'adresses IP](guardduty-lists-prerequisites.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:UpdateIPSet"
],
"Resource": "arn:aws:guardduty:us-east-1:123456789012:detector/1234567/ipset/000000"
}
]
}
```
------
+ Cette politique permet à un utilisateur d'exécuter l'`guardduty:UpdateIPSet`opération en utilisant n'importe quel identifiant de détecteur et l' IPSet ID 000000 dans la région us-east-1 :
**Note**
Assurez-vous que l'utilisateur dispose des autorisations requises pour accéder aux listes d'adresses IP fiables et aux listes de menaces dans GuardDuty. Pour de plus amples informations, veuillez consulter [Configuration des prérequis pour les listes d'entités et les listes d'adresses IP](guardduty-lists-prerequisites.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:UpdateIPSet"
],
"Resource": "arn:aws:guardduty:us-east-1:123456789012:detector/*/ipset/000000"
}
]
}
```
------
+ Cette politique permet à un utilisateur d'exécuter l'`guardduty:UpdateIPSet`opération en utilisant son identifiant de détecteur et n'importe quel IPSet identifiant de la région us-east-1 :
**Note**
Assurez-vous que l'utilisateur dispose des autorisations requises pour accéder aux listes d'adresses IP fiables et aux listes de menaces dans GuardDuty. Pour de plus amples informations, veuillez consulter [Configuration des prérequis pour les listes d'entités et les listes d'adresses IP](guardduty-lists-prerequisites.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:UpdateIPSet"
],
"Resource": "arn:aws:guardduty:us-east-1:123456789012:detector/1234567/ipset/*"
}
]
}
```
------
# Utilisation de rôles liés à un service pour Amazon GuardDuty
Amazon GuardDuty utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service (SLR) est un type unique de rôle IAM directement lié à. GuardDuty Les rôles liés aux services sont prédéfinis par GuardDuty et incluent toutes les autorisations nécessaires pour GuardDuty appeler d'autres AWS services en votre nom.
Avec un rôle lié à un service, vous pouvez le configurer GuardDuty sans ajouter manuellement les autorisations nécessaires. GuardDuty définit les autorisations de son rôle lié au service et, sauf si les autorisations sont définies autrement, seul GuardDuty peut assumer le rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
GuardDuty prend en charge l'utilisation de rôles liés aux services dans toutes les régions où cela GuardDuty est disponible. Pour de plus amples informations, veuillez consulter [Régions et points de terminaison](guardduty_regions.md).
Vous ne pouvez supprimer le rôle GuardDuty lié à un service qu'après l'avoir d'abord désactivé GuardDuty dans toutes les régions où il est activé. Cela protège vos GuardDuty ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'y accéder.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, veuillez consulter [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l'utilisateur IAM* et recherchez les services ayant **Oui** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
# Autorisations de rôle liées à un service pour GuardDuty
GuardDuty utilise le rôle lié au service (SLR) nommé. `AWSServiceRoleForAmazonGuardDuty` Le reflex permet d' GuardDuty effectuer les tâches suivantes. Cela permet également GuardDuty d'inclure les métadonnées récupérées appartenant à l'instance EC2 dans les conclusions qui GuardDuty peuvent être générées concernant la menace potentielle. Le rôle lié à un service `AWSServiceRoleForAmazonGuardDuty` fait confiance au service `guardduty.amazonaws.com` pour endosser le rôle.
Les politiques d'autorisation permettent GuardDuty d'effectuer les tâches suivantes :
+ Utilisez les actions Amazon EC2 pour gérer et récupérer des informations sur vos instances EC2, vos images et vos composants réseau tels que les sous-réseaux et les VPCs passerelles de transit.
+ Utilisez AWS Systems Manager des actions pour gérer les associations SSM sur les instances Amazon EC2 lorsque vous GuardDuty activez la surveillance du temps d'exécution avec un agent automatisé pour Amazon EC2. Lorsque la configuration GuardDuty automatique des agents est désactivée, ne GuardDuty prend en compte que les instances EC2 dotées d'une balise d'inclusion (`GuardDutyManaged`:`true`).
+ Utilisez AWS Organizations des actions pour décrire les comptes associés et l'identifiant de l'organisation.
+ Utilisez les actions Amazon S3 pour récupérer des informations sur les compartiments et les objets S3.
+ Utilisez AWS Lambda des actions pour récupérer des informations sur vos fonctions et balises Lambda.
+ Utilisez les actions Amazon EKS pour gérer et récupérer des informations sur les clusters EKS et gérer les [modules complémentaires Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) sur des clusters EKS. Les actions EKS récupèrent également les informations relatives aux balises associées à GuardDuty.
+ Utilisez IAM pour créer la protection contre les programmes malveillants [Autorisations de rôle liées à un service pour Malware Protection for EC2](slr-permissions-malware-protection.md) après l'activation de la protection contre les logiciels malveillants pour EC2.
+ Utilisez les actions Amazon ECS pour gérer et récupérer des informations sur les clusters Amazon ECS, et gérez les paramètres du compte Amazon ECS avec`guarddutyActivate`. Les actions relatives à Amazon ECS récupèrent également les informations relatives aux balises associées à GuardDuty.
Le rôle est configuré avec la [stratégie gérée AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) suivante, nommée `AmazonGuardDutyServiceRolePolicy`.
Pour consulter les autorisations associées à cette politique, consultez [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
Voici la stratégie d'approbation qui est attachée au rôle lié à un service `AWSServiceRoleForAmazonGuardDuty` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pour plus de détails sur les mises à jour `AmazonGuardDutyServiceRolePolicy` de la politique, consultez[GuardDuty mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Pour recevoir des alertes automatiques concernant les modifications apportées à cette politique, abonnez-vous au fil RSS de la [Historique de la documentation](doc-history.md) page.
## Création d'un rôle lié à un service pour GuardDuty
Le rôle `AWSServiceRoleForAmazonGuardDuty` lié au service est automatiquement créé lorsque vous l'activez GuardDuty pour la première fois ou lorsque vous l'activez GuardDuty dans une région prise en charge où il n'était pas activé auparavant. Vous pouvez également créer le rôle lié au service manuellement à l'aide de la console IAM, de l'API IAM ou de l' AWS CLI API IAM.
**Important**
Le rôle lié au service créé pour le compte d'administrateur GuardDuty délégué ne s'applique pas aux comptes des membres GuardDuty .
Vous devez configurer les autorisations de manière à permettre à un principal IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle `AWSServiceRoleForAmazonGuardDuty` lié au service soit correctement créé, le principal IAM que vous utilisez doit disposer GuardDuty des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
**Note**
*account ID*Dans l'exemple suivant, remplacez l'exemple par votre véritable Compte AWS identifiant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Modification d'un rôle lié à un service pour GuardDuty
GuardDuty ne vous permet pas de modifier le rôle `AWSServiceRoleForAmazonGuardDuty` lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour GuardDuty
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
**Important**
Si vous avez activé la protection contre les programmes malveillants pour EC2, la suppression `AWSServiceRoleForAmazonGuardDuty` n'est pas automatiquement supprimée. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Si vous souhaitez effectuer une suppression`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, consultez la section [Suppression d'un rôle lié à un service pour Malware Protection for EC2.](slr-permissions-malware-protection#delete-slr)
Vous devez d'abord GuardDuty le désactiver dans toutes les régions où il est activé afin de supprimer le`AWSServiceRoleForAmazonGuardDuty`. Si le GuardDuty service n'est pas désactivé lorsque vous essayez de supprimer le rôle lié au service, la suppression échoue. Pour de plus amples informations, veuillez consulter [Suspension ou désactivation GuardDuty](guardduty_suspend-disable.md).
Lorsque vous le désactivez GuardDuty, le `AWSServiceRoleForAmazonGuardDuty` fichier n'est pas supprimé automatiquement. Si vous GuardDuty réactivez, il commencera à utiliser l'existant`AWSServiceRoleForAmazonGuardDuty`.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM AWS CLI, ou l'API IAM pour supprimer le rôle lié au `AWSServiceRoleForAmazonGuardDuty` service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Soutenu Régions AWS
Amazon GuardDuty prend en charge l'utilisation du rôle `AWSServiceRoleForAmazonGuardDuty` lié au service dans tous les Régions AWS endroits où cela GuardDuty est disponible. Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section [ GuardDuty Points de terminaison et quotas Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) dans le *Référence générale d'Amazon Web Services*.
# Autorisations de rôle liées à un service pour Malware Protection for EC2
Malware Protection for EC2 utilise le rôle lié au service (SLR) nommé. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Ce SLR permet à Malware Protection for EC2 d'effectuer des analyses sans agent afin de détecter les logiciels malveillants présents dans votre compte. GuardDuty Il permet GuardDuty de créer un instantané du volume EBS dans votre compte et de partager cet instantané avec le compte de GuardDuty service. Après avoir GuardDuty évalué le snapshot, celui-ci inclut les métadonnées de charge de travail de conteneur et d'instance EC2 récupérées dans les résultats de la protection contre les malwares pour EC2. Le rôle lié à un service `AWSServiceRoleForAmazonGuardDutyMalwareProtection` fait confiance au service `malware-protection.guardduty.amazonaws.com` pour endosser le rôle.
Les politiques d'autorisation associées à ce rôle permettent à Malware Protection for EC2 d'effectuer les tâches suivantes :
+ Utilisez les actions Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur vos instances, volumes et instantanés Amazon EC2. Malware Protection for EC2 fournit également l'autorisation d'accéder aux métadonnées des clusters Amazon EKS et Amazon ECS.
+ Créer des instantanés pour les volumes EBS dont la balise `GuardDutyExcluded` n'est pas définie sur `true`. Par défaut, les instantanés sont créés avec une balise `GuardDutyScanId`. Ne supprimez pas cette balise, sinon Malware Protection for EC2 n'aura pas accès aux instantanés.
**Important**
Lorsque vous définissez le `GuardDutyExcluded` paramètre sur`true`, le GuardDuty service ne pourra plus accéder à ces instantanés à l'avenir. Cela est dû au fait que les autres instructions de ce rôle lié au service GuardDuty empêchent toute action sur les instantanés définis sur. `GuardDutyExcluded` `true`
+ Autoriser le partage et la suppression d'instantanés uniquement si la balise `GuardDutyScanId` existe et que la balise `GuardDutyExcluded` n'est pas définie sur `true`.
**Note**
N'autorise pas Malware Protection for EC2 à rendre les instantanés publics.
+ Accédez aux clés gérées par le client, à l'exception de celles dont le `GuardDutyExcluded` tag est défini sur`true`, pour appeler `CreateGrant` pour créer et accéder à un volume EBS chiffré à partir de l'instantané chiffré partagé avec le compte de GuardDuty service. Pour obtenir la liste des comptes de GuardDuty service pour chaque région, voir[GuardDuty comptes de service par Région AWS](gdu-service-account-region-list.md).
+ Accédez aux CloudWatch journaux des clients pour créer le groupe de journaux Malware Protection for EC2 et placez les journaux des événements d'analyse des programmes malveillants dans le `/aws/guardduty/malware-scan-events` groupe de journaux.
+ Autoriser le client à décider s'il souhaite conserver dans son compte les instantanés sur lesquels le logiciel malveillant a été détecté. Si l'analyse détecte un logiciel malveillant, le rôle lié au service permet d' GuardDuty ajouter deux balises aux instantanés : et. `GuardDutyFindingDetected` `GuardDutyExcluded`
**Note**
La balise `GuardDutyFindingDetected` indique que les instantanés contiennent des logiciels malveillants.
+ Déterminez si un volume est chiffré à l'aide d'une clé gérée EBS. GuardDuty exécute l'`DescribeKey`action pour déterminer `key Id` la clé gérée par EBS dans votre compte.
+ Récupérez l'instantané des volumes EBS chiffrés à l'aide de Clé gérée par AWS, depuis votre Compte AWS et copiez-le dans le. [GuardDuty compte de service](gdu-service-account-region-list.md) À cette fin, nous utilisons les autorisations `GetSnapshotBlock` et`ListSnapshotBlocks`. GuardDuty scannera ensuite le cliché dans le compte de service. À l'heure actuelle, la prise en charge de Malware Protection for EC2 pour l'analyse des volumes EBS chiffrés avec Clé gérée par AWS peut ne pas être disponible dans tous les. Régions AWS Pour de plus amples informations, veuillez consulter [Disponibilité des fonctionnalités propres à la région](guardduty_regions.md#gd-regional-feature-availability).
+ Autorisez Amazon EC2 à appeler au AWS KMS nom de Malware Protection for EC2 afin d'effectuer plusieurs actions cryptographiques sur des clés gérées par le client. Des actions telles que `kms:ReEncryptTo` et `kms:ReEncryptFrom` sont nécessaires pour partager les instantanés chiffrés avec les clés gérées par le client. Seules les clés suivantes pour lesquelles la balise `GuardDutyExcluded` n'est pas définie `true` sur sont accessibles.
Le rôle est configuré avec la [stratégie gérée AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) suivante, nommée `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.
Pour consulter les autorisations associées à cette politique, consultez [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
La stratégie d'approbation suivante est attachée au rôle lié à un service `AWSServiceRoleForAmazonGuardDutyMalwareProtection` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Création d'un rôle lié à un service pour Malware Protection for EC2
Le rôle `AWSServiceRoleForAmazonGuardDutyMalwareProtection` lié à un service est automatiquement créé lorsque vous activez la protection contre les programmes malveillants pour EC2 pour la première fois ou lorsque vous activez la protection contre les programmes malveillants pour EC2 dans une région prise en charge où elle n'était pas activée auparavant. Vous pouvez également créer le rôle lié à un service `AWSServiceRoleForAmazonGuardDutyMalwareProtection` manuellement, via la console IAM, la CLI IAM ou l'API IAM.
**Note**
Par défaut, si vous utilisez Amazon pour la première fois GuardDuty, Malware Protection for EC2 est automatiquement activée.
**Important**
Le rôle lié au service créé pour le compte d' GuardDuty administrateur délégué ne s'applique pas aux comptes des membres GuardDuty .
Vous devez configurer les autorisations de manière à permettre à un principal IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle `AWSServiceRoleForAmazonGuardDutyMalwareProtection` lié au service soit correctement créé, l'identité IAM que vous utilisez doit disposer GuardDuty des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Modification d'un rôle lié à un service pour Malware Protection for EC2
Malware Protection for EC2 ne vous permet pas de modifier le rôle lié au `AWSServiceRoleForAmazonGuardDutyMalwareProtection` service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression d'un rôle lié à un service pour Malware Protection for EC2
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
**Important**
Pour le supprimer`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, vous devez d'abord désactiver la protection contre les programmes malveillants pour EC2 dans toutes les régions où elle est activée.
Si la protection contre les programmes malveillants pour EC2 n'est pas désactivée lorsque vous essayez de supprimer le rôle lié à un service, la suppression échouera. Assurez-vous d'abord de désactiver la protection contre les programmes malveillants pour EC2 dans votre compte.
Lorsque vous choisissez **Désactiver** pour arrêter le service Malware Protection for EC2, celui-ci n'`AWSServiceRoleForAmazonGuardDutyMalwareProtection`est pas automatiquement supprimé. Si vous choisissez ensuite **Activer** pour redémarrer le service Malware Protection for EC2, GuardDuty vous commencerez à utiliser le service existant`AWSServiceRoleForAmazonGuardDutyMalwareProtection`.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, la AWS CLI ou l'API IAM pour supprimer le rôle lié au `AWSServiceRoleForAmazonGuardDutyMalwareProtection` service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Soutenu Régions AWS
Amazon GuardDuty prend en charge l'utilisation du rôle `AWSServiceRoleForAmazonGuardDutyMalwareProtection` lié au service dans tous les domaines Régions AWS où Malware Protection for EC2 est disponible.
Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section [ GuardDuty Points de terminaison et quotas Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) dans le *Référence générale d'Amazon Web Services*.
**Note**
La protection contre les programmes malveillants pour EC2 n'est actuellement pas disponible en AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest).
# AWS politiques gérées pour Amazon GuardDuty
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique **ReadOnlyAccess** AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
L'élément de politique `Version` spécifie les règles de syntaxe de langage qui doivent être utilisées pour traiter une politique. Les politiques suivantes incluent la version actuelle prise en charge par IAM. Pour plus d'informations, voir [Éléments de politique IAM JSON : Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
## AWS politique gérée : AmazonGuardDutyFullAccess\$1v2 (recommandée)
Vous pouvez associer la politique AmazonGuardDutyFullAccess\$1v2 à vos identités IAM. Cette politique permettra à un utilisateur d'avoir un accès complet pour effectuer toutes les GuardDuty actions et accéder aux ressources requises. Between AmazonGuardDutyFullAccess\$1v2 et AmazonGuardDutyFullAccess, GuardDuty recommande de joindre une pièce jointe, AmazonGuardDutyFullAccess\$1v2 car cela offre une sécurité renforcée et limite les actions administratives aux principaux responsables GuardDuty du service.
### Détails de l’autorisation
La AmazonGuardDutyFullAccess\$1v2 politique inclut les autorisations suivantes :
+ `GuardDuty`— Permet aux utilisateurs d'accéder pleinement à toutes les GuardDuty actions.
+ `IAM`:
+ Permet aux utilisateurs de créer un rôle GuardDuty lié à un service.
+ Permet de visualiser et de gérer les rôles IAM et leurs politiques pour GuardDuty.
+ Permet aux utilisateurs de transmettre un rôle à GuardDuty. GuardDuty utilise ce rôle pour activer la protection contre les programmes malveillants pour S3 et analyser les objets S3 à la recherche de logiciels malveillants. GuardDuty utilise également ce rôle pour lancer des analyses pour Malware Protection for AWS Backup.
+ L'autorisation d'effectuer une `iam:GetRole` action permet de déterminer `AWSServiceRoleForAmazonGuardDutyMalwareProtection` si le rôle lié au service (SLR) pour Malware Protection for EC2 existe dans un compte.
+ `Organizations`:
+ Permettre aux utilisateurs de lire (voir) la structure et les comptes de GuardDuty l'organisation.
+ Permet aux utilisateurs de désigner un administrateur délégué et de gérer les membres d'une GuardDuty organisation.
Pour consulter les autorisations associées à cette politique, consultez [AmazonGuardDutyFullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess_v2.html) dans le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AmazonGuardDutyFullAccess
Vous pouvez associer la politique `AmazonGuardDutyFullAccess` à vos identités IAM.
**Important**
Pour une sécurité renforcée et des autorisations restrictives accordées aux responsables du GuardDuty service, nous vous recommandons d'utiliser[AWS politique gérée : AmazonGuardDutyFullAccess\$1v2 (recommandée)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2).
Cette politique accorde des autorisations administratives qui permettent à un utilisateur d'avoir un accès complet pour effectuer toutes les GuardDuty actions et ressources.
### Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
+ `GuardDuty`— Permet aux utilisateurs d'accéder pleinement à toutes les GuardDuty actions.
+ `IAM`:
+ Permet aux utilisateurs de créer le rôle GuardDuty lié au service.
+ Permet à un compte administrateur d'activer GuardDuty les comptes des membres.
+ Permet aux utilisateurs de transmettre un rôle à GuardDuty. GuardDuty utilise ce rôle pour activer la protection contre les programmes malveillants pour S3 et analyser les objets S3 à la recherche de logiciels malveillants. GuardDuty utilise également ce rôle pour lancer des analyses pour Malware Protection for AWS Backup.
+ `Organizations`— Permet aux utilisateurs de désigner un administrateur délégué et de gérer les membres d'une GuardDuty organisation.
L'autorisation d'effectuer une `iam:GetRole` action permet de déterminer `AWSServiceRoleForAmazonGuardDutyMalwareProtection` si le rôle lié au service (SLR) pour Malware Protection for EC2 existe dans un compte.
Pour consulter les autorisations associées à cette politique, consultez [AmazonGuardDutyFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AmazonGuardDutyReadOnlyAccess
Vous pouvez associer la politique `AmazonGuardDutyReadOnlyAccess` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui permettent à un utilisateur de consulter les GuardDuty résultats et les détails de votre GuardDuty organisation.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `GuardDuty`— Permet aux utilisateurs de consulter GuardDuty les résultats et d'effectuer des opérations d'API commençant par `Get``List`, ou`Describe`.
+ `Organizations`— Permet aux utilisateurs de récupérer des informations sur la configuration de votre GuardDuty organisation, notamment les détails du compte d'administrateur délégué.
Pour consulter les autorisations associées à cette politique, consultez [AmazonGuardDutyReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AmazonGuardDutyServiceRolePolicy
Vous ne pouvez pas joindre de `AmazonGuardDutyServiceRolePolicy` à vos entités IAM. Cette politique AWS gérée est associée à un rôle lié à un service qui permet d' GuardDuty effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Autorisations de rôle liées à un service pour GuardDuty](slr-permissions.md).
## GuardDuty mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées GuardDuty depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du GuardDuty document.
| Modifier | Description | Date |
| --- | --- | --- |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – Mise à jour d’une stratégie existante | Ajout de l'`cloudtrail:CreateServiceLinkedChannel`autorisation permettant d'activer un mécanisme supplémentaire pour la consommation d' AWS CloudTrail événements. {
"Sid": "CloudTrailCreateServiceLinkedChannelSid",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateServiceLinkedChannel"
],
"Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/guardduty/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
} | 25 mars 2026 |
| AmazonGuardDutyFullAccess : obsolète | Cette politique a été remplacée par une politique limitée nommée `AmazonGuardDutyFullAccess_v2`. Après **le 13 mars 2026**, vous ne pourrez plus associer la `AmazonGuardDutyFullAccess` politique à de nouveaux utilisateurs, groupes ou rôles. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonGuardDutyFullAccess\$1v2 (recommandée)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2). | 13 mars 2026 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) : mise à jour d’une politique existante | Autorisation ajoutée qui vous permet de transmettre un rôle IAM GuardDuty lorsque vous activez Malware Protection for AWS Backup. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 19 novembre 2025 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) : mise à jour d’une politique existante | Autorisation ajoutée qui vous permet de transmettre un rôle IAM GuardDuty lorsque vous activez Malware Protection for AWS Backup. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 19 novembre 2025 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)— Ajout d'une nouvelle politique | Ajout d'une nouvelle AmazonGuardDutyFullAccess\$1v2 politique. Cela est recommandé car ses autorisations renforcent la sécurité en limitant les actions administratives aux principaux responsables du GuardDuty service en fonction des rôles et des politiques IAM, ainsi que de l'intégration. AWS Organizations | 04 juin 2025 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) : mise à jour d’une politique existante | L'`ec2:DescribeVpcs`autorisation a été ajoutée. Cela permet de suivre GuardDuty les mises à jour du VPC, par exemple en récupérant le CIDR du VPC. | 22 août 2024 |
| [AmazonGuardDutyFullAccess](slr-permissions.md) : mise à jour d’une politique existante | Autorisation ajoutée qui vous permet de transmettre un rôle IAM GuardDuty lorsque vous activez Malware Protection pour S3. {
"Sid": "AllowPassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
} | 10 juin 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) - Mettre à jour vers une politique existante. | Utilisez AWS Systems Manager des actions pour gérer les associations SSM sur les instances Amazon EC2 lorsque vous GuardDuty activez la surveillance du temps d'exécution avec un agent automatisé pour Amazon EC2. Lorsque la configuration GuardDuty automatique des agents est désactivée, ne GuardDuty prend en compte que les instances EC2 dotées d'une balise d'inclusion (`GuardDutyManaged`:`true`). | 26 mars 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) - Mettre à jour vers une politique existante. | GuardDuty a ajouté une nouvelle autorisation : `organization:DescribeOrganization` pour récupérer l'ID d'organisation du compte Amazon VPC partagé et définir la politique de point de terminaison Amazon VPC avec l'ID d'organisation. | 9 février 2024 |
| [AmazonGuardDutyMalwareProtectionServiceRolePolicy](slr-permissions-malware-protection.md) - Mettre à jour vers une politique existante. | Malware Protection for EC2 a ajouté deux autorisations : `GetSnapshotBlock` l'une permet de `ListSnapshotBlocks` récupérer l'instantané d'un volume EBS (chiffré à l'aide Clé gérée par AWS) sur votre compte de service Compte AWS et de le copier sur le compte de GuardDuty service avant de démarrer l'analyse des logiciels malveillants. | 25 janvier 2024 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy) : mise à jour d’une politique existante | De nouvelles autorisations ont été ajoutées GuardDuty pour permettre d'ajouter des paramètres de compte `guarddutyActivate` Amazon ECS et d'effectuer des opérations de liste et de description sur les clusters Amazon ECS. | 26 novembre 2023 |
| [AmazonGuardDutyReadOnlyAccess](#security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess) : mise à jour d’une politique existante | GuardDuty a ajouté une nouvelle politique pour organizations toListAccounts. | 16 novembre 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) : mise à jour d’une politique existante | GuardDuty a ajouté une nouvelle politique pour organizations toListAccounts. | 16 novembre 2023 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) : mise à jour d’une politique existante | GuardDuty a ajouté de nouvelles autorisations pour prendre en charge la prochaine fonctionnalité de surveillance du temps d'exécution d' GuardDutyEKS. | 8 mars 2023 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy) : mise à jour d’une politique existante | GuardDuty a ajouté de nouvelles autorisations permettant de GuardDuty créer un [rôle lié au service pour Malware Protection for EC2.](slr-permissions-malware-protection.md) Cela permettra de GuardDuty rationaliser le processus d'activation de la protection contre les programmes malveillants pour EC2. GuardDuty peut désormais effectuer l'action IAM suivante : {
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
} | 21 février 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) : mise à jour d’une politique existante | GuardDuty ARN mis à jour pour `iam:GetRole` to`*AWSServiceRoleForAmazonGuardDutyMalwareProtection`. | 26 juillet 2022 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) : mise à jour d’une politique existante | GuardDuty a ajouté un nouveau `AWSServiceName` pour autoriser la création d'un rôle lié à un service à l'aide `iam:CreateServiceLinkedRole` du service GuardDuty Malware Protection for EC2. GuardDuty peut désormais effectuer l'`iam:GetRole`action pour obtenir des informations pour`AWSServiceRole`. | 26 juillet 2022 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) : mise à jour d’une politique existante | GuardDuty a ajouté de nouvelles autorisations permettant GuardDuty d'utiliser les actions réseau Amazon EC2 pour améliorer les résultats. GuardDuty peut désormais effectuer les actions EC2 suivantes pour obtenir des informations sur la façon dont vos instances EC2 communiquent. Ces informations permettent d'améliorer la précision des résultats. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/security-iam-awsmanpol.html) | 3 août 2021 |
| GuardDuty a commencé à suivre les modifications | GuardDuty a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 3 août 2021 |
# Résolution des problèmes liés à GuardDuty l'identité et à l'accès à Amazon
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec GuardDuty IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans GuardDuty](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à exécuter iam :PassRole.](#security_iam_troubleshoot-passrole)
+ [Je veux permettre à des personnes extérieures Compte AWS à moi d'accéder à mes GuardDuty ressources.](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans GuardDuty
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `guardduty:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: guardduty:GetWidget on resource: my-example-widget
```
Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `guardduty:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je ne suis pas autorisé à exécuter iam :PassRole.
Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter `iam:PassRole` l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à GuardDuty.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour exécuter une action dans GuardDuty. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je veux permettre à des personnes extérieures Compte AWS à moi d'accéder à mes GuardDuty ressources.
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si ces fonctionnalités sont prises GuardDuty en charge, consultez[Comment Amazon GuardDuty travaille avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Validation de conformité pour Amazon GuardDuty
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience chez Amazon GuardDuty
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure sur Amazon GuardDuty
En tant que service géré, Amazon GuardDuty est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder GuardDuty via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# Amazon GuardDuty et les points de terminaison VPC d'interface ()AWS PrivateLink
Vous pouvez établir une connexion privée entre votre VPC et Amazon en GuardDuty créant un point de terminaison *VPC d'interface.* Les points de terminaison de l'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder en privé GuardDuty APIs sans passerelle Internet, appareil NAT, connexion VPN ou connexion AWS Direct Connect. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec elles. GuardDuty APIs Le trafic entre votre VPC et celui qui GuardDuty ne quitte pas le réseau Amazon.
Chaque point de terminaison d’interface est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dans vos sous-réseaux.
*Pour plus d'informations, consultez la section [Interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) dans le Guide.AWS PrivateLink *
## Considérations relatives aux points de GuardDuty terminaison VPC
*Avant de configurer un point de terminaison VPC d'interface pour GuardDuty, assurez-vous de consulter les [propriétés et les limites du point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) dans le AWS PrivateLink Guide.*
GuardDuty permet d'appeler toutes ses actions d'API depuis votre VPC.
## Création d'un point de terminaison VPC d'interface pour GuardDuty
Vous pouvez créer un point de terminaison VPC pour le GuardDuty service à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) dans le *Guide AWS PrivateLink *.
Créez un point de terminaison VPC à l' GuardDuty aide du nom de service suivant :
+ com.amazonaws. *region*. devoir de garde
+ com.amazonaws. *region*.guardduty-fips (point de terminaison FIPS)
Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API GuardDuty en utilisant son nom DNS par défaut pour la région, par exemple,`guardduty.us-east-1.amazonaws.com`.
Pour plus d'informations, consultez la section [Accès à un service via un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) dans le *AWS PrivateLink Guide*.
## Création d'une politique de point de terminaison VPC pour GuardDuty
Vous pouvez attacher une stratégie de point de terminaison à votre point de terminaison d’un VPC qui contrôle l’accès à GuardDuty. La politique spécifie les informations suivantes :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
*Pour plus d'informations, consultez la section [Contrôler l'accès aux services avec des points de terminaison VPC dans le Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink *
**Exemple : politique de point de terminaison VPC pour les actions GuardDuty**
Voici un exemple de politique de point de terminaison pour GuardDuty. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux GuardDuty actions répertoriées à tous les principaux sur toutes les ressources.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"guardduty:listDetectors",
"guardduty:getDetector",
"guardduty:getFindings"
],
"Resource":"*"
}
]
}
```
## Sous-réseaux partagés
Vous ne pouvez pas créer, décrire, modifier ou supprimer des points de terminaison d'un VPC dans des sous-réseaux qui sont partagés avec vous. Toutefois, vous pouvez utiliser les points de terminaison d'un VPC dans les sous-réseaux qui sont partagés avec vous. Pour plus d'informations sur le partage de VPC, consultez [Partager votre VPC avec d'autres comptes](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) dans le *Guide de l'utilisateur Amazon VPC*.