Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations des rôles liés à un service pour GuardDuty
GuardDuty utilise le rôle lié à un service (SLR) nommé. AWSServiceRoleForAmazonGuardDuty Le SLR permet d' GuardDuty effectuer les tâches suivantes. Il permet également GuardDuty d'inclure les métadonnées récupérées appartenant à l' EC2 instance dans les résultats qui GuardDuty peuvent être générés concernant la menace potentielle. Le rôle lié à un service AWSServiceRoleForAmazonGuardDuty fait confiance au service guardduty.amazonaws.com pour endosser le rôle.
Ces politiques d'autorisation permettent GuardDuty d'effectuer les tâches suivantes :
-
Utilisez EC2 les actions Amazon pour gérer et récupérer des informations sur vos EC2 instances, vos images et vos composants réseau tels que VPCs les sous-réseaux et les passerelles de transit.
-
Utilisez AWS Systems Manager des actions pour gérer les associations SSM sur les EC2 instances Amazon lorsque vous activez la surveillance du GuardDuty temps d'exécution avec un agent automatisé pour Amazon EC2. Lorsque la configuration GuardDuty automatique des agents est désactivée, ne GuardDuty prend en compte que les EC2 instances dotées d'une balise d'inclusion (
GuardDutyManaged:true). -
Utilisez AWS Organizations des actions pour décrire les comptes associés et l'ID d'organisation.
-
Utilisez les actions Amazon S3 pour récupérer des informations sur les compartiments et les objets S3.
-
Utilisez AWS Lambda des actions pour récupérer des informations sur vos fonctions et balises Lambda.
-
Utilisez les actions Amazon EKS pour gérer et récupérer des informations sur les clusters EKS et gérer les modules complémentaires Amazon EKS sur des clusters EKS. Les actions EKS récupèrent également les informations relatives aux balises associées à GuardDuty.
-
Utilisez IAM pour créer les Autorisations des rôles liés à un service pour la protection contre les logiciels malveillants EC2 après l'activation de la protection contre les EC2 logiciels malveillants.
-
Utilisez les actions Amazon ECS pour gérer et récupérer des informations sur les clusters Amazon ECS, et gérez les paramètres du compte Amazon ECS avec
guarddutyActivate. Les actions relatives à Amazon ECS récupèrent également les informations relatives aux balises associées à GuardDuty.
Le rôle est configuré avec la stratégie gérée AWS suivante, nommée AmazonGuardDutyServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
Voici la stratégie d'approbation qui est attachée au rôle lié à un service AWSServiceRoleForAmazonGuardDuty :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Pour plus de détails sur les mises à jour AmazonGuardDutyServiceRolePolicy de la politique, consultezGuardDuty mises à jour des politiques AWS gérées. Pour obtenir des alertes automatiques concernant les modifications apportées à cette politique, abonnez-vous au flux RSS de la Historique de la documentation page.
Création d'un rôle lié à un service pour GuardDuty
Le rôle AWSServiceRoleForAmazonGuardDuty lié au service est créé automatiquement lorsque vous l'activez GuardDuty pour la première fois ou que vous l'activez GuardDuty dans une région prise en charge dans laquelle vous ne l'aviez pas activé. Vous pouvez également créer le rôle lié à un service manuellement, via la console IAM AWS CLI, la ou l'API IAM.
Important
Le rôle lié à un service créé pour le compte d'administrateur GuardDuty délégué ne s'applique pas aux comptes membres GuardDuty .
Vous devez configurer les autorisations de manière à permettre à un principal IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour que la création du rôle AWSServiceRoleForAmazonGuardDuty lié à un service réussisse, le principal IAM GuardDuty avec lequel vous utilisez doit disposer des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
Note
Remplacez l'exemple account ID dans l'exemple suivant par votre Compte AWS ID réel.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Modification d'un rôle lié à un service pour GuardDuty
GuardDuty ne vous permet pas de modifier le rôle AWSServiceRoleForAmazonGuardDuty lié à un service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.
Suppression d'un rôle lié à un service pour GuardDuty
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
Important
Si vous avez activé la protection contre les logiciels malveillants EC2, la suppression AWSServiceRoleForAmazonGuardDuty n'entraîne pas automatiquement la suppressionAWSServiceRoleForAmazonGuardDutyMalwareProtection. Si vous souhaitez effectuer une suppressionAWSServiceRoleForAmazonGuardDutyMalwareProtection, veuillez consulter Suppression d'un rôle lié à un service pour la protection contre les logiciels malveillants. EC2
Vous devez d'abord GuardDuty la désactiver dans toutes les régions où elle est activée pour supprimer leAWSServiceRoleForAmazonGuardDuty. Si le GuardDuty service n'est pas désactivé lorsque vous tentez de supprimer le rôle lié à un service, la suppression échoue. Pour de plus amples informations, veuillez consulter Suspension ou désactivation GuardDuty.
Lorsque vous le désactivez GuardDuty, AWSServiceRoleForAmazonGuardDuty il n'est pas automatiquement supprimé. Si vous GuardDuty réactivez, il commencera à utiliser l'existantAWSServiceRoleForAmazonGuardDuty.
Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM
Utilisez la console IAM AWS CLI, la ou l'API IAM pour supprimer le rôle lié à un AWSServiceRoleForAmazonGuardDuty service. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Soutenu Régions AWS
Amazon GuardDuty prend en charge l'utilisation du rôle AWSServiceRoleForAmazonGuardDuty lié au service dans tous les Régions AWS endroits où cela GuardDuty est disponible. Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section GuardDuty Points de terminaison et quotas Amazon dans le Référence générale d'Amazon Web Services.
