GuardDuty Perlindungan Malware untuk Cadangan: Izin Peran IAM - Amazon GuardDuty
Peran pelanggan disediakan untuk pemindaian malwareDetail tentang izinMengamankan PeranBagaimana Perlindungan GuardDuty Malware menggunakan hibah di KMS AWSGuardDuty Konteks Enkripsi Perlindungan MalwareIzin dan kebijakan kepercayaan untuk peran tersebut

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Perlindungan Malware untuk Cadangan: Izin Peran IAM

Peran pelanggan disediakan untuk pemindaian malware

GuardDuty Perlindungan Malware mengharapkan peran pelanggan (peran pemindai) diberikan saat pemindaian dimulai pada sumber daya Backup, yaitu snapshot, AMIs dan EBS/EC2/S 3 Poin Pemulihan. Peran ini memberikan izin yang diperlukan GuardDuty untuk melakukan pemindaian pada sumber daya tertentu tersebut. Kebijakan izin dan kebijakan kepercayaan untuk peran ini dapat ditemukan diIzin dan kebijakan kepercayaan untuk peran tersebut. Bagian di bawah ini menjelaskan mengapa masing-masing izin ini diperlukan.

Detail tentang izin

  • ModifySnapshotAttribute- Memungkinkan snapshot terenkripsi kunci terenkripsi yang tidak terenkripsi dan dikelola pelanggan untuk diakses oleh akun layanan Perlindungan Malware. GuardDuty

  • CreateGrant- Memungkinkan Perlindungan GuardDuty Malware untuk membuat dan mengakses volume EBS terenkripsi Kunci Terkelola Pelanggan dari snapshot terenkripsi kunci yang dikelola pelanggan yang disediakan akses ke akun GuardDuty layanan.

  • RetireGrant- Memungkinkan Perlindungan GuardDuty Malware untuk menghentikan hibah yang dibuat pada Kunci Dikelola Pelanggan untuk membaca snapshot terenkripsi

  • ReEncryptTodan ReEncryptFrom - Diperlukan oleh EBS untuk memberikan GuardDuty akses ke snapshot yang dienkripsi dengan kunci yang dikelola pelanggan dan membuat volume terenkripsi dari mereka. Meskipun pelanggan mungkin menganggap ReEncryption snapshot selama berbagi sebagai transisi utama, snapshot tetap tidak berubah dari perspektif pelanggan setelah dibuat.

  • ListSnapshotBlocksdan GetSnapshotBlock - EBS Direct APIs digunakan untuk mengakses blok snapshot untuk snapshot terenkripsi Kunci AWS Terkelola. Ini dilakukan karena snapshot terenkripsi Kunci AWS Terkelola tidak dapat diakses lintas akun.

  • Decrypt- Memungkinkan mendekripsi snapshot dasar yang merupakan kunci yang dikelola pelanggan yang dienkripsi saat diunduh ke memori menggunakan EBS Direct APIs sebagai bagian dari pemindaian tambahan.

  • ListChangedBlocks- EBS Direct API digunakan dalam pemindaian snapshot tambahan untuk mendapatkan daftar blok yang diubah antara dua snapshot.

  • DescribeKey- Memungkinkan Perlindungan GuardDuty Malware untuk menentukan KeyID dari kunci yang AWS dikelola di akun pelanggan.

  • DescribeImages- Memungkinkan AMI dijelaskan untuk mendapatkan daftar snapshot milik AMI.

  • DescribeRecoveryPoint- Memungkinkan layanan untuk mengambil rincian Recovery Point dan memverifikasi jenis sumber daya untuk Recovery Point.

  • CreateBackupAccessPoint,DescribeBackupAccessPoint, DeleteBackupAccessPoint - Memungkinkan layanan untuk membuat, mendeskripsikan, dan menghapus Access Point yang diperlukan untuk mengakses Recovery Points.

  • kms:Decrypt- Memungkinkan layanan untuk mengakses objek di S3 Recovery Point selama S3 Recovery Point scan.

Mengamankan Peran

Peran tersebut harus dikonfigurasi dengan kebijakan kepercayaan yang mempercayai prinsip layanan Perlindungan GuardDuty Malware. Ini memastikan bahwa tidak ada prinsipal selain GuardDuty layanan yang dapat mengambil peran ini. Selanjutnya, Anda didorong untuk meringkas kebijakan ke sumber daya tertentu alih-alih*. Ini termasuk id snapshot dan id kunci. Melakukan hal ini akan memastikan bahwa peran tersebut hanya menyediakan akses ke sumber daya tertentu tersebut.

penting

Konfigurasi yang salah dapat mengakibatkan kegagalan pemindaian karena izin yang tidak mencukupi.

Bagaimana Perlindungan GuardDuty Malware menggunakan hibah di KMS AWS

GuardDuty Perlindungan Malware membutuhkan hibah untuk menggunakan kunci KMS Anda.

Saat Anda memulai pemindaian pada snapshot terenkripsi atau EC2 AMI yang terdiri dari snapshot terenkripsi, Perlindungan GuardDuty Malware membuat hibah atas nama Anda dengan mengirimkan permintaan ke KMS. CreateGrant AWS Hibah ini memberikan GuardDuty akses ke kunci tertentu di akun Anda.

GuardDuty Perlindungan Malware memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan Anda untuk operasi internal berikut:

  • Kirim DescribeKeypermintaan AWS untuk mengambil detail tentang kunci terkelola pelanggan simetris yang dienkripsi oleh sumber daya yang dikirimkan untuk pemindaian malware.

  • Buat volume EBS dari snapshot terenkripsi menggunakan CreateVolumeAPI dan enkripsi volume dengan kunci yang sama.

  • Akses blok snapshot pada snapshot melalui GetSnapshotBlockAPI selama pemindaian tambahan.

  • Kirim permintaan Dekripsi ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk membaca data pada snapshot selama pemindaian.

Anda dapat mencabut hibah yang dibuat, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, GuardDuty tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut.

GuardDuty Konteks Enkripsi Perlindungan Malware

Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.

Saat Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS; mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.

GuardDuty Perlindungan Malware menggunakan salah satu dari dua konteks enkripsi.

Konteks Enkripsi 1: Kuncinya adalahaws:guardduty:id.

"encryptionContext": {
    "aws:guardduty:id": "snap-11112222333344"
}

Konteks enkripsi ini digunakan dengan operasi hibah: CreateGrant, Dekripsi,,, GenerateDataKeyWithoutPlaintext ReEncryptTo, RetireGrant. DescribeKey

Satu hibah dibuat pada sumber daya saat ini dengan konteks enkripsi ini dan operasi hibah.

Konteks Enkripsi 2: Kuncinya adalah aws:ebs:id

"encryptionContext": {
    "aws:ebs:id": "snap-11112222333344"
}

Konteks enkripsi ini digunakan dengan operasi hibah: ReEncryptFrom, Dekripsi,, RetireGrant. DescribeKey

Tiga hibah dibuat dengan konteks enkripsi dan operasi hibah ini. Satu di snapshot target dengan operasi ReEncryptFrom hibah. Yang kedua pada snapshot target dengan Decrypt, RetireGrant, DescribeKey operasi. Dan yang ketiga pada snapshot dasar dengan operasi hibah yang sama dengan hibah kedua.

Izin dan kebijakan kepercayaan untuk peran tersebut

Kebijakan Izin

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "CreateGrantPermissions",
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "kms:EncryptionContext:aws:guardduty:id": "snap-*",
                    "kms:ViaService": [
                        "guardduty.*.amazonaws.com",
                        "backup.*.amazonaws.com"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Decrypt",
                        "CreateGrant",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "RetireGrant",
                        "DescribeKey"
                    ]
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Sid": "CreateGrantPermissionsForReEncryptAndDirectAPIs",
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "kms:EncryptionContext:aws:ebs:id": "snap-*",
                    "kms:ViaService": [
                        "guardduty.*.amazonaws.com",
                        "backup.*.amazonaws.com"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Decrypt",
                        "ReEncryptTo",
                        "ReEncryptFrom",
                        "RetireGrant",
                        "DescribeKey"
                    ]
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ShareSnapshotPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*"
        },
        {
            "Sid": "ShareSnapshotKMSPermission",
            "Effect": "Allow",
            "Action": [
                "kms:ReEncryptTo",
                "kms:ReEncryptFrom"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "ec2.*.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DescribeKeyPermission",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Sid": "DescribeRecoveryPointPermission",
            "Effect": "Allow",
            "Action": [
                "backup:DescribeRecoveryPoint"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateBackupAccessPointPermissions",
            "Effect" : "Allow",
            "Action" : [
                "backup:CreateBackupAccessPoint"  
            ],
            "Resource": "arn:aws:backup:*:*:recovery-point:*"
        },
        {
            "Sid": "ReadAndDeleteBackupAccessPointPermissions",
            "Effect" : "Allow",
            "Action" : [
                "backup:DescribeBackupAccessPoint",
                "backup:DeleteBackupAccessPoint"     
            ],
            "Resource": "*"
        },
        {
            "Sid": "KMSKeyPermissionsForInstantAccess",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "backup.*.amazonaws.com"
                }
            }
        }
    ]
}

Kebijakan Kepercayaan

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}