Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk Amazon GuardDuty
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.
Elemen kebijakan Version
menetapkan aturan sintaksis bahasa yang akan digunakan untuk memproses kebijakan. Kebijakan berikut mencakup versi saat ini yang didukung IAM. Untuk informasi selengkapnya, lihat elemen kebijakan IAM JSON: Versi.
AWS kebijakan terkelola: AmazonGuardDutyFullAccess_v2 (disarankan)
Anda dapat melampirkan kebijakan AmazonGuardDutyFullAccess_v2 ke identitas IAM Anda. Antara AmazonGuardDutyFullAccess_v2 danAmazonGuardDutyFullAccess, GuardDuty merekomendasikan melampirkan AmazonGuardDutyFullAccess_v2 karena menawarkan keamanan yang ditingkatkan dan membatasi tindakan administratif untuk prinsipal GuardDuty layanan. Kebijakan ini masih akan memungkinkan pengguna akses penuh untuk melakukan semua GuardDuty tindakan dan mengakses sumber daya yang diperlukan.
Detail izin
AmazonGuardDutyFullAccess_v2Kebijakan ini mencakup izin berikut:
-
GuardDuty
— Memungkinkan pengguna akses penuh ke semua GuardDuty tindakan. -
IAM
:-
Memungkinkan pengguna untuk membuat GuardDuty peran terkait layanan.
-
Memungkinkan melihat dan mengelola peran IAM dan kebijakan mereka untuk GuardDuty.
-
Memungkinkan pengguna untuk meneruskan peran GuardDuty yang menggunakan peran ini untuk mengaktifkan fitur Perlindungan GuardDuty Malware untuk S3. Ini terlepas dari bagaimana Anda mengaktifkan Perlindungan Malware untuk S3 - dalam GuardDuty layanan atau secara independen.
-
Izin untuk melakukan
iam:GetRole
tindakanAWSServiceRoleForAmazonGuardDutyMalwareProtection
menetapkan apakah peran terkait layanan (SLR) untuk Perlindungan Malware untuk EC2 ada di akun.
-
-
Organizations
:-
Memungkinkan pengguna untuk membaca (melihat) struktur GuardDuty organisasi dan akun.
-
Memungkinkan pengguna untuk menunjuk administrator yang didelegasikan dan mengelola anggota untuk organisasi. GuardDuty
-
{ "Version": "2012-10-17", "Statement": [{ "Sid": "GuardDutyFullAccess", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateGuardDutyServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyOrganizationsAdminAccess", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyIamRoleAccess", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "PassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS kebijakan terkelola: AmazonGuardDutyFullAccess
Anda dapat melampirkan kebijakan AmazonGuardDutyFullAccess
ke identitas IAM Anda.
penting
Untuk keamanan yang ditingkatkan dan izin terbatas pada prinsipal GuardDuty layanan, kami sarankan Anda untuk menggunakannya. AWS kebijakan terkelola: AmazonGuardDutyFullAccess_v2 (disarankan)
Kebijakan ini memberikan izin administratif yang memungkinkan pengguna mengakses penuh untuk melakukan semua GuardDuty tindakan dan sumber daya.
Detail izin
Kebijakan ini mencakup izin berikut.
-
GuardDuty
— Memungkinkan pengguna akses penuh ke semua GuardDuty tindakan. -
IAM
:-
Memungkinkan pengguna untuk membuat peran GuardDuty terkait layanan.
-
Memungkinkan akun administrator GuardDuty untuk mengaktifkan akun anggota.
-
Memungkinkan pengguna untuk meneruskan peran GuardDuty yang menggunakan peran ini untuk mengaktifkan fitur Perlindungan GuardDuty Malware untuk S3. Ini terlepas dari bagaimana Anda mengaktifkan Perlindungan Malware untuk S3 - dalam GuardDuty layanan atau secara independen.
-
-
Organizations
— Memungkinkan pengguna untuk menunjuk administrator yang didelegasikan dan mengelola anggota untuk organisasi. GuardDuty
Izin untuk melakukan iam:GetRole
tindakan AWSServiceRoleForAmazonGuardDutyMalwareProtection
menetapkan apakah peran terkait layanan (SLR) untuk Perlindungan Malware untuk EC2 ada di akun.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS kebijakan terkelola: AmazonGuardDutyReadOnlyAccess
Anda dapat melampirkan kebijakan AmazonGuardDutyReadOnlyAccess
ke identitas IAM Anda.
Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat GuardDuty temuan dan detail organisasi Anda. GuardDuty
Detail izin
Kebijakan ini mencakup izin berikut.
-
GuardDuty
— Memungkinkan pengguna untuk melihat GuardDuty temuan dan melakukan operasi API yang dimulai denganGet
,List
, atauDescribe
. -
Organizations
— Memungkinkan pengguna untuk mengambil informasi tentang konfigurasi GuardDuty organisasi Anda, termasuk rincian akun administrator yang didelegasikan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
AWS kebijakan terkelola: AmazonGuardDutyServiceRolePolicy
Anda tidak dapat melampirkan AmazonGuardDutyServiceRolePolicy
ke entitas IAM Anda. Kebijakan AWS terkelola ini dilampirkan pada peran terkait layanan yang memungkinkan Anda GuardDuty melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk GuardDuty.
GuardDuty pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola GuardDuty sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat GuardDuty dokumen.
Perubahan | Deskripsi | Tanggal |
---|---|---|
AmazonGuardDutyFullAccess_v2— Menambahkan kebijakan baru |
Menambahkan AmazonGuardDutyFullAccess_v2 kebijakan baru. Ini direkomendasikan karena izinnya meningkatkan keamanan dengan membatasi tindakan administratif pada prinsipal GuardDuty layanan berdasarkan peran dan kebijakan IAM, dan integrasi. AWS Organizations |
Juni 04, 2025 |
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada |
Menambahkan |
Agustus 22, 2024 |
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada |
Menambahkan izin yang memungkinkan Anda meneruskan peran IAM GuardDuty saat Anda mengaktifkan Perlindungan Malware untuk S3.
|
Juni 10, 2024 |
AmazonGuardDutyServiceRolePolicy— Perbarui ke kebijakan yang ada. |
Gunakan AWS Systems Manager tindakan untuk mengelola asosiasi SSM di EC2 instans Amazon saat Anda mengaktifkan Pemantauan GuardDuty Waktu Proses dengan agen otomatis untuk Amazon. EC2 Ketika konfigurasi agen GuardDuty otomatis dinonaktifkan, GuardDuty pertimbangkan hanya EC2 instance yang memiliki tag inklusi ( |
26 Maret 2024 |
AmazonGuardDutyServiceRolePolicy— Perbarui ke kebijakan yang ada. |
GuardDuty telah menambahkan izin baru - |
Februari 9, 2024 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy— Perbarui ke kebijakan yang ada. |
Perlindungan Malware for EC2 telah menambahkan dua izin - |
25 Jan 2024 |
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada |
Menambahkan izin baru GuardDuty untuk memungkinkan menambahkan |
November 26, 2023 |
AmazonGuardDutyReadOnlyAccess – Pembaruan ke kebijakan yang ada |
GuardDuty menambahkan kebijakan baru organizations untukListAccounts . |
16 November 2023 |
AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada |
GuardDuty menambahkan kebijakan baru organizations untukListAccounts . |
16 November 2023 |
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada |
GuardDuty menambahkan izin baru untuk mendukung fitur GuardDuty EKS Runtime Monitoring yang akan datang. |
8 Maret 2023 |
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada |
GuardDuty telah menambahkan izin baru untuk memungkinkan membuat peran terkait Layanan GuardDuty untuk Perlindungan Malware untuk. EC2 Ini akan membantu GuardDuty merampingkan proses mengaktifkan Perlindungan Malware untuk. EC2 GuardDuty sekarang dapat melakukan tindakan IAM berikut:
|
21 Februari 2023 |
AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada |
GuardDuty ARN yang diperbarui untuk |
26 Jul 2022 |
AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada |
GuardDuty menambahkan yang baru GuardDuty sekarang dapat melakukan |
26 Jul 2022 |
AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada |
GuardDuty menambahkan izin baru GuardDuty untuk memungkinkan penggunaan tindakan EC2 jaringan Amazon untuk meningkatkan temuan. GuardDuty sekarang dapat melakukan EC2 tindakan berikut untuk mendapatkan informasi tentang bagaimana EC2 instans Anda berkomunikasi. Informasi ini digunakan untuk meningkatkan akurasi penemuan.
|
Agustus 3, 2021 |
GuardDuty mulai melacak perubahan |
GuardDuty mulai melacak perubahan untuk kebijakan yang AWS dikelola. |
Agustus 3, 2021 |