AWS kebijakan terkelola untuk Amazon GuardDuty - Amazon GuardDuty
AmazonGuardDutyFullAccess_v2 (disarankan)AmazonGuardDutyFullAccessAmazonGuardDutyReadOnlyAccessAmazonGuardDutyServiceRolePolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon GuardDuty

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

Elemen kebijakan Version menetapkan aturan sintaksis bahasa yang akan digunakan untuk memproses kebijakan. Kebijakan berikut mencakup versi saat ini yang didukung IAM. Untuk informasi selengkapnya, lihat elemen kebijakan IAM JSON: Versi.

AWS kebijakan terkelola: AmazonGuardDutyFullAccess_v2 (disarankan)

Anda dapat melampirkan kebijakan AmazonGuardDutyFullAccess_v2 ke identitas IAM Anda. Antara AmazonGuardDutyFullAccess_v2 danAmazonGuardDutyFullAccess, GuardDuty merekomendasikan melampirkan AmazonGuardDutyFullAccess_v2 karena menawarkan keamanan yang ditingkatkan dan membatasi tindakan administratif untuk prinsipal GuardDuty layanan. Kebijakan ini masih akan memungkinkan pengguna akses penuh untuk melakukan semua GuardDuty tindakan dan mengakses sumber daya yang diperlukan.

Detail izin

AmazonGuardDutyFullAccess_v2Kebijakan ini mencakup izin berikut:

  • GuardDuty— Memungkinkan pengguna akses penuh ke semua GuardDuty tindakan.

  • IAM:

    • Memungkinkan pengguna untuk membuat GuardDuty peran terkait layanan.

    • Memungkinkan melihat dan mengelola peran IAM dan kebijakan mereka untuk GuardDuty.

    • Memungkinkan pengguna untuk meneruskan peran GuardDuty yang menggunakan peran ini untuk mengaktifkan fitur Perlindungan GuardDuty Malware untuk S3. Ini terlepas dari bagaimana Anda mengaktifkan Perlindungan Malware untuk S3 - dalam GuardDuty layanan atau secara independen.

    • Izin untuk melakukan iam:GetRole tindakan AWSServiceRoleForAmazonGuardDutyMalwareProtection menetapkan apakah peran terkait layanan (SLR) untuk Perlindungan Malware untuk EC2 ada di akun.

  • Organizations:

    • Memungkinkan pengguna untuk membaca (melihat) struktur GuardDuty organisasi dan akun.

    • Memungkinkan pengguna untuk menunjuk administrator yang didelegasikan dan mengelola anggota untuk organisasi. GuardDuty 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "GuardDutyFullAccess",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateGuardDutyServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GuardDutyOrganizationsAdminAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyIamRoleAccess",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "PassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS kebijakan terkelola: AmazonGuardDutyFullAccess

Anda dapat melampirkan kebijakan AmazonGuardDutyFullAccess ke identitas IAM Anda.

penting

Untuk keamanan yang ditingkatkan dan izin terbatas pada prinsipal GuardDuty layanan, kami sarankan Anda untuk menggunakannya. AWS kebijakan terkelola: AmazonGuardDutyFullAccess_v2 (disarankan)

Kebijakan ini memberikan izin administratif yang memungkinkan pengguna mengakses penuh untuk melakukan semua GuardDuty tindakan dan sumber daya.

Detail izin

Kebijakan ini mencakup izin berikut.

  • GuardDuty— Memungkinkan pengguna akses penuh ke semua GuardDuty tindakan.

  • IAM:

    • Memungkinkan pengguna untuk membuat peran GuardDuty terkait layanan.

    • Memungkinkan akun administrator GuardDuty untuk mengaktifkan akun anggota.

    • Memungkinkan pengguna untuk meneruskan peran GuardDuty yang menggunakan peran ini untuk mengaktifkan fitur Perlindungan GuardDuty Malware untuk S3. Ini terlepas dari bagaimana Anda mengaktifkan Perlindungan Malware untuk S3 - dalam GuardDuty layanan atau secara independen.

  • Organizations— Memungkinkan pengguna untuk menunjuk administrator yang didelegasikan dan mengelola anggota untuk organisasi. GuardDuty

Izin untuk melakukan iam:GetRole tindakan AWSServiceRoleForAmazonGuardDutyMalwareProtection menetapkan apakah peran terkait layanan (SLR) untuk Perlindungan Malware untuk EC2 ada di akun.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS kebijakan terkelola: AmazonGuardDutyReadOnlyAccess

Anda dapat melampirkan kebijakan AmazonGuardDutyReadOnlyAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat GuardDuty temuan dan detail organisasi Anda. GuardDuty

Detail izin

Kebijakan ini mencakup izin berikut.

  • GuardDuty— Memungkinkan pengguna untuk melihat GuardDuty temuan dan melakukan operasi API yang dimulai denganGet,List, atauDescribe.

  • Organizations— Memungkinkan pengguna untuk mengambil informasi tentang konfigurasi GuardDuty organisasi Anda, termasuk rincian akun administrator yang didelegasikan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonGuardDutyServiceRolePolicy

Anda tidak dapat melampirkan AmazonGuardDutyServiceRolePolicy ke entitas IAM Anda. Kebijakan AWS terkelola ini dilampirkan pada peran terkait layanan yang memungkinkan Anda GuardDuty melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk GuardDuty.

GuardDuty pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola GuardDuty sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat GuardDuty dokumen.

Perubahan Deskripsi Tanggal

AmazonGuardDutyFullAccess_v2— Menambahkan kebijakan baru

Menambahkan AmazonGuardDutyFullAccess_v2 kebijakan baru. Ini direkomendasikan karena izinnya meningkatkan keamanan dengan membatasi tindakan administratif pada prinsipal GuardDuty layanan berdasarkan peran dan kebijakan IAM, dan integrasi. AWS Organizations

Juni 04, 2025

AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada

Menambahkan ec2:DescribeVpcs izin. Ini memungkinkan GuardDuty untuk melacak pembaruan VPC, seperti mengambil CIDR VPC.

 Agustus 22, 2024

AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada

Menambahkan izin yang memungkinkan Anda meneruskan peran IAM GuardDuty saat Anda mengaktifkan Perlindungan Malware untuk S3.

{
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "guardduty.amazonaws.com"
                }
            }
}
 Juni 10, 2024

AmazonGuardDutyServiceRolePolicy— Perbarui ke kebijakan yang ada.

Gunakan AWS Systems Manager tindakan untuk mengelola asosiasi SSM di EC2 instans Amazon saat Anda mengaktifkan Pemantauan GuardDuty Waktu Proses dengan agen otomatis untuk Amazon. EC2 Ketika konfigurasi agen GuardDuty otomatis dinonaktifkan, GuardDuty pertimbangkan hanya EC2 instance yang memiliki tag inklusi (GuardDutyManaged:true).

 26 Maret 2024

AmazonGuardDutyServiceRolePolicy— Perbarui ke kebijakan yang ada.

GuardDuty telah menambahkan izin baru - organization:DescribeOrganization untuk mengambil ID organisasi akun VPC Amazon bersama dan menetapkan kebijakan titik akhir VPC Amazon dengan ID organisasi.

 Februari 9, 2024

AmazonGuardDutyMalwareProtectionServiceRolePolicy— Perbarui ke kebijakan yang ada.

Perlindungan Malware for EC2 telah menambahkan dua izin - GetSnapshotBlock dan ListSnapshotBlocks untuk mengambil snapshot volume EBS (dienkripsi menggunakan Kunci yang dikelola AWS) dari Anda Akun AWS dan menyalinnya ke akun GuardDuty layanan sebelum memulai pemindaian malware.

 25 Jan 2024

AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada

Menambahkan izin baru GuardDuty untuk memungkinkan menambahkan guarddutyActivate setelan akun Amazon ECS, serta melakukan daftar dan menjelaskan operasi di kluster Amazon ECS.

 November 26, 2023

AmazonGuardDutyReadOnlyAccess – Pembaruan ke kebijakan yang ada

 GuardDuty menambahkan kebijakan baru organizations untukListAccounts.

16 November 2023

AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada

 GuardDuty menambahkan kebijakan baru organizations untukListAccounts.

16 November 2023

AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada

GuardDuty menambahkan izin baru untuk mendukung fitur GuardDuty EKS Runtime Monitoring yang akan datang.

 8 Maret 2023

AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada

GuardDuty telah menambahkan izin baru untuk memungkinkan membuat peran terkait Layanan GuardDuty untuk Perlindungan Malware untuk. EC2 Ini akan membantu GuardDuty merampingkan proses mengaktifkan Perlindungan Malware untuk. EC2

GuardDuty sekarang dapat melakukan tindakan IAM berikut:

{
    "Effect": "Allow",
	"Action": "iam:CreateServiceLinkedRole",
	"Resource": "*",
	"Condition": {
	   "StringEquals": {
	       "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
	   }
	}
}
 21 Februari 2023

AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada

GuardDuty ARN yang diperbarui untukiam:GetRole. *AWSServiceRoleForAmazonGuardDutyMalwareProtection

 26 Jul 2022

AmazonGuardDutyFullAccess – Pembaruan ke kebijakan yang ada

GuardDuty menambahkan yang baru AWSServiceName untuk memungkinkan pembuatan peran terkait layanan menggunakan Perlindungan GuardDuty Malware iam:CreateServiceLinkedRole untuk layanan. EC2

GuardDuty sekarang dapat melakukan iam:GetRole tindakan untuk mendapatkan informasi untukAWSServiceRole.

 26 Jul 2022

AmazonGuardDutyServiceRolePolicy – Pembaruan ke kebijakan yang ada

GuardDuty menambahkan izin baru GuardDuty untuk memungkinkan penggunaan tindakan EC2 jaringan Amazon untuk meningkatkan temuan.

GuardDuty sekarang dapat melakukan EC2 tindakan berikut untuk mendapatkan informasi tentang bagaimana EC2 instans Anda berkomunikasi. Informasi ini digunakan untuk meningkatkan akurasi penemuan.

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

 Agustus 3, 2021

GuardDuty mulai melacak perubahan

GuardDuty mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 Agustus 3, 2021