Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
GuardDuty Protezione da malware per il backup: autorizzazioni IAM Role
Ruolo del cliente fornito per la scansione del malware
GuardDuty Malware Protection prevede che venga fornito un ruolo cliente (ruolo scanner) quando vengono avviate le scansioni sulle risorse di Backup, vale a dire istantanee AMIs e EBS/EC2/S 3 punti di ripristino. Questo ruolo fornisce le autorizzazioni necessarie GuardDuty per eseguire la scansione su quelle risorse specifiche. La politica delle autorizzazioni e la politica di fiducia per questo ruolo sono disponibili in. Autorizzazioni e politica di fiducia per il ruolo La sezione seguente descrive il motivo per cui ciascuna di queste autorizzazioni è richiesta.
Dettagli sulle autorizzazioni
-
ModifySnapshotAttribute- Consente l'accesso alle istantanee crittografate non crittografate e gestite dal cliente all'account del servizio GuardDuty Malware Protection. -
CreateGrant- Consente a GuardDuty Malware Protection di creare e accedere a un volume EBS crittografato con chiave gestita dal cliente a partire dall'istantanea crittografata con chiave gestita dal cliente a cui l'account di GuardDuty servizio ha accesso. -
RetireGrant- Consente a GuardDuty Malware Protection di ritirare le sovvenzioni create sulla Customer Managed Key per la lettura di istantanee crittografate -
ReEncryptToeReEncryptFrom- Richiesto da EBS per GuardDuty consentire l'accesso alle istantanee crittografate con chiavi gestite dal cliente e per creare volumi crittografati a partire da esse. Sebbene i clienti possano considerare ReEncryption un'istantanea durante la condivisione come una transizione fondamentale, le istantanee rimangono immutabili dal punto di vista del cliente una volta create. -
ListSnapshotBlockseGetSnapshotBlock- EBS Direct APIs vengono utilizzati per accedere ai blocchi di snapshot per un'istantanea crittografata con Managed Key. AWS Ciò avviene perché altrimenti non è possibile accedere alle istantanee crittografate con AWS Managed Key su più account. -
Decrypt- Consente di decrittografare le istantanee di base crittografate con chiave gestita dal cliente quando vengono scaricate in memoria utilizzando EBS Direct APIs come parte della scansione incrementale. -
ListChangedBlocks- L'API EBS Direct utilizzata nella scansione incrementale delle istantanee per ottenere l'elenco dei blocchi modificati tra due istantanee. -
DescribeKey- Consente a GuardDuty Malware Protection di determinare il KeyID della chiave AWS gestita nell'account del cliente. -
DescribeImages- Consente di descrivere un AMI per ottenere l'elenco delle istantanee appartenenti all'AMI. -
DescribeRecoveryPoint- Consente al servizio di recuperare i dettagli del punto di ripristino e di verificare il tipo di risorsa per il punto di ripristino. -
CreateBackupAccessPoint,DescribeBackupAccessPoint,DeleteBackupAccessPoint- Consente al servizio di creare, descrivere ed eliminare l'Access Point necessario per accedere ai punti di ripristino. -
kms:Decrypt- Consente al servizio di accedere agli oggetti in un punto di ripristino S3 durante una scansione del punto di ripristino S3.
Garantire il ruolo
Il ruolo deve essere configurato con una politica di fiducia che consideri attendibile il responsabile del servizio GuardDuty Malware Protection. Ciò garantisce che nessun responsabile diverso dal GuardDuty servizio possa assumere questo ruolo. Inoltre, ti consigliamo di limitare le politiche a risorse specifiche anziché*. Ciò include gli ID delle istantanee e gli ID delle chiavi. In questo modo si assicurerà che il ruolo fornisca l'accesso solo a quelle risorse specifiche.
Importante
Una configurazione errata potrebbe causare errori di scansione a causa di autorizzazioni insufficienti.
In che modo GuardDuty Malware Protection utilizza le sovvenzioni in KMS AWS
GuardDuty Malware Protection richiede concessioni per utilizzare le chiavi KMS.
Quando avvii una scansione su un'istantanea crittografata o un' EC2 AMI composta da istantanee crittografate, GuardDuty Malware Protection crea concessioni per tuo conto inviando una CreateGrantrichiesta a KMS. AWS Queste concessioni danno GuardDuty accesso a una chiave specifica del tuo account.
GuardDuty Malware Protection richiede la concessione dell'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:
-
Invia DescribeKeyrichieste AWS a per recuperare i dettagli sulla chiave simmetrica gestita dal cliente con cui è crittografata la risorsa inviata per una scansione antimalware.
-
Crea un volume EBS da un'istantanea crittografata utilizzando l'CreateVolumeAPI e crittografa il volume con la stessa chiave.
-
Accedi ai blocchi di snapshot sull'istantanea tramite l'GetSnapshotBlockAPI durante una scansione incrementale.
-
Invia le richieste Decrypt a AWS KMS per decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per leggere i dati sull'istantanea durante la scansione.
Puoi revocare la concessione creata o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. Se lo fai, non GuardDuty sarai in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati.
GuardDuty Contesto di crittografia della protezione da malware
Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS; associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
GuardDuty Malware Protection utilizza uno dei due contesti di crittografia.
Contesto di crittografia 1: La chiave èaws:guardduty:id.
"encryptionContext": { "aws:guardduty:id": "snap-11112222333344" }
Questo contesto di crittografia viene utilizzato con le operazioni di concessione: CreateGrant, Decrypt,,, GenerateDataKeyWithoutPlaintext ReEncryptTo, RetireGrant. DescribeKey
Viene creata una concessione sulla risorsa corrente con questo contesto di crittografia e queste operazioni di concessione.
Contesto di crittografia 2: la chiave è aws:ebs:id
"encryptionContext": { "aws:ebs:id": "snap-11112222333344" }
Questo contesto di crittografia viene utilizzato con le operazioni di concessione: ReEncryptFrom, Decrypt,, RetireGrant. DescribeKey
Con questi contesti di crittografia e operazioni di concessione vengono create tre concessioni. Uno sull'istantanea di destinazione con l'operazione di concessione. ReEncryptFrom Una seconda sull'istantanea di destinazione con Decrypt, RetireGrant, DescribeKey operazioni. E una terza sull'istantanea di base con le stesse operazioni di concessione della seconda concessione.
Autorizzazioni e politica di fiducia per il ruolo
Politica sulle autorizzazioni
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:ListChangedBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*::snapshot/*" }, { "Sid": "CreateGrantPermissions", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "ForAnyValue:StringLike": { "kms:EncryptionContext:aws:guardduty:id": "snap-*", "kms:ViaService": [ "guardduty.*.amazonaws.com", "backup.*.amazonaws.com" ] }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "CreateGrantPermissionsForReEncryptAndDirectAPIs", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "ForAnyValue:StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*", "kms:ViaService": [ "guardduty.*.amazonaws.com", "backup.*.amazonaws.com" ] }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "ReEncryptTo", "ReEncryptFrom", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Sid": "ShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*" }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "DescribeRecoveryPointPermission", "Effect": "Allow", "Action": [ "backup:DescribeRecoveryPoint" ], "Resource": "*" }, { "Sid": "CreateBackupAccessPointPermissions", "Effect" : "Allow", "Action" : [ "backup:CreateBackupAccessPoint" ], "Resource": "arn:aws:backup:*:*:recovery-point:*" }, { "Sid": "ReadAndDeleteBackupAccessPointPermissions", "Effect" : "Allow", "Action" : [ "backup:DescribeBackupAccessPoint", "backup:DeleteBackupAccessPoint" ], "Resource": "*" }, { "Sid": "KMSKeyPermissionsForInstantAccess", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "backup.*.amazonaws.com" } } } ] }
Politica di fiducia
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
