Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per Amazon GuardDuty
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. GuardDuty IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come GuardDuty funziona Amazon con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon GuardDuty](security_iam_id-based-policy-examples.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon GuardDuty](using-service-linked-roles.md)
+ [AWS politiche gestite per Amazon GuardDuty](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi all' GuardDuty identità e all'accesso ad Amazon](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all' GuardDuty identità e all'accesso ad Amazon](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come GuardDuty funziona Amazon con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon GuardDuty](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come GuardDuty funziona Amazon con IAM
Prima di utilizzare IAM per gestire l'accesso a GuardDuty, scopri con quali funzionalità IAM è disponibile l'uso GuardDuty.
**Funzionalità IAM che puoi utilizzare con Amazon GuardDuty**
| Funzionalità IAM | GuardDuty supporto |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica di alto livello su come GuardDuty e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per GuardDuty
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per GuardDuty
Per visualizzare esempi di politiche basate sull' GuardDuty identità, vedere. [Esempi di policy basate sull'identità per Amazon GuardDuty](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno GuardDuty
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per GuardDuty
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di GuardDuty azioni, consulta [Azioni definite da Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in GuardDuty uso utilizzano il seguente prefisso prima dell'azione:
```
guardduty
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"guardduty:action1",
"guardduty:action2"
]
```
Per visualizzare esempi di politiche GuardDuty basate sull'identità, vedere. [Esempi di policy basate sull'identità per Amazon GuardDuty](security_iam_id-based-policy-examples.md)
## Risorse politiche per GuardDuty
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di GuardDuty risorse e relativi ARNs, consulta [Resources defined by Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-resources-for-iam-policies) nel *Service Authorization Reference*. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-actions-as-permissions). GuardDuty
Per visualizzare esempi di politiche GuardDuty basate sull'identità, consulta. [Esempi di policy basate sull'identità per Amazon GuardDuty](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per GuardDuty
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di GuardDuty condizione, consulta [Condition keys for Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-actions-as-permissions).
Per visualizzare esempi di politiche GuardDuty basate sull'identità, consulta. [Esempi di policy basate sull'identità per Amazon GuardDuty](security_iam_id-based-policy-examples.md)
## Liste di controllo degli accessi () in ACLs GuardDuty
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con GuardDuty
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con GuardDuty
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per GuardDuty
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per GuardDuty
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere GuardDuty la funzionalità. Modifica i ruoli di servizio solo quando viene GuardDuty fornita una guida in tal senso.
## Ruoli collegati ai servizi per GuardDuty
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli GuardDuty collegati ai servizi, consulta. [Utilizzo di ruoli collegati ai servizi per Amazon GuardDuty](using-service-linked-roles.md)
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per Amazon GuardDuty
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse GuardDuty. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da GuardDuty, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console GuardDuty](#security_iam_id-based-policy-examples-console)
+ [Autorizzazioni necessarie per l'attivazione GuardDuty](#guardduty_enable-permissions)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Policy IAM personalizzata per concedere l'accesso in sola lettura a GuardDuty](#security_iam_id-based-policy-examples-custom-readonly)
+ [Negare l'accesso ai risultati GuardDuty](#security_iam_id-based-policy-examples-deny-findings)
+ [Utilizzo di una policy IAM personalizzata per limitare l'accesso alle GuardDuty risorse](#security_iam_id-based-policy-examples-guardduty_restrict_access_to_resources)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare GuardDuty risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console GuardDuty
Per accedere alla GuardDuty console Amazon, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle GuardDuty risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la GuardDuty console, allega anche la policy GuardDuty `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Autorizzazioni necessarie per l'attivazione GuardDuty
Per concedere le autorizzazioni necessarie a diverse identità IAM (utenti, gruppi e ruoli), allega la [AWS politica gestita: AmazonGuardDutyFullAccess\$1v2 (consigliata)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) policy di attivazione richiesta. GuardDuty
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando l'API or a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Policy IAM personalizzata per concedere l'accesso in sola lettura a GuardDuty
Per concedere l'accesso in sola lettura GuardDuty puoi utilizzare la policy gestita. `AmazonGuardDutyReadOnlyAccess`
Per creare una policy personalizzata che conceda l'accesso in sola lettura a un ruolo, un utente o un gruppo IAM GuardDuty, puoi utilizzare la seguente dichiarazione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:ListMembers",
"guardduty:GetMembers",
"guardduty:ListInvitations",
"guardduty:ListDetectors",
"guardduty:GetDetector",
"guardduty:ListFindings",
"guardduty:GetFindings",
"guardduty:ListIPSets",
"guardduty:GetIPSet",
"guardduty:ListThreatIntelSets",
"guardduty:GetThreatIntelSet",
"guardduty:GetMasterAccount",
"guardduty:GetInvitationsCount",
"guardduty:GetFindingsStatistics",
"guardduty:DescribeMalwareScans",
"guardduty:UpdateMalwareScanSettings",
"guardduty:GetMalwareScanSettings"
],
"Resource": "*"
}
]
}
```
------
## Negare l'accesso ai risultati GuardDuty
Puoi utilizzare la seguente policy per negare a un ruolo, utente o gruppo IAM l'accesso ai GuardDuty risultati. Gli utenti non possono visualizzare i risultati o i dettagli sui risultati, ma possono accedere a tutte le altre GuardDuty operazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:CreateDetector",
"guardduty:DeleteDetector",
"guardduty:UpdateDetector",
"guardduty:GetDetector",
"guardduty:ListDetectors",
"guardduty:CreateIPSet",
"guardduty:DeleteIPSet",
"guardduty:UpdateIPSet",
"guardduty:GetIPSet",
"guardduty:ListIPSets",
"guardduty:CreateThreatIntelSet",
"guardduty:DeleteThreatIntelSet",
"guardduty:UpdateThreatIntelSet",
"guardduty:GetThreatIntelSet",
"guardduty:ListThreatIntelSets",
"guardduty:ArchiveFindings",
"guardduty:UnarchiveFindings",
"guardduty:CreateSampleFindings",
"guardduty:CreateMembers",
"guardduty:InviteMembers",
"guardduty:GetMembers",
"guardduty:DeleteMembers",
"guardduty:DisassociateMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:ListMembers",
"guardduty:GetMasterAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:AcceptAdministratorInvitation",
"guardduty:ListInvitations",
"guardduty:GetInvitationsCount",
"guardduty:DeclineInvitations",
"guardduty:DeleteInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
## Utilizzo di una policy IAM personalizzata per limitare l'accesso alle GuardDuty risorse
Per definire l'accesso di un utente in GuardDuty base all'ID del rilevatore, puoi utilizzare tutte le [azioni GuardDuty API](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Operations.html) nelle tue policy IAM personalizzate, **ad eccezione** delle seguenti operazioni:
+ `guardduty:CreateDetector`
+ `guardduty:DeclineInvitations`
+ `guardduty:DeleteInvitations`
+ `guardduty:GetInvitationsCount`
+ `guardduty:ListDetectors`
+ `guardduty:ListInvitations`
Utilizza le seguenti operazioni in una policy IAM per definire l'accesso di un utente a in GuardDuty base all' IPSet ID e all' ThreatIntelSet ID:
+ `guardduty:DeleteIPSet`
+ `guardduty:DeleteThreatIntelSet`
+ `guardduty:GetIPSet`
+ `guardduty:GetThreatIntelSet`
+ `guardduty:UpdateIPSet`
+ `guardduty:UpdateThreatIntelSet`
I seguenti esempi mostrano come creare delle policy utilizzando alcune delle operazioni precedenti:
+ Questa policy consente a un utente di eseguire l'operazione `guardduty:UpdateDetector` utilizzando l'ID rilevatore 1234567 nella regione us-east-1:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:UpdateDetector"
],
"Resource": "arn:aws:guardduty:us-east-1:123456789012:detector/1234567"
}
]
}
```
------
+ Questo criterio consente a un utente di eseguire l'`guardduty:UpdateIPSet`operazione, utilizzando l'ID del rilevatore 1234567 e l' IPSet ID 000000 nella regione us-east-1:
**Nota**
Assicurati che l'utente disponga delle autorizzazioni necessarie per accedere agli elenchi di IP affidabili e agli elenchi di minacce in. GuardDuty Per ulteriori informazioni, consulta [Impostazione dei prerequisiti per gli elenchi di entità e gli elenchi di indirizzi IP](guardduty-lists-prerequisites.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:UpdateIPSet"
],
"Resource": "arn:aws:guardduty:us-east-1:123456789012:detector/1234567/ipset/000000"
}
]
}
```
------
+ Questo criterio consente a un utente di eseguire l'`guardduty:UpdateIPSet`operazione, utilizzando qualsiasi ID del rilevatore e l' IPSet ID 000000 nella regione us-east-1:
**Nota**
Assicurati che l'utente disponga delle autorizzazioni necessarie per accedere agli elenchi di IP affidabili e agli elenchi di minacce in. GuardDuty Per ulteriori informazioni, consulta [Impostazione dei prerequisiti per gli elenchi di entità e gli elenchi di indirizzi IP](guardduty-lists-prerequisites.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:UpdateIPSet"
],
"Resource": "arn:aws:guardduty:us-east-1:123456789012:detector/*/ipset/000000"
}
]
}
```
------
+ Questa politica consente a un utente di eseguire l'`guardduty:UpdateIPSet`operazione, utilizzando il proprio ID del rilevatore e qualsiasi IPSet ID nella regione us-east-1:
**Nota**
Assicurati che l'utente disponga delle autorizzazioni necessarie per accedere agli elenchi di IP affidabili e agli elenchi di minacce in. GuardDuty Per ulteriori informazioni, consulta [Impostazione dei prerequisiti per gli elenchi di entità e gli elenchi di indirizzi IP](guardduty-lists-prerequisites.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:UpdateIPSet"
],
"Resource": "arn:aws:guardduty:us-east-1:123456789012:detector/1234567/ipset/*"
}
]
}
```
------
# Utilizzo di ruoli collegati ai servizi per Amazon GuardDuty
Amazon GuardDuty utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato al servizio (SLR) è un tipo unico di ruolo IAM a cui è collegato direttamente. GuardDuty I ruoli collegati ai servizi sono predefiniti GuardDuty e includono tutte le autorizzazioni necessarie per chiamare altri servizi per GuardDuty tuo conto. AWS
Con il ruolo collegato al servizio, puoi eseguire la configurazione GuardDuty senza aggiungere manualmente le autorizzazioni necessarie. GuardDuty definisce le autorizzazioni del suo ruolo collegato al servizio e, a meno che le autorizzazioni non siano definite diversamente, solo può assumere il ruolo. GuardDuty Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
GuardDuty supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui è disponibile. GuardDuty Per ulteriori informazioni, consulta [Regioni ed endpoint](guardduty_regions.md).
È possibile eliminare il ruolo GuardDuty collegato al servizio solo dopo la prima disabilitazione GuardDuty in tutte le regioni in cui è abilitato. In questo modo proteggi GuardDuty le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedervi.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l'utente IAM* e cerca i servizi che riportano **Sì **nella colonna **Ruoli collegati al servizi**. Scegliere **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
# Autorizzazioni di ruolo collegate al servizio per GuardDuty
GuardDuty utilizza il ruolo collegato al servizio (SLR) denominato. `AWSServiceRoleForAmazonGuardDuty` La SLR consente di GuardDuty eseguire le seguenti attività. Consente inoltre di GuardDuty includere i metadati recuperati appartenenti all'istanza EC2 nei risultati che GuardDuty possono generare sulla potenziale minaccia. Ai fini dell'assunzione del ruolo `AWSServiceRoleForAmazonGuardDuty`, il ruolo collegato ai servizi `guardduty.amazonaws.com`considera attendibile il servizio.
Le politiche di autorizzazione aiutano a GuardDuty svolgere le seguenti attività:
+ Usa le azioni di Amazon EC2 per gestire e recuperare informazioni sulle tue istanze EC2, immagini e componenti di rete come VPCs sottoreti e gateway di transito.
+ Usa AWS Systems Manager le azioni per gestire le associazioni SSM sulle istanze Amazon EC2 quando GuardDuty abiliti il monitoraggio del runtime con agente automatizzato per Amazon EC2. Quando la configurazione GuardDuty automatizzata degli agenti è disabilitata, GuardDuty considera solo le istanze EC2 che hanno un tag di inclusione (:). `GuardDutyManaged` `true`
+ Utilizza AWS Organizations le azioni per descrivere gli account e l'ID dell'organizzazione associati.
+ Utilizzare le operazioni di Amazon S3 per recuperare informazioni su bucket e oggetti S3.
+ Usa AWS Lambda le azioni per recuperare informazioni sulle funzioni e sui tag Lambda.
+ Utilizzare le operazioni di Amazon EKS per gestire e recuperare informazioni sui cluster EKS e gestire i [Componenti aggiuntivi di Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) su questi cluster. Le azioni EKS recuperano anche le informazioni sui tag associati a. GuardDuty
+ Usa IAM per creare il Malware Protection for EC2 [Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2](slr-permissions-malware-protection.md) dopo che è stata abilitata.
+ Utilizza le azioni Amazon ECS per gestire e recuperare informazioni sui cluster Amazon ECS e gestisci le impostazioni dell'account Amazon ECS con. `guarddutyActivate` Le azioni relative ad Amazon ECS recuperano anche le informazioni sui tag associati a. GuardDuty
Il ruolo è configurato con le seguenti [policy gestite da AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), denominate `AmazonGuardDutyServiceRolePolicy`.
Per esaminare le autorizzazioni relative a questa politica, consulta la *AWS Managed* Policy [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)Reference Guide.
Di seguito è riportata la policy di attendibilità associata al ruolo collegato ai servizi `AWSServiceRoleForAmazonGuardDuty`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Per i dettagli sugli aggiornamenti della `AmazonGuardDutyServiceRolePolicy` politica, consulta[GuardDuty aggiornamenti alle politiche gestite AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Per ricevere avvisi automatici sulle modifiche a questa politica, iscriviti al feed RSS presente nella [Cronologia dei documenti](doc-history.md) pagina.
## Creazione di un ruolo collegato al servizio per GuardDuty
Il ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio viene creato automaticamente quando lo si abilita GuardDuty per la prima volta o si abilita GuardDuty in una regione supportata in cui in precedenza non era abilitato. Puoi anche creare il ruolo collegato al servizio manualmente utilizzando la console IAM, l'o l'API AWS CLI IAM.
**Importante**
Il ruolo collegato al servizio creato per l'account amministratore GuardDuty delegato non si applica agli account dei membri. GuardDuty
Per consentire a un principale IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. `AWSServiceRoleForAmazonGuardDuty`Affinché il ruolo collegato al servizio venga creato correttamente, il principale IAM con cui lo utilizzi deve disporre delle autorizzazioni GuardDuty richieste. Per concedere le autorizzazioni richieste, collega la seguente policy gestita a questo utente, gruppo o ruolo .
**Nota**
Sostituisci l'esempio riportato *account ID* nell'esempio seguente con il tuo ID effettivo. Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
## Modifica di un ruolo collegato al servizio per GuardDuty
GuardDuty non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonGuardDuty` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per GuardDuty
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
**Importante**
Se hai abilitato Malware Protection for EC2, l'eliminazione non comporta l'eliminazione automatica`AWSServiceRoleForAmazonGuardDuty`. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Se desideri eliminare`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, consulta [Eliminazione di un ruolo collegato al servizio per Malware Protection for EC2](slr-permissions-malware-protection#delete-slr).
Devi prima disabilitarlo GuardDuty in tutte le regioni in cui è abilitato per eliminare il. `AWSServiceRoleForAmazonGuardDuty` Se il GuardDuty servizio non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione non riesce. Per ulteriori informazioni, consulta [Sospensione o disabilitazione GuardDuty](guardduty_suspend-disable.md).
Quando si disattiva GuardDuty, `AWSServiceRoleForAmazonGuardDuty` non viene eliminato automaticamente. Se lo abiliti GuardDuty nuovamente, inizierà a utilizzare l'esistente`AWSServiceRoleForAmazonGuardDuty`.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l'API IAM per eliminare il ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Supportato Regioni AWS
Amazon GuardDuty supporta l'utilizzo del ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio Regioni AWS ovunque GuardDuty sia disponibile. Per un elenco delle regioni in cui GuardDuty è attualmente disponibile, consulta gli [ GuardDuty endpoint e le quote di Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) nel. *Riferimenti generali di Amazon Web Services*
# Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2
Malware Protection for EC2 utilizza il ruolo collegato al servizio (SLR) denominato. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Questa reflex consente a Malware Protection for EC2 di eseguire scansioni senza agenti per rilevare malware nel tuo account. GuardDuty Consente di GuardDuty creare un'istantanea del volume EBS nel tuo account e condividerla con l'account del servizio. GuardDuty Dopo aver GuardDuty valutato l'istantanea, include i metadati del carico di lavoro dell'istanza EC2 e del contenitore recuperati nei risultati di Malware Protection for EC2. Ai fini dell'assunzione del ruolo `AWSServiceRoleForAmazonGuardDutyMalwareProtection`, il ruolo collegato ai servizi `malware-protection.guardduty.amazonaws.com`considera attendibile il servizio.
Le politiche di autorizzazione per questo ruolo aiutano Malware Protection for EC2 a svolgere le seguenti attività:
+ Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle istanze, i volumi e le istantanee di Amazon EC2. Malware Protection for EC2 fornisce anche l'autorizzazione per accedere ai metadati dei cluster Amazon EKS e Amazon ECS.
+ Crea snapshot per volumi EBS con il tag `GuardDutyExcluded` non impostato su `true`. Per impostazione predefinita, gli snapshot vengono creati con un tag `GuardDutyScanId`. Non rimuovere questo tag, altrimenti Malware Protection for EC2 non avrà accesso alle istantanee.
**Importante**
Se lo `GuardDutyExcluded` imposti su`true`, il GuardDuty servizio non sarà in grado di accedere a queste istantanee in futuro. Questo perché le altre istruzioni di questo ruolo collegato al servizio GuardDuty impediscono di eseguire qualsiasi azione sulle istantanee impostate su. `GuardDutyExcluded` `true`
+ Consenti la condivisione e l'eliminazione degli snapshot solo se il tag `GuardDutyScanId` esiste e se il tag `GuardDutyExcluded` non è impostato su `true`.
**Nota**
Non consente a Malware Protection for EC2 di rendere pubbliche le istantanee.
+ Accedi alle chiavi gestite dal cliente, ad eccezione di quelle con un `GuardDutyExcluded` tag impostato su`true`, da chiamare per creare e accedere `CreateGrant` a un volume EBS crittografato dall'istantanea crittografata che viene condivisa con l'account del servizio. GuardDuty Per un elenco degli account di GuardDuty servizio per ogni regione, consulta. [GuardDuty account di servizio di Regione AWS](gdu-service-account-region-list.md)
+ Accedi ai CloudWatch log dei clienti per creare il gruppo di log Malware Protection for EC2 e inserire i registri degli eventi di scansione del malware nel gruppo di log. `/aws/guardduty/malware-scan-events`
+ Consenti al cliente di decidere se conservare nel proprio account gli snapshot su cui è stato rilevato il malware. Se la scansione rileva malware, il ruolo collegato al servizio consente di aggiungere due tag GuardDuty alle istantanee: e. `GuardDutyFindingDetected` `GuardDutyExcluded`
**Nota**
Il tag `GuardDutyFindingDetected` specifica che gli snapshot contengono malware.
+ Determina se un volume è crittografato con una chiave gestita da EBS. GuardDuty esegue l'`DescribeKey`azione per determinare la `key Id` chiave gestita da EBS nel tuo account.
+ Recupera l'istantanea dei volumi EBS crittografati utilizzando Chiave gestita da AWS, dal tuo Account AWS e copiala su. [GuardDuty account di servizio](gdu-service-account-region-list.md) A tal fine, utilizziamo le autorizzazioni e. `GetSnapshotBlock` `ListSnapshotBlocks` GuardDuty eseguirà quindi la scansione dell'istantanea nell'account del servizio. Attualmente, il supporto Malware Protection for EC2 per la scansione di volumi EBS crittografati con Chiave gestita da AWS potrebbe non essere disponibile in tutti i. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità di funzionalità specifiche per ogni regione](guardduty_regions.md#gd-regional-feature-availability).
+ Consenti ad Amazon EC2 di effettuare chiamate per AWS KMS conto di Malware Protection for EC2 per eseguire diverse azioni crittografiche sulle chiavi gestite dal cliente. Operazioni come `kms:ReEncryptTo` e `kms:ReEncryptFrom` sono necessarie per condividere gli snapshot crittografati con le chiavi gestite dal cliente. Sono accessibili solo le chiavi per le quali il tag `GuardDutyExcluded` non è impostato su `true`.
Il ruolo è configurato con le seguenti [policy gestite da AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), denominate `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.
Per esaminare le autorizzazioni relative a questa policy, consulta la *AWS Managed* Policy [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)Reference Guide.
La policy di attendibilità seguente è associata al ruolo collegato ai servizi `AWSServiceRoleForAmazonGuardDutyMalwareProtection`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Creazione di un ruolo collegato al servizio per Malware Protection for EC2
Il ruolo `AWSServiceRoleForAmazonGuardDutyMalwareProtection` collegato al servizio viene creato automaticamente quando abiliti Malware Protection for EC2 per la prima volta o abiliti Malware Protection for EC2 in una regione supportata in cui in precedenza non era abilitato. Puoi anche creare il ruolo collegato ai servizi `AWSServiceRoleForAmazonGuardDutyMalwareProtection` manualmente, utilizzando la console IAM, la CLI IAM o l'API IAM.
**Nota**
Per impostazione predefinita, se sei un nuovo utente di Amazon GuardDuty, Malware Protection for EC2 è abilitato automaticamente.
**Importante**
Il ruolo collegato al servizio creato per l'account GuardDuty amministratore delegato non si applica agli account dei membri. GuardDuty
Per consentire a un principale IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. `AWSServiceRoleForAmazonGuardDutyMalwareProtection`Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM con cui utilizzi deve disporre delle autorizzazioni GuardDuty richieste. Per concedere le autorizzazioni richieste, collega la seguente policy gestita a questo utente, gruppo o ruolo .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
## Modifica di un ruolo collegato al servizio per Malware Protection for EC2
Malware Protection for EC2 non consente di modificare il ruolo collegato al servizio. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Malware Protection for EC2
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
**Importante**
Per eliminare il`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, devi prima disabilitare Malware Protection for EC2 in tutte le regioni in cui è abilitato.
Se Malware Protection for EC2 non è disabilitato quando tenti di eliminare il ruolo collegato al servizio, l'eliminazione avrà esito negativo. Assicurati di disabilitare innanzitutto Malware Protection for EC2 nel tuo account.
Quando scegli **Disattiva** per interrompere il servizio Malware Protection for EC2, non `AWSServiceRoleForAmazonGuardDutyMalwareProtection` viene eliminato automaticamente. Se poi scegli **Abilita** per avviare nuovamente il servizio Malware Protection for EC2, GuardDuty inizierà a utilizzare il servizio esistente. `AWSServiceRoleForAmazonGuardDutyMalwareProtection`
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM, la AWS CLI o l'API IAM per eliminare il ruolo collegato al `AWSServiceRoleForAmazonGuardDutyMalwareProtection` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Supportato Regioni AWS
Amazon GuardDuty supporta l'utilizzo del ruolo `AWSServiceRoleForAmazonGuardDutyMalwareProtection` collegato al servizio in tutti i paesi in Regioni AWS cui è disponibile Malware Protection for EC2.
Per un elenco delle regioni in cui GuardDuty è attualmente disponibile, consulta gli [ GuardDuty endpoint e le quote di Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) nel. *Riferimenti generali di Amazon Web Services*
**Nota**
Malware Protection for EC2 non è attualmente disponibile negli AWS GovCloud Stati Uniti orientali e AWS GovCloud negli Stati Uniti occidentali.
# AWS politiche gestite per Amazon GuardDuty
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
L'elemento della policy `Version` specifica le regole sintattiche di linguaggio che devono essere utilizzate per elaborare una policy. Le seguenti politiche includono la versione corrente supportata da IAM. Per ulteriori informazioni, consulta [IAM JSON Policy elements: Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
## AWS politica gestita: AmazonGuardDutyFullAccess\$1v2 (consigliata)
È possibile allegare la policy AmazonGuardDutyFullAccess\$1v2 alle identità IAM. Questa politica consentirà a un utente l'accesso completo per eseguire tutte le GuardDuty azioni e accedere alle risorse richieste. Between AmazonGuardDutyFullAccess\$1v2 and AmazonGuardDutyFullAccess, GuardDuty consiglia il collegamento AmazonGuardDutyFullAccess\$1v2 perché offre una maggiore sicurezza e limita le azioni amministrative ai responsabili del GuardDuty servizio.
### Dettagli dell’autorizzazione
La AmazonGuardDutyFullAccess\$1v2 politica include le seguenti autorizzazioni:
+ `GuardDuty`— Consente agli utenti l'accesso completo a tutte le GuardDuty azioni.
+ `IAM`:
+ Consente agli utenti di creare ruoli GuardDuty collegati al servizio.
+ Consente di visualizzare e gestire i ruoli IAM e le relative politiche per. GuardDuty
+ Consente agli utenti di passare un ruolo a GuardDuty. GuardDuty utilizza questo ruolo per abilitare Malware Protection for S3 e scansionare gli oggetti S3 alla ricerca di malware. GuardDuty utilizza questo ruolo anche per avviare scansioni per Malware Protection for Backup AWS .
+ L'autorizzazione a eseguire un'`iam:GetRole`azione `AWSServiceRoleForAmazonGuardDutyMalwareProtection` stabilisce se il ruolo collegato al servizio (SLR) per Malware Protection for EC2 esiste in un account.
+ `Organizations`:
+ Consenti agli utenti di leggere (visualizzare) GuardDuty la struttura organizzativa e gli account.
+ Consente agli utenti di designare un amministratore delegato e gestire i membri di un' GuardDuty organizzazione.
*Per esaminare le autorizzazioni per questa politica, vedere [AmazonGuardDutyFullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess_v2.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AmazonGuardDutyFullAccess
È possibile allegare la policy `AmazonGuardDutyFullAccess` alle identità IAM.
**Importante**
Per una maggiore sicurezza e autorizzazioni restrittive ai responsabili GuardDuty del servizio, ti consigliamo di utilizzare. [AWS politica gestita: AmazonGuardDutyFullAccess\$1v2 (consigliata)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)
Questa politica concede autorizzazioni amministrative che consentono a un utente l'accesso completo per eseguire tutte le azioni e le risorse. GuardDuty
### Dettagli dell’autorizzazione
Questa policy include le seguenti autorizzazioni:
+ `GuardDuty`— Consente agli utenti l'accesso completo a tutte le GuardDuty azioni.
+ `IAM`:
+ Consente agli utenti di creare il ruolo GuardDuty collegato al servizio.
+ Consente a un account amministratore di abilitare gli account GuardDuty dei membri.
+ Consente agli utenti di passare un ruolo a GuardDuty. GuardDuty utilizza questo ruolo per abilitare Malware Protection for S3 e scansionare gli oggetti S3 alla ricerca di malware. GuardDuty utilizza questo ruolo anche per avviare scansioni per Malware Protection for Backup AWS .
+ `Organizations`— Consente agli utenti di designare un amministratore delegato e gestire i membri di un'organizzazione. GuardDuty
L'autorizzazione a eseguire un'`iam:GetRole`azione `AWSServiceRoleForAmazonGuardDutyMalwareProtection` stabilisce se il ruolo collegato al servizio (SLR) per Malware Protection for EC2 esiste in un account.
*Per esaminare le autorizzazioni relative a questa policy, consulta la Managed Policy Reference [AmazonGuardDutyFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess.html)Guide.AWS *
## AWS politica gestita: AmazonGuardDutyReadOnlyAccess
È possibile allegare la policy `AmazonGuardDutyReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni di sola lettura che consentono a un utente di visualizzare GuardDuty i risultati e i dettagli dell'organizzazione. GuardDuty
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `GuardDuty`— Consente agli utenti di visualizzare GuardDuty i risultati ed eseguire operazioni API che iniziano con`Get`, o. `List` `Describe`
+ `Organizations`— Consente agli utenti di recuperare informazioni sulla configurazione GuardDuty dell'organizzazione, inclusi i dettagli dell'account amministratore delegato.
Per esaminare le autorizzazioni relative a questa politica, consulta [AmazonGuardDutyReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyReadOnlyAccess.html)la *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AmazonGuardDutyServiceRolePolicy
Non è possibile collegare `AmazonGuardDutyServiceRolePolicy`alle entità IAM. Questa policy AWS gestita è associata a un ruolo collegato al servizio che consente di eseguire azioni GuardDuty per conto dell'utente. Per ulteriori informazioni, consulta [Autorizzazioni di ruolo collegate al servizio per GuardDuty](slr-permissions.md).
## GuardDuty aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite GuardDuty da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei GuardDuty documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento a una policy esistente | È stata aggiunta l'`cloudtrail:CreateServiceLinkedChannel`autorizzazione per abilitare un meccanismo aggiuntivo per la AWS CloudTrail fruizione degli eventi. {
"Sid": "CloudTrailCreateServiceLinkedChannelSid",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateServiceLinkedChannel"
],
"Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/guardduty/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
} | 25 marzo 2026 |
| AmazonGuardDutyFullAccess: obsoleta | Questa policy è stata sostituita da una policy ad ambito ridotto denominata `AmazonGuardDutyFullAccess_v2`. Dopo **il 13 marzo 2026**, non puoi allegare la `AmazonGuardDutyFullAccess` politica a nuovi utenti, gruppi o ruoli. Per ulteriori informazioni, consulta [AWS politica gestita: AmazonGuardDutyFullAccess\$1v2 (consigliata)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2). | 13 marzo 2026 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione che consente di passare un ruolo IAM a GuardDuty quando si attiva Malware Protection for AWS Backup. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 19 novembre 2025 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione che consente di passare un ruolo IAM a GuardDuty quando si attiva Malware Protection for AWS Backup. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 19 novembre 2025 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)— Aggiunta una nuova politica | Aggiunta una nuova AmazonGuardDutyFullAccess\$1v2 politica. Questa opzione è consigliata perché le relative autorizzazioni migliorano la sicurezza limitando le azioni amministrative ai responsabili dei GuardDuty servizi in base ai ruoli e alle policy di IAM e all'integrazione. AWS Organizations | 4 giugno 2025 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento di una policy esistente | È stata aggiunta l'`ec2:DescribeVpcs`autorizzazione. Ciò consente di GuardDuty tenere traccia degli aggiornamenti del VPC, ad esempio il recupero del VPC CIDR. | 22 agosto 2024 |
| [AmazonGuardDutyFullAccess](slr-permissions.md): aggiornamento di una policy esistente | È stata aggiunta un'autorizzazione che consente di assegnare un ruolo IAM a GuardDuty quando si attiva Malware Protection for S3. {
"Sid": "AllowPassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
} | 10 giugno 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiorna a una policy esistente. | Usa AWS Systems Manager le azioni per gestire le associazioni SSM sulle istanze Amazon EC2 quando GuardDuty abiliti il monitoraggio del runtime con agente automatizzato per Amazon EC2. Quando la configurazione GuardDuty automatizzata degli agenti è disabilitata, GuardDuty considera solo le istanze EC2 che hanno un tag di inclusione (:). `GuardDutyManaged` `true` | 26 marzo 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiorna a una policy esistente. | GuardDuty ha aggiunto una nuova autorizzazione: `organization:DescribeOrganization` recuperare l'ID dell'organizzazione dell'account Amazon VPC condiviso e impostare la policy degli endpoint Amazon VPC con l'ID dell'organizzazione. | 9 febbraio 2024 |
| [AmazonGuardDutyMalwareProtectionServiceRolePolicy](slr-permissions-malware-protection.md): aggiorna a una policy esistente. | Malware Protection for EC2 ha aggiunto due autorizzazioni: `GetSnapshotBlock` quella di `ListSnapshotBlocks` recuperare l'istantanea di un volume EBS (con crittografia Chiave gestita da AWS) dall'utente Account AWS e copiarla nell'account del GuardDuty servizio prima di avviare la scansione antimalware. | 25 gennaio 2024 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy): aggiornamento di una policy esistente | Sono state aggiunte nuove autorizzazioni per consentire di GuardDuty aggiungere l'impostazione dell'account `guarddutyActivate` Amazon ECS ed eseguire operazioni, elencare e descrivere sui cluster Amazon ECS. | 26 novembre 2023 |
| [AmazonGuardDutyReadOnlyAccess](#security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess): aggiornamento di una policy esistente | GuardDuty ha aggiunto una nuova politica organizations per. ListAccounts | 16 novembre 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): aggiornamento di una policy esistente | GuardDuty ha aggiunto una nuova politica organizations perListAccounts. | 16 novembre 2023 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento di una policy esistente | GuardDuty ha aggiunto nuove autorizzazioni per supportare la prossima funzionalità GuardDuty EKS Runtime Monitoring. | 8 marzo 2023 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy): aggiornamento di una policy esistente | GuardDuty ha aggiunto nuove autorizzazioni per consentire la creazione di un [ruolo collegato GuardDuty al servizio per Malware Protection for EC2](slr-permissions-malware-protection.md). Ciò contribuirà a GuardDuty semplificare il processo di attivazione di Malware Protection for EC2. GuardDuty ora può eseguire la seguente azione IAM: {
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
} | 21 febbraio 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): aggiornamento di una policy esistente | GuardDuty ARN aggiornato per `iam:GetRole` to. `*AWSServiceRoleForAmazonGuardDutyMalwareProtection` | 26 luglio 2022 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): aggiornamento di una policy esistente | GuardDuty ha aggiunto un nuovo `AWSServiceName` per consentire la creazione di ruoli collegati al servizio utilizzando il servizio GuardDuty Malware Protection `iam:CreateServiceLinkedRole` for EC2. GuardDuty ora può eseguire l'`iam:GetRole`azione per ottenere informazioni per. `AWSServiceRole` | 26 luglio 2022 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento di una policy esistente | GuardDuty ha aggiunto nuove autorizzazioni per consentire di GuardDuty utilizzare le azioni di rete di Amazon EC2 per migliorare i risultati. GuardDuty ora puoi eseguire le seguenti azioni EC2 per ottenere informazioni su come comunicano le tue istanze EC2. Queste informazioni vengono utilizzate per migliorare la precisione degli esiti. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/security-iam-awsmanpol.html) | 3 agosto 2021 |
| GuardDuty ha iniziato a tenere traccia delle modifiche | GuardDuty ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 3 agosto 2021 |
# Risoluzione dei problemi relativi all' GuardDuty identità e all'accesso ad Amazon
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con GuardDuty e IAM.
**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in GuardDuty](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam:PassRole.](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne Account AWS a me di accedere alle mie GuardDuty risorse.](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in GuardDuty
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `guardduty:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: guardduty:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `guardduty:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam:PassRole.
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a GuardDuty.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in GuardDuty. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne Account AWS a me di accedere alle mie GuardDuty risorse.
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se GuardDuty supporta queste funzionalità, consulta. [Come GuardDuty funziona Amazon con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.