Políticas gerenciadas da AWS para o Amazon GuardDuty - Amazon GuardDuty
AmazonGuardDutyFullAccess_v2 (recomendado)AmazonGuardDutyFullAccessAmazonGuardDutyReadOnlyAccessAmazonGuardDutyServiceRolePolicyAtualizações da política

Políticas gerenciadas da AWS para o Amazon GuardDuty

Para adicionar permissões a usuários, grupos e perfis, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.

Além disso, a AWS é compatível com políticas gerenciadas por perfis de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess política gerenciada pela AWS fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

O elemento de política Version especifica as regras de sintaxe de linguagem que devem ser usadas para processar uma política. As políticas a seguir incluem a versão atual compatível com o IAM. Para obter mais informações, consulte Elementos da política JSON do IAM: Versão.

Política gerenciada da AWS: AmazonGuardDutyFullAccess_v2 (recomendado)

É possível anexar a política AmazonGuardDutyFullAccess_v2 às suas identidades do IAM. Essa política permitirá ao usuário acesso total aos recursos necessários e para executar ações do GuardDuty. Entre AmazonGuardDutyFullAccess_v2 e AmazonGuardDutyFullAccess, o GuardDuty recomenda anexar AmazonGuardDutyFullAccess_v2 porque ele oferece segurança aprimorada e restringe as ações administrativas às entidades principais de serviços do GuardDuty.

Detalhes da permissão

A política AmazonGuardDutyFullAccess_v2 inclui as seguintes permissões:

  • GuardDuty: permite que os usuários tenham acesso total às ações do GuardDuty.

  • IAM:

    • Permite que os usuários criem a função vinculada ao serviço do GuardDuty.

    • Permite visualizar e gerenciar perfis do IAM e suas políticas para o GuardDuty.

    • Permite que os usuários passem um perfil para o GuardDuty que usa esse perfil para ativar o recurso Proteção contra Malware para S3 do GuardDuty. Isso ocorre independentemente de como você ativa a Proteção contra Malware para S3 — dentro do serviço GuardDuty ou de forma independente.

    • A permissão para realizar uma ação iam:GetRole no AWSServiceRoleForAmazonGuardDutyMalwareProtection estabelece se o perfil vinculado ao serviço (SLR) da Proteção contra malware existe em uma conta.

  • Organizations:

    • Permita que os usuários leiam (visualizem) a estrutura organizacional e as contas do GuardDuty.

    • Permite que os usuários designem um administrador delegado e gerenciem os membros de uma organização do GuardDuty.

Para visualizar as permissões para essa política, consulte AmazonGuardDutyFullAccess_v2 no Guia de referência de políticas gerenciadas da AWS.

AWS Política gerenciada pela: AmazonGuardDutyFullAccess

É possível anexar a política AmazonGuardDutyFullAccess às suas identidades do IAM.

Importante

Para maior segurança e permissões restritivas às entidades principais de serviço do GuardDuty, recomendamos que você use Política gerenciada da AWS: AmazonGuardDutyFullAccess_v2 (recomendado).

Essa política concede permissões administrativas que oferecem ao usuário acesso total para realizar todas as ações e recursos do GuardDuty.

Detalhes da permissão

Esta política inclui as seguintes permissões.

  • GuardDuty: permite que os usuários tenham acesso total às ações do GuardDuty.

  • IAM:

    • Permite que os usuários criem o perfil vinculado ao serviço do GuardDuty.

    • Permite que um administrador de conta habilite o GuardDuty para contas de membro.

    • Permite que os usuários passem um perfil para o GuardDuty que usa esse perfil para ativar o recurso Proteção contra Malware para S3 do GuardDuty. Isso ocorre independentemente de como você ativa a Proteção contra Malware para S3 — dentro do serviço GuardDuty ou de forma independente.

  • Organizations - Permite que os usuários designem um administrador delegado e gerenciem os membros de uma organização do GuardDuty.

A permissão para realizar uma ação iam:GetRole no AWSServiceRoleForAmazonGuardDutyMalwareProtection estabelece se o perfil vinculado ao serviço (SLR) da Proteção contra malware existe em uma conta.

Para visualizar as permissões para essa política, consulte AmazonGuardDutyFullAccess no Guia de referência de políticas gerenciadas da AWS.

AWS Política gerenciada pela: AmazonGuardDutyReadOnlyAccess

É possível anexar a política AmazonGuardDutyReadOnlyAccess às suas identidades do IAM.

Essa política concede permissões somente de leitura que permitem ao usuário visualizar as descobertas do GuardDuty e os detalhes da sua organização do GuardDuty.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • GuardDuty: permite que os usuários visualizem as descobertas do GuardDuty e realizem operações de API que comecem com Get, List ou Describe.

  • Organizations: permite que os usuários recuperem informações sobre a configuração da sua organização do GuardDuty, incluindo detalhes da conta do administrador delegado.

Para visualizar as permissões para essa política, consulte AmazonGuardDutyReadOnlyAccess no Guia de referência de políticas gerenciadas da AWS.

AWS Política gerenciada da: AmazonGuardDutyServiceRolePolicy

Não é possível anexar a AmazonGuardDutyServiceRolePolicy às entidades do IAM. Essa política gerenciada pela AWS é anexada a uma função vinculada ao serviço que permite que o GuardDuty realize ações em seu nome. Para obter mais informações, consulte Permissões de função vinculada ao serviço do GuardDuty.

Atualizações do GuardDuty para políticas gerenciadas pela AWS

Visualize detalhes sobre atualizações em políticas do GuardDuty gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS na página Histórico do documento do GuardDuty.

Alteração Descrição Data

AmazonGuardDutyFullAccess_v2 – Adicionou uma nova política

Nova política AmazonGuardDutyFullAccess_v2 adicionada. Isso é recomendado porque suas permissões aumentam a segurança ao restringir as ações administrativas às entidades principais de serviço do GuardDuty com base nas políticas e nos perfis do IAM e na integração com AWS Organizations.

 04 de junho de 2025

AmazonGuardDutyServiceRolePolicy: atualização para uma política existente

Adicionou a permissão ec2:DescribeVpcs. Isso permite que o GuardDuty acompanhe as atualizações da VPC, como a recuperação do CIDR da VPC.

 22 de agosto de 2024

AmazonGuardDutyServiceRolePolicy: atualização para uma política existente

Foi adicionada uma permissão que permite que você passe um perfil do IAM para o GuardDuty ao ativar a Proteção contra Malware para S3.

{
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "guardduty.amazonaws.com"
                }
            }
}
 10 de junho de 2024

AmazonGuardDutyServiceRolePolicy: atualização para uma política existente

Use ações do AWS Systems Manager para gerenciar associações de SSM em instâncias do Amazon EC2 ao ativar Runtime Monitoring do GuardDuty com um atendente automatizado para o Amazon EC2. Quando a configuração automática do atendente GuardDuty é desativada, o GuardDuty considera somente as instâncias do EC2 que têm uma tag de inclusão (GuardDutyManaged:true).

 26 de março de 2024

AmazonGuardDutyServiceRolePolicy: atualização para uma política existente

O GuardDuty adicionou uma nova permissãoorganization:DescribeOrganization: recuperar o ID da organização da conta compartilhada da VPC do Amazon e definir a política de endpoint da VPC do Amazon com o ID da organização

 9 de fevereiro de 2024

AmazonGuardDutyMalwareProtectionServiceRolePolicy — Atualização para uma política existente.

Proteção contra Malware para EC2 adicionou duas permissões GetSnapshotBlock e ListSnapshotBlocks para obter o instantâneo de um volume do EBS (usando criptografia Chave gerenciada pela AWS) de sua Conta da AWS e copiá-lo para a conta de serviço do GuardDuty antes de iniciar a verificação de malware.

 25 de janeiro de 2024

AmazonGuardDutyServiceRolePolicy: atualização para uma política existente

Adicionadas novas permissões para permitir que o GuardDuty adicione configurações de conta do guarddutyActivate Amazon ECS e realize operações de lista e descreva operações nos clusters do Amazon ECS.

 26 de novembro de 2023

AmazonGuardDutyReadOnlyAccess – atualização para uma política existente

 O GuardDuty adicionou uma nova política para organizations para ListAccounts

16 de novembro de 2023

AmazonGuardDutyFullAccess – atualização para uma política existente

 O GuardDuty adicionou uma nova política para organizations para ListAccounts

16 de novembro de 2023

AmazonGuardDutyServiceRolePolicy – atualização para uma política existente

O GuardDuty adicionou novas permissões para dar suporte ao próximo recurso de monitoramento de runtime do GuardDuty EKS.

 8 de março de 2023

AmazonGuardDutyServiceRolePolicy: atualização para uma política existente

O GuardDuty adicionou novas permissões para permitir que o GuardDuty crie um perfil vinculado ao serviço para Proteção contra malware para EC2. Isso ajudará o GuardDuty a agilizar o processo de habilitação da Proteção contra malware.

O GuardDuty agora pode realizar a seguinte ação do IAM:

{
    "Effect": "Allow",
	"Action": "iam:CreateServiceLinkedRole",
	"Resource": "*",
	"Condition": {
	   "StringEquals": {
	       "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
	   }
	}
}
 21 de fevereiro de 2023

AmazonGuardDutyFullAccess – atualização para uma política existente

O GuardDuty atualizou o ARN para iam:GetRole para *AWSServiceRoleForAmazonGuardDutyMalwareProtection.

 26 de julho de 2022

AmazonGuardDutyFullAccess – atualização para uma política existente

O GuardDuty adicionou um novo AWSServiceName para permitir a criação de um perfil vinculado ao usando iam:CreateServiceLinkedRole para o serviço de Proteção contra malware para EC2 do GuardDuty.

O GuardDuty agora pode realizar a ação iam:GetRole para obter informações sobre AWSServiceRole.

 26 de julho de 2022

AmazonGuardDutyServiceRolePolicy – atualização para uma política existente

O GuardDuty adicionou novas permissões para que o GuardDuty use as ações de rede do Amazon EC2 para melhorar as descobertas.

Agora, o GuardDuty pode realizar as ações do EC2 a seguir para obter informações sobre como suas instâncias do EC2 estão se comunicando. Essas informações são usadas para melhorar a precisão da descoberta.

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

 3 de agosto de 2021

O GuardDuty começou a monitorar alterações

O GuardDuty começou a monitorar as alterações nas políticas gerenciadas pela AWS.

 3 de agosto de 2021