Permissões de função vinculada ao serviço do GuardDuty - Amazon GuardDuty
Criar uma função vinculada ao serviço do GuardDutyEditar uma função vinculada ao serviço para o GuardDutyExcluir uma função vinculada ao serviço para oCompatível com Regiões da AWS

Permissões de função vinculada ao serviço do GuardDuty

O GuardDuty usa a função vinculada ao serviço (SLR) chamada AWSServiceRoleForAmazonGuardDuty. A SLR permite que o GuardDuty execute as seguintes tarefas. Também permite que o GuardDuty inclua os metadados recuperados pertencentes à instância do EC2 nas descobertas que o GuardDuty pode gerar sobre a possível ameaça. O perfil vinculado ao serviço AWSServiceRoleForAmazonGuardDuty confia no serviço guardduty.amazonaws.com para presumir o perfil.

As políticas de permissão ajudam o GuardDuty a executar as seguintes tarefas:

  • Use as ações do Amazon EC2 para gerenciar e recuperar informações sobre suas instâncias, imagens e componentes de rede do EC2, como VPCs, sub-redes, gateways.

  • Use ações do AWS Systems Manager para gerenciar associações de SSM em instâncias do Amazon EC2 ao ativar o Monitoramento de runtime do GuardDuty com um atendente automatizado para o Amazon EC2. Quando a configuração automática do atendente GuardDuty é desativada, o GuardDuty considera somente as instâncias do EC2 que têm uma tag de inclusão (GuardDutyManaged:true).

  • Use ações do AWS Organizations para descrever contas associadas e o ID da organização.

  • Use as ações do Amazon S3 para recuperar informações sobre buckets e objetos do S3.

  • Use ações do AWS Lambda para recuperar informações sobre suas funções e tags do Lambda.

  • Use as ações do Amazon EKS para gerenciar e recuperar informações sobre os clusters do EKS e gerenciar os complementos do Amazon EKS nos clusters do EKS. As ações do EKS também recuperam as informações sobre as tags associadas ao GuardDuty.

  • Use o IAM para criar o Permissões de função vinculada ao serviço para Proteção contra malware para EC2 após a habilitação da Proteção contra malware para EC2.

  • Use as ações do Amazon ECS para gerenciar e recuperar informações sobre os clusters do Amazon ECS e gerenciar a configuração da conta do Amazon ECS com guarddutyActivate. As ações do Amazon ECS também recuperam as informações sobre as tags associadas ao GuardDuty.

A função é configurada com a seguinte política gerenciada da AWS, denominada AmazonGuardDutyServiceRolePolicy.

Para visualizar as permissões para esta política, consulte AmazonGuardDutyServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Veja a seguir a política de confiança anexada à função vinculada a serviço AWSServiceRoleForAmazonGuardDuty:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para obter detalhes sobre atualizações da política do AmazonGuardDutyServiceRolePolicy, consulte Atualizações do GuardDuty para políticas gerenciadas pela AWS. Para obter alertas automáticos sobre alterações feitas nesta política, inscreva-se no feed RSS na página Histórico do documento.

Criar uma função vinculada ao serviço do GuardDuty

A função vinculada ao serviço AWSServiceRoleForAmazonGuardDuty é criada automaticamente quando você habilita o GuardDuty pela primeira vez ou habilita o GuardDuty em uma região com suporte em que ele não tenha sido habilitado anteriormente. Também é possível criar a função vinculada ao serviço manualmente usando o console do IAM, a AWS CLI ou a API do IAM.

Importante

A função vinculada ao serviço criada para a conta de administrador do GuardDuty não se aplica às contas-membro do GuardDuty.

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função vinculada ao serviço AWSServiceRoleForAmazonGuardDuty seja criada com êxito, a entidade principal do IAM com a qual você usa o GuardDuty deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do :

nota

Substitua o ID da conta de amostra no exemplo a seguir pelo ID de sua Conta da AWS real.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}

Para obter mais informações sobre como criar a função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.

Editar uma função vinculada ao serviço para o GuardDuty

O GuardDuty não permite que você edite a função vinculada ao serviço AWSServiceRoleForAmazonGuardDuty. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.

Importante

Se você habilitou a Proteção contra malware para EC2, a exclusão AWSServiceRoleForAmazonGuardDuty não exclui AWSServiceRoleForAmazonGuardDutyMalwareProtection automaticamente. Se você deseja excluir AWSServiceRoleForAmazonGuardDutyMalwareProtection, consulte Excluir uma função vinculada ao serviço para a Proteção contra malware para EC2.

Você deverá primeiramente desabilitar o GuardDuty em todas as regiões em que estiver habilitado para excluir o AWSServiceRoleForAmazonGuardDuty. Se o serviço do GuardDuty não estiver desabilitado quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão. Para obter mais informações, consulte Suspender ou desabilitar o GuardDuty.

Quando você desabilita o GuardDuty, o AWSServiceRoleForAmazonGuardDuty não é excluído automaticamente. Se você habilitar o GuardDuty novamente, ele começará a usar o AWSServiceRoleForAmazonGuardDuty existente.

Para excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForAmazonGuardDuty. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Compatível com Regiões da AWS

O Amazon GuardDuty é compatível com o uso da função vinculada ao serviço AWSServiceRoleForAmazonGuardDuty em todas as Regiões da AWS em que o GuardDuty está disponível. Para obter uma lista de todas as regiões onde o GuardDuty está disponível no momento, consulte Endpoints e cotas do Amazon GuardDuty na Referência geral da Amazon Web Services.