AWS Amazon 的托管政策 GuardDuty - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Amazon 的托管政策 GuardDuty

要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的AWS 托管式策略

Version 策略元素指定用于处理策略的语言语法规则。以下策略包括 IAM 支持的当前版本。有关更多信息,请参阅 IAM JSON 策略元素:Version

AWS 托管策略:AmazonGuardDutyFullAccess_v2(推荐)

您可以将 AmazonGuardDutyFullAccess_v2 策略附加到 IAM 身份。介于AmazonGuardDutyFullAccess_v2和之间AmazonGuardDutyFullAccess, GuardDuty 建议进行连接,AmazonGuardDutyFullAccess_v2因为它可以增强安全性,并且仅限 GuardDuty 服务主体执行管理操作。该策略仍允许用户具有执行所有 GuardDuty 操作和访问所需资源的完全访问权限。

权限详细信息

该AmazonGuardDutyFullAccess_v2策略包括以下权限:

  • GuardDuty— 允许用户完全访问所有 GuardDuty操作。

  • IAM:

    • 允许用户创建与 GuardDuty 服务相关的角色。

    • 允许查看和管理 IAM 角色及其策略 GuardDuty。

    • 允许用户将角色传递给使用 GuardDuty 此角色以启用 S3 GuardDuty 恶意软件防护功能。无论您如何为 S3 启用恶意软件防护(在 GuardDuty 服务内还是单独启用),这都是如此。

    • 对执行iam:GetRole操作的权限决定AWSServiceRoleForAmazonGuardDutyMalwareProtection了账户中是否 EC2 存在用于恶意软件防护的服务关联角色 (SLR)。

  • Organizations:

    • 允许用户读取(查看) GuardDuty 组织结构和帐户。

    • 允许用户为 GuardDuty 组织指定委派管理员和管理成员。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "GuardDutyFullAccess", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateGuardDutyServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyOrganizationsAdminAccess", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyIamRoleAccess", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "PassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }

AWS 托管策略:AmazonGuardDutyFullAccess

您可以将 AmazonGuardDutyFullAccess 策略附加到 IAM 身份。

重要

为了增强安全性并限制 GuardDuty 服务主体的权限,我们建议您使用AWS 托管策略:AmazonGuardDutyFullAccess_v2(推荐)

此策略授予管理权限,允许用户具有执行所有 GuardDuty 操作和资源的完全访问权限。

权限详细信息

该策略包含以下权限。

  • GuardDuty— 允许用户完全访问所有 GuardDuty操作。

  • IAM:

    • 允许用户创建 GuardDuty 服务相关角色。

    • 允许管理员帐户 GuardDuty 为成员帐户启用。

    • 允许用户将角色传递给使用 GuardDuty 此角色以启用 S3 GuardDuty 恶意软件防护功能。无论您如何为 S3 启用恶意软件防护(在 GuardDuty 服务内还是单独启用),这都是如此。

  • Organizations— 允许用户为 GuardDuty 组织指定委派管理员和管理成员。

对执行iam:GetRole操作的权限决定AWSServiceRoleForAmazonGuardDutyMalwareProtection了账户中是否 EC2 存在用于恶意软件防护的服务关联角色 (SLR)。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }

AWS 托管策略:AmazonGuardDutyReadOnlyAccess

您可以将 AmazonGuardDutyReadOnlyAccess 策略附加到 IAM 身份。

此策略授予只读权限,允许用户查看您 GuardDuty 组织的 GuardDuty 调查结果和详细信息。

权限详细信息

该策略包含以下权限。

  • GuardDuty— 允许用户查看 GuardDuty 调查结果并执行以GetList、或开头的 API 操作Describe

  • Organizations— 允许用户检索有关您的 GuardDuty 组织配置的信息,包括委派管理员帐户的详细信息。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }

AWS 托管策略:AmazonGuardDutyServiceRolePolicy

您不能将 AmazonGuardDutyServiceRolePolicy 附加到自己的 IAM 实体。此 AWS 托管策略附加 GuardDuty 到允许代表您执行操作的服务相关角色。有关更多信息,请参阅 的服务相关角色权限 GuardDuty

GuardDuty AWS 托管策略的更新

查看 GuardDuty 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ GuardDuty 文档历史记录” 页面上的 RSS feed。

更改 描述 日期

AmazonGuardDutyFullAccess_v2:添加了一个新策略

添加了新AmazonGuardDutyFullAccess_v2政策。之所以推荐这样做,是因为它的权限可以根据 IAM 角色和策略以及 AWS Organizations 集成,将管理操作限制在 GuardDuty 服务委托人身上,从而增强安全性。

2025年6月4日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新

增加了 ec2:DescribeVpcs 权限。这 GuardDuty 允许跟踪 VPC 更新,例如检索 VPC CIDR。

2024 年 8 月 22 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新

添加了允许您在启用 S3 恶意软件防护 GuardDuty时将 IAM 角色传递给的权限。

{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }
2024 年 6 月 10 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新。

当您启用带有亚马逊自动代理的 GuardDuty 运行时监控时,使用 AWS Systems Manager 操作来管理亚马逊 EC2实例上的 SSM 关联。 EC2禁用 GuardDuty 自动代理配置后,仅 GuardDuty考虑那些 EC2 带有包含标签 (GuardDutyManaged:true) 的实例。

2024 年 3 月 26 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新。

GuardDuty 添加了一项新权限,即检索共享 Amazon VPC 账户的组织 ID 并使用组织 ID 设置亚马逊 VPC 终端节点策略。organization:DescribeOrganization

2024 年 2 月 9 日

AmazonGuardDutyMalwareProtectionServiceRolePolicy – 对现有策略的更新。

的恶意软件防护 EC2 增加了两个权限,即在开始恶意软件扫描之前,从您那里获取 EBS 卷(使用加密 AWS 托管式密钥)的快照 AWS 账户 并将其复制到 GuardDuty 服务帐户。GetSnapshotBlock ListSnapshotBlocks

2024 年 1 月 25 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新

添加了新的权限, GuardDuty 允许添加 guarddutyActivate Amazon ECS 账户设置,以及在 Amazon ECS 集群上执行列出和描述操作。

2023 年 11 月 26 日

AmazonGuardDutyReadOnlyAccess – 对现有策略的更新

GuardDuty 为添加了新政策ListAccountsorganizations

2023 年 11 月 16 日

AmazonGuardDutyFullAccess – 对现有策略的更新

GuardDuty 为添加了新政策ListAccountsorganizations

2023 年 11 月 16 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新

GuardDuty 添加了新权限以支持即将推出的 GuardDuty EKS 运行时监控功能。

2023 年 3 月 8 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新

GuardDuty 添加了新的权限,允许 GuardDuty 为恶意软件防护创建服务相关角色。 EC2这将有助于 GuardDuty简化启用恶意软件防护的流程 EC2。

GuardDuty 现在可以执行以下 IAM 操作:

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }
2023 年 2 月 21 日

AmazonGuardDutyFullAccess – 对现有策略的更新

GuardDuty 已将的 ARN 更新为。iam:GetRole *AWSServiceRoleForAmazonGuardDutyMalwareProtection

2022 年 7 月 26 日

AmazonGuardDutyFullAccess – 对现有策略的更新

GuardDuty 添加了一个新功能,AWSServiceName允许使用iam:CreateServiceLinkedRole服务 GuardDuty 恶意软件防护创建 EC2服务相关角色。

GuardDuty 现在可以执行iam:GetRole操作来获取相关信息AWSServiceRole

2022 年 7 月 26 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新

GuardDuty 添加了新的权限, GuardDuty 允许使用 Amazon EC2 联网操作来改善调查结果。

GuardDuty 现在可以执行以下 EC2 操作来获取有关您的 EC2 实例如何通信的信息。此信息用于提高调查发现准确性。

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

2021 年 8 月 3 日

GuardDuty 已开始跟踪更改

GuardDuty 开始跟踪其 AWS 托管策略的更改。

2021 年 8 月 3 日