适用于 Amazon GuardDuty 的 AWS 托管策略 - Amazon GuardDuty
AmazonGuardDutyFullAccess_v2(推荐)AmazonGuardDutyFullAccessAmazonGuardDutyReadOnlyAccessAmazonGuardDutyServiceRolePolicy策略更新

适用于 Amazon GuardDuty 的 AWS 托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管式策略更简单。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息,请参阅《IAM 用户指南》中的AWS 托管策略

AWS 服务负责维护和更新 AWS 托管式策略。您无法更改 AWS 托管式策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,AWS 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管式策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 AWS 托管式策略

Version 策略元素指定用于处理策略的语言语法规则。以下策略包括 IAM 支持的当前版本。有关更多信息,请参阅 IAM JSON 策略元素:Version

AWS 托管式策略:AmazonGuardDutyFullAccess_v2(推荐)

您可以将 AmazonGuardDutyFullAccess_v2 策略附加到 IAM 身份。此策略允许用户完全访问权限以执行所有 GuardDuty 操作,并访问所需资源。在 AmazonGuardDutyFullAccess_v2 和 AmazonGuardDutyFullAccess 之间,GuardDuty 建议附加 AmazonGuardDutyFullAccess_v2,因为它提供了增强的安全性,并且仅限于 GuardDuty 服务主体执行管理操作。

权限详细信息

AmazonGuardDutyFullAccess_v2 策略包含以下权限:

  • GuardDuty:允许用户完全访问所有 GuardDuty 操作。

  • IAM:

    • 允许用户创建 GuardDuty 服务关联角色。

    • 允许查看和管理 GuardDuty 的 IAM 角色及其策略。

    • 允许用户将角色传递给 GuardDuty,以便后者用来启用 GuardDuty S3 恶意软件防护功能,而您通过哪种方式启用 S3 恶意软件防护(在 GuardDuty 服务中启用还是单独启用)。

    • AWSServiceRoleForAmazonGuardDutyMalwareProtection 上执行 iam:GetRole 操作的权限决定了账户中是否存在 EC2 恶意软件防护的服务相关角色(SLR)。

  • Organizations:

    • 允许用户阅读(查看)GuardDuty 组织结构和账户。

    • 允许用户为 GuardDuty 组织指定委托管理员并管理 GuardDuty 组织的成员。

要查看此策略的权限,请参阅《AWS 托管式策略参考指南》中的 AmazonGuardDutyFullAccess_v2

AWS 托管式策略:AmazonGuardDutyFullAccess

您可以将 AmazonGuardDutyFullAccess 策略附加到 IAM 身份。

重要

为了增强安全性并限制对 GuardDuty 服务主体的权限,建议您使用 AWS 托管式策略:AmazonGuardDutyFullAccess_v2(推荐)

此策略授予管理权限,允许用户完全访问权限以执行所有 GuardDuty 操作和资源。

权限详细信息

该策略包含以下权限。

  • GuardDuty:允许用户完全访问所有 GuardDuty 操作。

  • IAM:

    • 允许用户创建 GuardDuty 服务相关角色。

    • 允许 GuardDuty 管理员账户为成员账户启用 GuardDuty。

    • 允许用户将角色传递给 GuardDuty,以便后者用来启用 GuardDuty S3 恶意软件防护功能,而您通过哪种方式启用 S3 恶意软件防护(在 GuardDuty 服务中启用还是单独启用)。

  • Organizations:允许用户为 GuardDuty 组织指定委托管理员并管理 GuardDuty 组织的成员。

AWSServiceRoleForAmazonGuardDutyMalwareProtection 上执行 iam:GetRole 操作的权限决定了账户中是否存在 EC2 恶意软件防护的服务相关角色(SLR)。

要查看此策略的权限,请参阅《AWS 托管式策略参考指南》中的 AmazonGuardDutyFullAccess

AWS 托管式策略:AmazonGuardDutyReadOnlyAccess

您可以将 AmazonGuardDutyReadOnlyAccess 策略附加到 IAM 身份。

此策略授予只读权限,允许用户查看 GuardDuty 调查发现和您的 GuardDuty 组织的详细信息。

权限详细信息

该策略包含以下权限。

  • GuardDuty:允许用户查看 GuardDuty 调查发现并执行以 GetListDescribe 开头的 API 操作。

  • Organizations:允许用户检索有关您的 GuardDuty 组织配置的信息,包括委托管理员账户的详细信息。

要查看此策略的权限,请参阅《AWS 托管式策略参考指南》中的 AmazonGuardDutyReadOnlyAccess

AWS 托管式策略:AmazonGuardDutyServiceRolePolicy

您不能将 AmazonGuardDutyServiceRolePolicy 附加到自己的 IAM 实体。此附加到服务相关角色的 AWS 托管策略允许 GuardDuty 代表您执行操作。有关更多信息,请参阅 GuardDuty 的服务相关角色权限

GuardDuty 的 AWS 托管策略更新

查看有关 GuardDuty 的 AWS 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提醒,请订阅 GuardDuty 文档历史记录页面上的 RSS 源。

更改 描述 日期

AmazonGuardDutyFullAccess_v2:添加了一个新策略

添加了新的 AmazonGuardDutyFullAccess_v2 策略。之所以推荐这样做,是因为该策略的权限会根据 IAM 角色和策略以及 AWS Organizations 集成,将管理操作限制在 GuardDuty 服务主体范围,从而增强安全性。

 2025 年 6 月 4 日

AmazonGuardDutyServiceRolePolicy:对现有策略的更新

增加了 ec2:DescribeVpcs 权限。这将允许 GuardDuty 跟踪 VPC 更新,例如检索 VPC CIDR。

 2024 年 8 月 22 日

AmazonGuardDutyServiceRolePolicy:对现有策略的更新

增加了允许您在启用 S3 恶意软件防护时将 IAM 角色传递给 GuardDuty 的权限。

{
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "guardduty.amazonaws.com"
                }
            }
}
 2024 年 6 月 10 日

AmazonGuardDutyServiceRolePolicy:对现有策略的更新。

当您启用 GuardDuty 运行时监控和适用于 Amazon EC2 的自动代理时,可使用 AWS Systems Manager 操作来管理 Amazon EC2 实例上的 SSM 关联。禁用 GuardDuty 自动代理配置后,GuardDuty 仅会考虑带有包含标签 (GuardDutyManaged:true) 的 EC2 实例。

 2024 年 3 月 26 日

AmazonGuardDutyServiceRolePolicy:对现有策略的更新。

GuardDuty 新增了 organization:DescribeOrganization 权限,用来检索共享 Amazon VPC 账户的组织 ID 并使用组织 ID 设置 Amazon VPC 端点策略。

 2024 年 2 月 9 日

AmazonGuardDutyMalwareProtectionServiceRolePolicy :更新现有的策略。

EC2 恶意软件防护新增了两个权限 GetSnapshotBlockListSnapshotBlocks,用来获取您 AWS 账户中的 EBS 卷(使用 AWS 托管式密钥加密)的快照,并在启动恶意软件扫描之前将其复制到 GuardDuty 服务账户。

 2024 年 1 月 25 日

AmazonGuardDutyServiceRolePolicy:对现有策略的更新

新增了权限,以允许 GuardDuty 添加 guarddutyActivate Amazon ECS 账户设置,以及在 Amazon ECS 集群上执行列出和描述操作。

 2023 年 11 月 26 日

AmazonGuardDutyReadOnlyAccess – 对现有策略的更新

 GuardDuty 增加了一个新的策略,以让 organizations ListAccounts

2023 年 11 月 16 日

AmazonGuardDutyFullAccess – 对现有策略的更新

 GuardDuty 增加了一个新的策略,以让 organizations ListAccounts

2023 年 11 月 16 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新

GuardDuty 添加了新的权限来支持即将推出的 GuardDuty EKS 运行时监控功能。

 2023 年 3 月 8 日

AmazonGuardDutyServiceRolePolicy:对现有策略的更新

GuardDuty 增加了新的权限,以允许 GuardDuty 为 EC2 恶意软件防护创建服务相关角色。这将有助于 GuardDuty 简化启用 EC2 恶意软件防护的过程。

GuardDuty 现在可以执行以下 IAM 操作:

{
    "Effect": "Allow",
	"Action": "iam:CreateServiceLinkedRole",
	"Resource": "*",
	"Condition": {
	   "StringEquals": {
	       "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
	   }
	}
}
 2023 年 2 月 21 日

AmazonGuardDutyFullAccess – 对现有策略的更新

GuardDuty 将 iam:GetRole 的 ARN 更新为 *AWSServiceRoleForAmazonGuardDutyMalwareProtection

 2022 年 7 月 26 日

AmazonGuardDutyFullAccess – 对现有策略的更新

GuardDuty 增加了新的 AWSServiceName,从而可以使用 iam:CreateServiceLinkedRole 为 GuardDuty EC2 恶意软件防护服务创建服务相关角色。

GuardDuty 现在可以执行 iam:GetRole 操作来获取 AWSServiceRole 的信息。

 2022 年 7 月 26 日

AmazonGuardDutyServiceRolePolicy – 对现有策略的更新

GuardDuty 增加了新的权限,允许 GuardDuty 使用 Amazon EC2 联网操作来改进调查发现。

GuardDuty 现在可以执行以下 EC2 操作,获取有关您的 EC2 实例如何通信的信息。此信息用于提高调查发现准确性。

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

 2021 年 8 月 3 日

GuardDuty 开启了跟踪更改

GuardDuty 为其 AWS 托管策略开启了跟踪更改。

 2021 年 8 月 3 日