EC2 惡意軟體防護的服務連結角色許可 - Amazon GuardDuty
為 EC2 的惡意軟體防護建立服務連結角色編輯 EC2 惡意軟體防護的服務連結角色刪除 EC2 惡意軟體防護的服務連結角色支援 AWS 區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

EC2 惡意軟體防護的服務連結角色許可

EC2 的惡意軟體防護使用名為 的服務連結角色 (SLR)AWSServiceRoleForAmazonGuardDutyMalwareProtection。此 SLR 允許 EC2 的惡意軟體防護執行無代理程式掃描,以偵測 GuardDuty 帳戶中的惡意軟體。這可讓 GuardDuty 在您的帳戶中建立 EBS 磁碟區快照,並與 GuardDuty 服務帳戶共用該快照。GuardDuty 評估快照後,它會在 EC2 的惡意軟體防護調查結果中包含擷取的 EC2 執行個體和容器工作負載中繼資料。AWSServiceRoleForAmazonGuardDutyMalwareProtection 服務連結角色信任 malware-protection.guardduty.amazonaws.com 服務來擔任該角色。

此角色的許可政策可協助 EC2 的惡意軟體防護執行下列任務:

  • 使用 Amazon Elastic Compute Cloud (Amazon EC2) 動作來擷取 Amazon EC2 執行個體、磁碟區和快照的相關資訊。EC2 的惡意軟體防護也提供存取 Amazon EKS 和 Amazon ECS 叢集中繼資料的許可。

  • GuardDutyExcluded 標籤未設定為 true 的 EBS 磁碟區建立快照。依預設,快照會以 GuardDutyScanId 標籤建立。請勿移除此標籤,否則 EC2 的惡意軟體防護將無法存取快照。

    重要

    當您將 GuardDutyExcluded 設定為 true 時,GuardDuty 服務將無法在未來存取這些快照。這是因為此服務連結角色中的其他陳述式會阻止 GuardDuty 對 GuardDutyExcluded 設定為 true 的快照執行任何操作。

  • 僅當 GuardDutyScanId 標籤存在且 GuardDutyExcluded 標籤未設定為 true 時,才允許共用和刪除快照。

    注意

    不允許 EC2 的惡意軟體防護將快照設為公有。

  • 存取客戶自管金鑰 (GuardDutyExcluded 標籤設定為 true 的金鑰除外),以呼叫 CreateGrant 來從與 GuardDuty 服務帳戶共用的加密快照建立和存取加密的 EBS 磁碟區。如需每個區域的 GuardDuty 服務帳戶清單,請參閱依據 AWS 區域的 GuardDuty 服務帳戶

  • 存取客戶的 CloudWatch 日誌,以建立 EC2 日誌群組的惡意軟體防護,並將惡意軟體掃描事件日誌放在/aws/guardduty/malware-scan-events日誌群組下。

  • 允許客戶決定是否要將快照保留在偵測到惡意軟體的帳戶中。如果掃描偵測到惡意軟體,則服務連結角色會允許 GuardDuty 將兩個標籤新增至快照 GuardDutyFindingDetectedGuardDutyExcluded

    注意

    GuardDutyFindingDetected 標記指定快照包含惡意軟體。

  • 判斷磁碟區是否使用 EBS 受管金鑰加密。GuardDuty 會執行 DescribeKey 動作來判斷您帳戶中 EBS 受管金鑰的 key Id

  • 從 擷取使用 加密的 EBS 磁碟區的快照 AWS 受管金鑰, AWS 帳戶 並將其複製到 GuardDuty 服務帳戶。為此,我們使用 許可GetSnapshotBlockListSnapshotBlocks。GuardDuty 接著會掃描服務帳戶中的快照。目前, AWS 受管金鑰 並非所有 都支援EC2掃描使用 加密的 EBS 磁碟區 AWS 區域。如需詳細資訊,請參閱區域特定功能的可用性

  • 允許 Amazon EC2 AWS KMS 代表惡意軟體防護 EC2 呼叫 ,以對客戶受管金鑰執行多個密碼編譯動作。共用使用客戶自管金鑰加密的快照時,需要執行 kms:ReEncryptTokms:ReEncryptFrom 等動作。僅可存取 GuardDutyExcluded 標籤未設定為 true 的金鑰。

該角色使用名為 AmazonGuardDutyMalwareProtectionServiceRolePolicy 的下列 AWS 受管政策進行設定。

若要檢閱此政策的許可,請參閱《 AWS 受管政策參考指南》中的 AmazonGuardDutyMalwareProtectionServiceRolePolicy

以下是連接至 AWSServiceRoleForAmazonGuardDutyMalwareProtection 服務連結角色的信任政策:

JSON
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

為 EC2 的惡意軟體防護建立服務連結角色

當您第一次啟用 EC2 的惡意軟體防護,或在您先前未啟用 EC2 的支援區域中啟用 EC2 的惡意軟體防護時,會自動建立AWSServiceRoleForAmazonGuardDutyMalwareProtection服務連結角色。您也可以使用 IAM 主控台、IAM CLI 或 IAM API 來手動建立 AWSServiceRoleForAmazonGuardDutyMalwareProtection 服務連結角色。

注意

根據預設,如果您是初次使用 Amazon GuardDuty,則會自動啟用 EC2 的惡意軟體防護。

重要

為委派 GuardDuty 管理員帳戶建立的服務連結角色不適用於成員 GuardDuty 帳戶。

您必須設定許可,IAM 主體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。為成功建立 AWSServiceRoleForAmazonGuardDutyMalwareProtection 服務連結角色,您搭配 GuardDuty 使用的 IAM 身分必須擁有所需許可。如需授與必要的許可,請附加以下政策至此 使用者、群組或角色:

JSON
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        }
    ]
}

如需有關手動建立角色的詳細資訊,請參閱《IAM 使用者指南》中的建立服務連結角色

編輯 EC2 惡意軟體防護的服務連結角色

EC2 的惡意軟體防護不允許您編輯AWSServiceRoleForAmazonGuardDutyMalwareProtection服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱「IAM 使用者指南」編輯服務連結角色

刪除 EC2 惡意軟體防護的服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。

重要

若要刪除 AWSServiceRoleForAmazonGuardDutyMalwareProtection,您必須先在啟用 EC2 的所有區域中停用惡意軟體防護。

如果您嘗試刪除服務連結角色時未停用 EC2 的惡意軟體防護,刪除將會失敗。請確定您先在帳戶中停用 EC2 的惡意軟體防護。

當您選擇停用以停止 EC2 的惡意軟體防護服務時,AWSServiceRoleForAmazonGuardDutyMalwareProtection不會自動刪除 。如果您接著選擇啟用以再次啟動 EC2 的惡意軟體防護服務,GuardDuty 會開始使用現有的 AWSServiceRoleForAmazonGuardDutyMalwareProtection

使用 IAM 手動刪除服務連結角色

使用 IAM AWS 主控台、CLI 或 IAM API 來刪除AWSServiceRoleForAmazonGuardDutyMalwareProtection服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」中的刪除服務連結角色

支援 AWS 區域

Amazon GuardDuty 支援在所有提供 EC2 AWS 區域 惡意軟體防護的 中使用AWSServiceRoleForAmazonGuardDutyMalwareProtection服務連結角色。

如需目前可使用 GuardDuty 的區域清單,請參閱 Amazon Web Services 一般參考 中的 Amazon GuardDuty endpoints and quotas

注意

EC2 的惡意軟體防護目前在 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 中無法使用。