

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Mit dem Dienst verknüpfte Rollenberechtigungen für GuardDuty
<a name="slr-permissions"></a>

GuardDuty verwendet die angegebene serviceverknüpfte Rolle (SLR). `AWSServiceRoleForAmazonGuardDuty` Die Spiegelreflexkamera ermöglicht GuardDuty die Ausführung der folgenden Aufgaben. Es ermöglicht auch GuardDuty , die abgerufenen Metadaten der EC2-Instance in die Erkenntnisse einzubeziehen, die sich GuardDuty möglicherweise über die potenzielle Bedrohung ergeben. Die serviceverknüpfte Rolle `AWSServiceRoleForAmazonGuardDuty` vertraut dem Service `guardduty.amazonaws.com`, sodass dieser die Rolle annehmen kann.

Die Berechtigungsrichtlinien helfen bei der GuardDuty Ausführung der folgenden Aufgaben:
+ Verwenden Sie Amazon EC2 EC2-Aktionen, um Informationen über Ihre EC2-Instances, Images und Netzwerkkomponenten wie Subnetze und Transit-Gateways VPCs zu verwalten und abzurufen. 
+ Verwenden Sie AWS Systems Manager Aktionen, um SSM-Verknüpfungen auf Amazon EC2-Instances zu verwalten, wenn Sie GuardDuty Runtime Monitoring mit automatisiertem Agenten für Amazon EC2 aktivieren. Wenn die GuardDuty automatische Agentenkonfiguration deaktiviert ist, werden nur die EC2-Instances GuardDuty berücksichtigt, die über ein Inclusion-Tag (:) verfügen. `GuardDutyManaged` `true`
+ Verwenden Sie AWS Organizations Aktionen, um die zugehörigen Konten und die Organisations-ID zu beschreiben.
+ Verwenden Sie Amazon-S3-Aktionen, um Informationen über S3-Buckets und Objekte abzurufen.
+ Verwenden Sie AWS Lambda Aktionen, um Informationen über Ihre Lambda-Funktionen und -Tags abzurufen.
+ Verwenden Sie Amazon-EKS-Aktionen, um Informationen über die EKS-Cluster zu verwalten und abzurufen und [Amazon-EKS-Add-Ons](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) auf EKS-Clustern zu verwalten. Die EKS-Aktionen rufen auch die Informationen über die zugehörigen Tags ab. GuardDuty
+ Verwenden Sie IAM, um das zu erstellen, [Servicebezogene Rollenberechtigungen für Malware Protection for EC2](slr-permissions-malware-protection.md) nachdem Malware Protection for EC2 aktiviert wurde.
+ Verwenden Sie Amazon ECS-Aktionen, um Informationen über die Amazon ECS-Cluster zu verwalten und abzurufen, und verwalten Sie die Amazon ECS-Kontoeinstellungen mit`guarddutyActivate`. Die Aktionen im Zusammenhang mit Amazon ECS rufen auch die Informationen über die zugehörigen Tags ab. GuardDuty

Die Rolle ist mit der folgenden [AWS -verwalteten Richtlinie](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) namens `AmazonGuardDutyServiceRolePolicy` konfiguriert.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*

Nachfolgend wird die der serviceverknüpften Rolle `AWSServiceRoleForAmazonGuardDuty` zugeordnete Vertrauensrichtlinie gezeigt:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Einzelheiten zu Aktualisierungen der `AmazonGuardDutyServiceRolePolicy` Richtlinie finden Sie unter[GuardDuty Aktualisierungen AWS verwalteter Richtlinien](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Abonnieren Sie den RSS-Feed auf der [Dokumentverlauf](doc-history.md) Seite, um automatische Benachrichtigungen über Änderungen an dieser Richtlinie zu erhalten.

## Erstellen einer serviceverknüpften Rolle für GuardDuty
<a name="create-slr"></a>

Die `AWSServiceRoleForAmazonGuardDuty` dienstverknüpfte Rolle wird automatisch erstellt, wenn Sie sie GuardDuty zum ersten Mal oder GuardDuty in einer unterstützten Region aktivieren, in der sie zuvor nicht aktiviert war. Sie können die serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der oder der AWS CLI IAM-API erstellen. 

**Wichtig**  
Die dienstverknüpfte Rolle, die für das GuardDuty delegierte Administratorkonto erstellt wurde, gilt nicht für die Mitgliedskonten. GuardDuty 

Sie müssen Berechtigungen konfigurieren, damit ein IAM-Prinzipal (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Damit die `AWSServiceRoleForAmazonGuardDuty` dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss der IAM-Prinzipal, den Sie GuardDuty mit verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, weisen Sie diesem -Benutzer bzw. dieser-Gruppe oder -Rolle die folgende Richtlinie zu: 

**Anmerkung**  
Ersetzen Sie das Beispiel *account ID* im folgenden Beispiel durch Ihre tatsächliche AWS-Konto ID.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}
```

------

Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.

## Bearbeitung einer serviceverknüpften Rolle für GuardDuty
<a name="edit-slr"></a>

GuardDuty erlaubt es Ihnen nicht, die `AWSServiceRoleForAmazonGuardDuty` dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer dienstbezogenen Rolle für GuardDuty
<a name="delete-slr"></a>

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. 

**Wichtig**  
Wenn Sie Malware Protection for EC2 aktiviert haben, wird `AWSServiceRoleForAmazonGuardDuty` das Löschen nicht automatisch gelöscht. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Informationen zum Löschen `AWSServiceRoleForAmazonGuardDutyMalwareProtection` finden Sie unter [Löschen einer serviceverknüpften Rolle für Malware Protection for EC2](slr-permissions-malware-protection#delete-slr).

Sie müssen sie zunächst GuardDuty in allen Regionen deaktivieren, in denen sie aktiviert ist, um die zu löschen. `AWSServiceRoleForAmazonGuardDuty` Wenn der GuardDuty Dienst nicht deaktiviert ist, wenn Sie versuchen, die mit dem Dienst verknüpfte Rolle zu löschen, schlägt das Löschen fehl. Weitere Informationen finden Sie unter [Aussetzen oder Deaktivieren GuardDuty](guardduty_suspend-disable.md). 

Wenn Sie ihn deaktivieren GuardDuty, wird `AWSServiceRoleForAmazonGuardDuty` er nicht automatisch gelöscht. Wenn Sie es GuardDuty erneut aktivieren, wird das Bestehende verwendet`AWSServiceRoleForAmazonGuardDuty`.

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die oder die IAM-API AWS CLI, um die `AWSServiceRoleForAmazonGuardDuty` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

## Unterstützt AWS-Regionen
<a name="guardduty-slr-regions"></a>

Amazon GuardDuty unterstützt die Verwendung der `AWSServiceRoleForAmazonGuardDuty` serviceverknüpften Rolle überall AWS-Regionen dort, wo sie verfügbar GuardDuty ist. Eine Liste der Regionen, in denen GuardDuty das Produkt derzeit verfügbar ist, finden Sie unter [ GuardDuty Amazon-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) in der *Allgemeine Amazon Web Services-Referenz*.