Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von serviceverknüpften Rollen für Amazon GuardDuty
Amazon GuardDuty verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle (SLR) ist eine einzigartige Art von IAM-Rolle, mit der direkt verknüpft ist. GuardDuty Mit Diensten verknüpfte Rollen sind vordefiniert GuardDuty und enthalten alle Berechtigungen, die GuardDuty erforderlich sind, um andere AWS Dienste in Ihrem Namen aufzurufen.
Mit einer dienstverknüpften Rolle können Sie sie einrichten, GuardDuty ohne die erforderlichen Berechtigungen manuell hinzufügen zu müssen. GuardDuty definiert die Berechtigungen der dienstbezogenen Rolle. Sofern die Berechtigungen nicht anders definiert sind, GuardDuty kann Only die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
GuardDuty unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen diese Funktion verfügbar GuardDuty ist. Weitere Informationen finden Sie unter [Regionen und Endpunkte](guardduty_regions.md).
Sie können die GuardDuty dienstverknüpfte Rolle erst löschen, nachdem Sie sie zuerst GuardDuty in allen Regionen deaktiviert haben, in denen sie aktiviert ist. Dadurch werden Ihre GuardDuty Ressourcen geschützt, da Sie die Zugriffsberechtigung nicht versehentlich entziehen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*. Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
# Mit dem Dienst verknüpfte Rollenberechtigungen für GuardDuty
GuardDuty verwendet die angegebene serviceverknüpfte Rolle (SLR). `AWSServiceRoleForAmazonGuardDuty` Die Spiegelreflexkamera ermöglicht GuardDuty die Ausführung der folgenden Aufgaben. Es ermöglicht auch GuardDuty , die abgerufenen Metadaten der EC2-Instance in die Erkenntnisse einzubeziehen, die sich GuardDuty möglicherweise über die potenzielle Bedrohung ergeben. Die serviceverknüpfte Rolle `AWSServiceRoleForAmazonGuardDuty` vertraut dem Service `guardduty.amazonaws.com`, sodass dieser die Rolle annehmen kann.
Die Berechtigungsrichtlinien helfen bei der GuardDuty Ausführung der folgenden Aufgaben:
+ Verwenden Sie Amazon EC2 EC2-Aktionen, um Informationen über Ihre EC2-Instances, Images und Netzwerkkomponenten wie Subnetze und Transit-Gateways VPCs zu verwalten und abzurufen.
+ Verwenden Sie AWS Systems Manager Aktionen, um SSM-Verknüpfungen auf Amazon EC2-Instances zu verwalten, wenn Sie GuardDuty Runtime Monitoring mit automatisiertem Agenten für Amazon EC2 aktivieren. Wenn die GuardDuty automatische Agentenkonfiguration deaktiviert ist, werden nur die EC2-Instances GuardDuty berücksichtigt, die über ein Inclusion-Tag (:) verfügen. `GuardDutyManaged` `true`
+ Verwenden Sie AWS Organizations Aktionen, um die zugehörigen Konten und die Organisations-ID zu beschreiben.
+ Verwenden Sie Amazon-S3-Aktionen, um Informationen über S3-Buckets und Objekte abzurufen.
+ Verwenden Sie AWS Lambda Aktionen, um Informationen über Ihre Lambda-Funktionen und -Tags abzurufen.
+ Verwenden Sie Amazon-EKS-Aktionen, um Informationen über die EKS-Cluster zu verwalten und abzurufen und [Amazon-EKS-Add-Ons](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) auf EKS-Clustern zu verwalten. Die EKS-Aktionen rufen auch die Informationen über die zugehörigen Tags ab. GuardDuty
+ Verwenden Sie IAM, um das zu erstellen, [Servicebezogene Rollenberechtigungen für Malware Protection for EC2](slr-permissions-malware-protection.md) nachdem Malware Protection for EC2 aktiviert wurde.
+ Verwenden Sie Amazon ECS-Aktionen, um Informationen über die Amazon ECS-Cluster zu verwalten und abzurufen, und verwalten Sie die Amazon ECS-Kontoeinstellungen mit`guarddutyActivate`. Die Aktionen im Zusammenhang mit Amazon ECS rufen auch die Informationen über die zugehörigen Tags ab. GuardDuty
Die Rolle ist mit der folgenden [AWS -verwalteten Richtlinie](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) namens `AmazonGuardDutyServiceRolePolicy` konfiguriert.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
Nachfolgend wird die der serviceverknüpften Rolle `AWSServiceRoleForAmazonGuardDuty` zugeordnete Vertrauensrichtlinie gezeigt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Einzelheiten zu Aktualisierungen der `AmazonGuardDutyServiceRolePolicy` Richtlinie finden Sie unter[GuardDuty Aktualisierungen AWS verwalteter Richtlinien](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Abonnieren Sie den RSS-Feed auf der [Dokumentverlauf](doc-history.md) Seite, um automatische Benachrichtigungen über Änderungen an dieser Richtlinie zu erhalten.
## Erstellen einer serviceverknüpften Rolle für GuardDuty
Die `AWSServiceRoleForAmazonGuardDuty` dienstverknüpfte Rolle wird automatisch erstellt, wenn Sie sie GuardDuty zum ersten Mal oder GuardDuty in einer unterstützten Region aktivieren, in der sie zuvor nicht aktiviert war. Sie können die serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der oder der AWS CLI IAM-API erstellen.
**Wichtig**
Die dienstverknüpfte Rolle, die für das GuardDuty delegierte Administratorkonto erstellt wurde, gilt nicht für die Mitgliedskonten. GuardDuty
Sie müssen Berechtigungen konfigurieren, damit ein IAM-Prinzipal (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Damit die `AWSServiceRoleForAmazonGuardDuty` dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss der IAM-Prinzipal, den Sie GuardDuty mit verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, weisen Sie diesem -Benutzer bzw. dieser-Gruppe oder -Rolle die folgende Richtlinie zu:
**Anmerkung**
Ersetzen Sie das Beispiel *account ID* im folgenden Beispiel durch Ihre tatsächliche AWS-Konto ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.
## Bearbeitung einer serviceverknüpften Rolle für GuardDuty
GuardDuty erlaubt es Ihnen nicht, die `AWSServiceRoleForAmazonGuardDuty` dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für GuardDuty
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.
**Wichtig**
Wenn Sie Malware Protection for EC2 aktiviert haben, wird `AWSServiceRoleForAmazonGuardDuty` das Löschen nicht automatisch gelöscht. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Informationen zum Löschen `AWSServiceRoleForAmazonGuardDutyMalwareProtection` finden Sie unter [Löschen einer serviceverknüpften Rolle für Malware Protection for EC2](slr-permissions-malware-protection#delete-slr).
Sie müssen sie zunächst GuardDuty in allen Regionen deaktivieren, in denen sie aktiviert ist, um die zu löschen. `AWSServiceRoleForAmazonGuardDuty` Wenn der GuardDuty Dienst nicht deaktiviert ist, wenn Sie versuchen, die mit dem Dienst verknüpfte Rolle zu löschen, schlägt das Löschen fehl. Weitere Informationen finden Sie unter [Aussetzen oder Deaktivieren GuardDuty](guardduty_suspend-disable.md).
Wenn Sie ihn deaktivieren GuardDuty, wird `AWSServiceRoleForAmazonGuardDuty` er nicht automatisch gelöscht. Wenn Sie es GuardDuty erneut aktivieren, wird das Bestehende verwendet`AWSServiceRoleForAmazonGuardDuty`.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die IAM-API AWS CLI, um die `AWSServiceRoleForAmazonGuardDuty` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützt AWS-Regionen
Amazon GuardDuty unterstützt die Verwendung der `AWSServiceRoleForAmazonGuardDuty` serviceverknüpften Rolle überall AWS-Regionen dort, wo sie verfügbar GuardDuty ist. Eine Liste der Regionen, in denen GuardDuty das Produkt derzeit verfügbar ist, finden Sie unter [ GuardDuty Amazon-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) in der *Allgemeine Amazon Web Services-Referenz*.
# Servicebezogene Rollenberechtigungen für Malware Protection for EC2
Malware Protection for EC2 verwendet die angegebene dienstverknüpfte Rolle (SLR). `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Diese Spiegelreflexkamera ermöglicht es Malware Protection for EC2, agentenlose Scans durchzuführen, um Malware in Ihrem Konto zu erkennen. GuardDuty Es ermöglicht GuardDuty die Erstellung eines EBS-Volume-Snapshots in Ihrem Konto und die gemeinsame Nutzung dieses Snapshots mit dem Dienstkonto. GuardDuty Nach der GuardDuty Auswertung des Snapshots werden die abgerufenen EC2-Instance- und Container-Workload-Metadaten in die Ergebnisse von Malware Protection for EC2 aufgenommen. Die serviceverknüpfte Rolle `AWSServiceRoleForAmazonGuardDutyMalwareProtection` vertraut dem Service `malware-protection.guardduty.amazonaws.com`, sodass dieser die Rolle annehmen kann.
Die Berechtigungsrichtlinien für diese Rolle helfen Malware Protection for EC2 dabei, die folgenden Aufgaben auszuführen:
+ Verwenden Sie Amazon Elastic Compute Cloud (Amazon EC2) -Aktionen, um Informationen über Ihre Amazon EC2 EC2-Instances, Volumes und Snapshots abzurufen. Malware Protection for EC2 gewährt auch die Erlaubnis, auf die Amazon EKS- und Amazon ECS-Cluster-Metadaten zuzugreifen.
+ Erstellen Sie Snapshots für EBS-Volumes, bei denen das `GuardDutyExcluded`-Tag nicht auf `true` gesetzt ist. Standardmäßig werden die Snapshots mit einem `GuardDutyScanId`-Tag erstellt. Entfernen Sie dieses Tag nicht, da Malware Protection for EC2 sonst keinen Zugriff auf die Snapshots hat.
**Wichtig**
Wenn Sie das `GuardDutyExcluded` auf setzen`true`, kann der GuardDuty Dienst in future nicht mehr auf diese Snapshots zugreifen. Dies liegt daran, dass die anderen Anweisungen in dieser dienstbezogenen Rolle GuardDuty verhindern, dass Aktionen für die Snapshots ausgeführt werden, für die der Wert auf gesetzt ist. `GuardDutyExcluded` `true`
+ Lassen Sie das Teilen und Löschen von Snapshots nur zu, wenn das `GuardDutyScanId`-Tag existiert und das `GuardDutyExcluded`-Tag nicht auf `true` gesetzt ist.
**Anmerkung**
Lässt nicht zu, dass Malware Protection for EC2 die Snapshots veröffentlicht.
+ Greifen Sie auf vom Kunden verwaltete Schlüssel zu, mit Ausnahme von Schlüsseln, für die ein `GuardDutyExcluded` Tag auf gesetzt ist`true`, `CreateGrant` um über den verschlüsselten Snapshot, der mit dem Dienstkonto geteilt wird, ein verschlüsseltes EBS-Volume zu erstellen und darauf zuzugreifen. GuardDuty Eine Liste der GuardDuty Dienstkonten für jede Region finden Sie unter[GuardDuty Dienstkonten von AWS-Region](gdu-service-account-region-list.md).
+ Greifen Sie auf CloudWatch Kundenprotokolle zu, um die Protokollgruppe Malware Protection for EC2 zu erstellen und die Malware-Scan-Ereignisprotokolle der `/aws/guardduty/malware-scan-events` Protokollgruppe zuzuordnen.
+ Lassen Sie den Kunden entscheiden, ob er die Snapshots, auf denen Malware erkannt wurde, in seinem Konto behalten möchte. Wenn beim Scan Malware erkannt wird, ermöglicht GuardDuty die mit dem Service verknüpfte Rolle das Hinzufügen von zwei Tags zu Snapshots: und. `GuardDutyFindingDetected` `GuardDutyExcluded`
**Anmerkung**
Das `GuardDutyFindingDetected`-Tag gibt an, dass die Snapshots Malware enthalten.
+ Ermitteln Sie, ob ein Volume mit einem von EBS verwalteten Schlüssel verschlüsselt ist. GuardDuty führt die `DescribeKey` Aktion durch, um den `key Id` von EBS verwalteten Schlüssel in Ihrem Konto zu ermitteln.
+ Rufen Sie den Snapshot der EBS-Volumes, verschlüsselt mit Von AWS verwalteter Schlüssel, von Ihrem ab AWS-Konto und kopieren Sie ihn in den. [GuardDuty Dienstkonto](gdu-service-account-region-list.md) Zu diesem Zweck verwenden wir die Berechtigungen `GetSnapshotBlock` und. `ListSnapshotBlocks` GuardDuty scannt dann den Snapshot im Dienstkonto. Derzeit ist die Unterstützung von Malware Protection for EC2 für das Scannen von EBS-Volumes, die mit verschlüsselt sind, Von AWS verwalteter Schlüssel möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit regionsspezifischer Feature](guardduty_regions.md#gd-regional-feature-availability).
+ Erlauben Sie Amazon EC2, AWS KMS im Namen von Malware Protection for EC2 anzurufen, um verschiedene kryptografische Aktionen mit vom Kunden verwalteten Schlüsseln durchzuführen. Aktionen wie `kms:ReEncryptTo` und `kms:ReEncryptFrom` sind erforderlich, um die Snapshots zu teilen, die mit den vom Kunden verwalteten Schlüsseln verschlüsselt sind. Es sind nur die Schlüssel zugänglich, für die das `GuardDutyExcluded`-Tag nicht auf `true` festgelegt ist.
Die Rolle ist mit der folgenden [AWS -verwalteten Richtlinie](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) namens `AmazonGuardDutyMalwareProtectionServiceRolePolicy` konfiguriert.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)im Referenzhandbuch für *AWS verwaltete Richtlinien*.
Nachfolgend wird die der serviceverknüpften Rolle `AWSServiceRoleForAmazonGuardDutyMalwareProtection` zugeordnete Vertrauensrichtlinie gezeigt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Eine dienstbezogene Rolle für Malware Protection for EC2 erstellen
Die `AWSServiceRoleForAmazonGuardDutyMalwareProtection` dienstbezogene Rolle wird automatisch erstellt, wenn Sie Malware Protection for EC2 zum ersten Mal aktivieren oder Malware Protection for EC2 in einer unterstützten Region aktivieren, in der Sie sie zuvor nicht aktiviert hatten. Sie können die serviceverknüpfte Rolle namens `AWSServiceRoleForAmazonGuardDutyMalwareProtection` auch manuell erstellen, indem Sie die IAM-Konsole, die CLI oder die IAM-API verwenden.
**Anmerkung**
Wenn Sie neu bei Amazon sind GuardDuty, ist Malware Protection for EC2 standardmäßig automatisch aktiviert.
**Wichtig**
Die dienstbezogene Rolle, die für das delegierte GuardDuty Administratorkonto erstellt wurde, gilt nicht für die Mitgliedskonten. GuardDuty
Sie müssen Berechtigungen konfigurieren, damit ein IAM-Prinzipal (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Damit die `AWSServiceRoleForAmazonGuardDutyMalwareProtection` dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie GuardDuty mit verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, weisen Sie diesem -Benutzer bzw. dieser-Gruppe oder -Rolle die folgende Richtlinie zu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.
## Bearbeiten einer dienstbezogenen Rolle für Malware Protection for EC2
Mit Malware Protection for EC2 können Sie die dienstbezogene Rolle nicht bearbeiten. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für Malware Protection for EC2
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.
**Wichtig**
Um den zu löschen`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, müssen Sie zuerst den Malware-Schutz für EC2 in allen Regionen deaktivieren, in denen er aktiviert ist.
Wenn Malware Protection for EC2 nicht deaktiviert ist, wenn Sie versuchen, die dienstbezogene Rolle zu löschen, schlägt der Löschvorgang fehl. Stellen Sie sicher, dass Sie zuerst Malware Protection for EC2 in Ihrem Konto deaktivieren.
Wenn Sie „**Deaktivieren**“ wählen, um den Dienst Malware Protection for EC2 zu beenden, `AWSServiceRoleForAmazonGuardDutyMalwareProtection` wird der Dienst nicht automatisch gelöscht. Wenn Sie dann „**Aktivieren**“ wählen, um den Dienst Malware Protection for EC2 erneut zu starten, GuardDuty wird der vorhandene Dienst wieder verwendet. `AWSServiceRoleForAmazonGuardDutyMalwareProtection`
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die AWS CLI oder die IAM-API, um die `AWSServiceRoleForAmazonGuardDutyMalwareProtection` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Wird unterstützt AWS-Regionen
Amazon GuardDuty unterstützt die Verwendung der `AWSServiceRoleForAmazonGuardDutyMalwareProtection` serviceverknüpften Rolle in allen Bereichen, in AWS-Regionen denen Malware Protection for EC2 verfügbar ist.
Eine Liste der Regionen, in denen GuardDuty das Produkt derzeit verfügbar ist, finden Sie unter [ GuardDuty Amazon-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) in der *Allgemeine Amazon Web Services-Referenz*.
**Anmerkung**
Malware Protection for EC2 ist derzeit in AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) nicht verfügbar.