Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de roles vinculados a servicios para Amazon GuardDuty
Amazon GuardDuty usa roles AWS Identity and Access Management vinculados a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio (SLR) es un tipo único de rol de IAM al que se vincula directamente. GuardDuty Los roles vinculados al servicio están predefinidos GuardDuty e incluyen todos los permisos necesarios para llamar a otros servicios GuardDuty en su nombre. AWS
Con el rol vinculado al servicio, puedes configurarlo manualmente GuardDuty sin tener que añadir los permisos necesarios. GuardDuty define los permisos de su función vinculada al servicio y, a menos que los permisos se definan de otra manera, solo GuardDuty puede asumir la función. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
GuardDuty admite el uso de funciones vinculadas al servicio en todas las regiones en las que esté disponible. GuardDuty Para obtener más información, consulte [Regiones y puntos de conexión](guardduty_regions.md).
Puede eliminar el rol GuardDuty vinculado al servicio solo después de haberlo desactivado por primera vez GuardDuty en todas las regiones en las que esté habilitado. Esto protege sus GuardDuty recursos porque no puede eliminar el permiso de acceso a ellos sin darse cuenta.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM* y busque los servicios que tienen **Sí** en la columna **Rol vinculado a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
# Permisos de rol vinculados al servicio para GuardDuty
GuardDuty usa el rol vinculado al servicio (SLR) denominado. `AWSServiceRoleForAmazonGuardDuty` La SLR permite realizar GuardDuty las siguientes tareas. También permite GuardDuty incluir los metadatos recuperados pertenecientes a la instancia EC2 en los hallazgos que se GuardDuty puedan generar sobre la potencial amenaza. El rol vinculado a servicios `AWSServiceRoleForAmazonGuardDuty` confía en el servicio `guardduty.amazonaws.com` para asumir el rol.
Las políticas de permisos ayudan a GuardDuty realizar las siguientes tareas:
+ Utilice las acciones de Amazon EC2 para gestionar y recuperar información sobre sus instancias, imágenes y componentes de red de EC2 VPCs, como subredes y pasarelas de tránsito.
+ Utilice AWS Systems Manager acciones para gestionar las asociaciones de SSM en las instancias de Amazon EC2 al GuardDuty habilitar Runtime Monitoring con un agente automatizado para Amazon EC2. Cuando la configuración GuardDuty automática de agentes está deshabilitada, solo GuardDuty tiene en cuenta las instancias de EC2 que tienen una etiqueta de inclusión (:). `GuardDutyManaged` `true`
+ Use AWS Organizations acciones para describir las cuentas asociadas y el identificador de la organización.
+ Utilizar las acciones de Amazon S3 para recuperar información sobre buckets y objetos de S3.
+ Utilice AWS Lambda acciones para recuperar información sobre las funciones y etiquetas de Lambda.
+ Utilice las acciones de Amazon EKS para administrar y recuperar información sobre los clústeres de EKS y administrar los [complementos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) en los clústeres de EKS. Las acciones de EKS también recuperan la información sobre las etiquetas asociadas a GuardDuty ellas.
+ Utilice IAM para crear el [Permisos de rol vinculado al servicio para Malware Protection for EC2](slr-permissions-malware-protection.md) después de que se haya habilitado Malware Protection for EC2.
+ Utilice las acciones de Amazon ECS para administrar y recuperar información sobre los clústeres de Amazon ECS y administrar la configuración de la cuenta de Amazon ECS con `guarddutyActivate`. Las acciones relacionadas con Amazon ECS también recuperan la información sobre las etiquetas asociadas a ellas GuardDuty.
El rol se configura con la siguiente [política administrada por AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), que se denomina `AmazonGuardDutyServiceRolePolicy`.
Para revisar los permisos de esta política, consulte [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html) en la *Guía de referencia de la política administrada de AWS *.
A continuación se presenta la política de confianza que se asocia al rol vinculado a servicio `AWSServiceRoleForAmazonGuardDuty`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obtener más información sobre actualizaciones a la política `AmazonGuardDutyServiceRolePolicy`, consulte [GuardDuty actualizaciones de las políticas gestionadas AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Para obtener alertas automáticas sobre cambios en esta política, suscríbase a la fuente RSS en la página de [Historial de revisión](doc-history.md).
## Crear un rol vinculado a un servicio para GuardDuty
El rol `AWSServiceRoleForAmazonGuardDuty` vinculado al servicio se crea automáticamente cuando lo habilitas GuardDuty por primera vez o lo habilitas GuardDuty en una región compatible en la que antes no lo tenías habilitado. También puede crear el rol vinculado al servicio manualmente mediante la consola de IAM, la API de IAM o la misma AWS CLI.
**importante**
El rol vinculado al servicio que se crea para la cuenta de administrador GuardDuty delegado no se aplica a las cuentas de los miembros. GuardDuty
Debe configurar permisos para permitir a una entidad principal de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para que el rol `AWSServiceRoleForAmazonGuardDuty` vinculado al servicio se cree correctamente, el director de IAM GuardDuty con el que utilices debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a un usuario, un grupo o un rol de :
**nota**
Sustituya *account ID* el ejemplo siguiente por su ID real. Cuenta de AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Para obtener más información acerca de cómo crear un rol manualmente, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.
## Edición de un rol vinculado a un servicio para GuardDuty
GuardDuty no permite editar el rol vinculado al `AWSServiceRoleForAmazonGuardDuty` servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para GuardDuty
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitoree ni se mantenga de forma activa.
**importante**
Si ha habilitado Malware Protection for EC2, la eliminación de `AWSServiceRoleForAmazonGuardDuty` no elimina `AWSServiceRoleForAmazonGuardDutyMalwareProtection` automáticamente. Si desea eliminar `AWSServiceRoleForAmazonGuardDutyMalwareProtection`, consulte [Eliminar un rol vinculado al servicio para Malware Protection for EC2](slr-permissions-malware-protection#delete-slr).
Primero debe deshabilitarlo GuardDuty en todas las regiones en las que esté habilitado para eliminar el. `AWSServiceRoleForAmazonGuardDuty` Si el GuardDuty servicio no está deshabilitado al intentar eliminar el rol vinculado al servicio, se producirá un error en la eliminación. Para obtener más información, consulte [Suspender o deshabilitar GuardDuty](guardduty_suspend-disable.md).
Cuando lo inhabilitas GuardDuty, `AWSServiceRoleForAmazonGuardDuty` no se elimina automáticamente. Si lo GuardDuty vuelves a activar, empezará a usar lo existente`AWSServiceRoleForAmazonGuardDuty`.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Usa la consola de IAM AWS CLI, la o la API de IAM para eliminar la función vinculada al `AWSServiceRoleForAmazonGuardDuty` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Soportado Regiones de AWS
Amazon GuardDuty admite el uso de la función `AWSServiceRoleForAmazonGuardDuty` vinculada al servicio en todos los Regiones de AWS lugares disponibles GuardDuty . Para ver una lista de las regiones en las GuardDuty que está disponible actualmente, consulta los [ GuardDuty puntos de conexión y las cuotas de Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) en. *Referencia general de Amazon Web Services*
# Permisos de rol vinculado al servicio para Malware Protection for EC2
Malware Protection for EC2 utiliza el rol vinculado al servicio (SLR) denominado `AWSServiceRoleForAmazonGuardDutyMalwareProtection`. Esta cámara réflex permite a Malware Protection for EC2 realizar escaneos sin agentes para detectar malware en su cuenta. GuardDuty Permite GuardDuty crear una instantánea del volumen de EBS en su cuenta y compartirla con la cuenta de servicio. GuardDuty Tras GuardDuty evaluar la instantánea, incluye los metadatos de la carga de trabajo del contenedor y de la instancia de EC2 recuperados en las conclusiones sobre Malware Protection for EC2. El rol vinculado a servicios `AWSServiceRoleForAmazonGuardDutyMalwareProtection` confía en el servicio `malware-protection.guardduty.amazonaws.com` para asumir el rol.
Las políticas de permisos de este rol ayudan a Malware Protection for EC2 a realizar las siguientes tareas:
+ Utilice las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para recuperar información sobre las instancias de Amazon EC2, los volúmenes y las instantáneas. Malware Protection for EC2 también concede permiso para acceder a los metadatos de clúster de Amazon EKS y Amazon ECS.
+ Crear instantáneas para los volúmenes de EBS cuya etiqueta `GuardDutyExcluded` no esté configurada como `true`. De forma predeterminada, las instantáneas se crean con una etiqueta `GuardDutyScanId`. No elimine esta etiqueta. Si lo hace, Malware Protection for EC2 no tendrá acceso a las instantáneas.
**importante**
Si lo configuras`true`, el GuardDuty servicio no podrá acceder a estas instantáneas en el futuro. `GuardDutyExcluded` Esto se debe a que las demás instrucciones de esta función vinculada al servicio GuardDuty impiden realizar ninguna acción en las instantáneas para las que se ha establecido esa función. `GuardDutyExcluded` `true`
+ Permitir compartir y eliminar instantáneas solo si la etiqueta `GuardDutyScanId` existe y la etiqueta `GuardDutyExcluded` no está establecida en `true`.
**nota**
No permite que Malware Protection for EC2 haga públicas las instantáneas.
+ Acceda a las claves administradas por el cliente, excepto a las que tengan una `GuardDutyExcluded` etiqueta configurada como`true`, `CreateGrant` para crear un volumen de EBS cifrado y acceder a él desde la instantánea cifrada que se comparte con la cuenta de servicio. GuardDuty Para obtener una lista de las cuentas de GuardDuty servicio de cada región, consulte[GuardDuty cuentas de servicio de Región de AWS](gdu-service-account-region-list.md).
+ Acceda a los CloudWatch registros de los clientes para crear el grupo de registros de Malware Protection for EC2 y coloque los registros de eventos de análisis de malware en el `/aws/guardduty/malware-scan-events` grupo de registros.
+ Permitir que el cliente decida si quiere conservar en su cuenta las instantáneas en las que se detectó el malware. Si el análisis detecta malware, la función vinculada al servicio permite añadir dos etiquetas GuardDuty a las instantáneas: y. `GuardDutyFindingDetected` `GuardDutyExcluded`
**nota**
La etiqueta `GuardDutyFindingDetected` especifica que las instantáneas contienen malware.
+ Determine si un volumen está cifrado con una clave gestionada por EBS. GuardDuty realiza la `DescribeKey` acción para determinar la clave `key Id` gestionada por EBS en su cuenta.
+ Obtenga la instantánea de los volúmenes de EBS cifrados con Clave administrada de AWS, de su propiedad Cuenta de AWS y cópiela en la. [GuardDuty cuenta de servicio](gdu-service-account-region-list.md) Para ello, utilizamos los permisos `GetSnapshotBlock` y. `ListSnapshotBlocks` GuardDuty luego escaneará la instantánea en la cuenta de servicio. En la actualidad, es posible que la compatibilidad con Malware Protection for EC2 para escanear volúmenes de EBS cifrados con Clave administrada de AWS ella no esté disponible en todos los. Regiones de AWS Para obtener más información, consulte [Disponibilidad de características específicas por región](guardduty_regions.md#gd-regional-feature-availability).
+ Permita que Amazon EC2 llame AWS KMS en nombre de Malware Protection para que EC2 realice varias acciones criptográficas en las claves administradas por el cliente. Acciones como `kms:ReEncryptTo` y `kms:ReEncryptFrom` son obligatorias para compartir las instantáneas cifradas con las claves administradas por el cliente. Solo se puede acceder a las claves para las que la etiqueta `GuardDutyExcluded` no esté establecida en `true`.
El rol se configura con la siguiente [política administrada por AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), que se denomina `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.
Para revisar los permisos de esta política, consulte [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html) en la *Guía de referencia de la política administrada de AWS *.
La siguiente política de confianza se ha adjuntado al rol vinculado a servicios `AWSServiceRoleForAmazonGuardDutyMalwareProtection`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Crear un rol vinculado al servicio para Malware Protection for EC2
El rol vinculado al servicio `AWSServiceRoleForAmazonGuardDutyMalwareProtection` se crea automáticamente cuando se habilita Malware Protection for EC2 por primera vez o al habilitar Malware Protection for EC2 en una región compatible en la que no estaba habilitado. También puede crear el rol vinculado al servicio `AWSServiceRoleForAmazonGuardDutyMalwareProtection` manualmente con la consola de IAM, la CLI de IAM o la API de IAM.
**nota**
De forma predeterminada, si eres nuevo en Amazon GuardDuty, Malware Protection for EC2 se activa automáticamente.
**importante**
El rol vinculado al servicio que se crea para la cuenta de GuardDuty administrador delegado no se aplica a las cuentas de los miembros. GuardDuty
Debe configurar permisos para permitir a una entidad principal de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para que el rol `AWSServiceRoleForAmazonGuardDutyMalwareProtection` vinculado al servicio se cree correctamente, la identidad de IAM que utilices GuardDuty debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a un usuario, un grupo o un rol de :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
Para obtener más información sobre cómo crear un rol manualmente, consulte [Crear un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.
## Editar un rol vinculado al servicio para Malware Protection for EC2
Malware Protection for EC2 no permite editar el rol vinculado al servicio `AWSServiceRoleForAmazonGuardDutyMalwareProtection`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado al servicio para Malware Protection for EC2
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitoree ni se mantenga de forma activa.
**importante**
Para poder eliminar `AWSServiceRoleForAmazonGuardDutyMalwareProtection`, primero debe desactivar Malware Protection for EC2 en todas las regiones en las que esté habilitada.
Si Malware Protection for EC2 está habilitada al intentar eliminar el rol vinculado al servicio, el rol no se eliminará. Asegúrese de desactivar primero Malware Protection for EC2 en la cuenta.
Si selecciona **Desactivar** para detener el servicio de Malware Protection for EC2, `AWSServiceRoleForAmazonGuardDutyMalwareProtection` no se elimina automáticamente. Si, a continuación, selecciona **Activar** para volver a iniciar el servicio Malware Protection for EC2, GuardDuty empezará a utilizar el existente. `AWSServiceRoleForAmazonGuardDutyMalwareProtection`
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado al `AWSServiceRoleForAmazonGuardDutyMalwareProtection` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Soportado Regiones de AWS
Amazon GuardDuty admite el uso de la función `AWSServiceRoleForAmazonGuardDutyMalwareProtection` vinculada al servicio en todos los Regiones de AWS lugares donde esté disponible Malware Protection for EC2.
Para ver una lista de las regiones en las GuardDuty que está disponible actualmente, consulta los [ GuardDuty puntos de conexión y las cuotas de Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) en. *Referencia general de Amazon Web Services*
**nota**
La protección contra malware para EC2 no está disponible actualmente en AWS GovCloud (EE. UU. Este) ni (EE. UU. Oeste AWS GovCloud ).