Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de rôles liés à un service pour Amazon GuardDuty
Amazon GuardDuty utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service (SLR) est un type unique de rôle IAM directement lié à. GuardDuty Les rôles liés aux services sont prédéfinis par GuardDuty et incluent toutes les autorisations nécessaires pour GuardDuty appeler d'autres AWS services en votre nom.
Avec un rôle lié à un service, vous pouvez le configurer GuardDuty sans ajouter manuellement les autorisations nécessaires. GuardDuty définit les autorisations de son rôle lié au service et, sauf si les autorisations sont définies autrement, seul GuardDuty peut assumer le rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
GuardDuty prend en charge l'utilisation de rôles liés aux services dans toutes les régions où cela GuardDuty est disponible. Pour de plus amples informations, veuillez consulter [Régions et points de terminaison](guardduty_regions.md).
Vous ne pouvez supprimer le rôle GuardDuty lié à un service qu'après l'avoir d'abord désactivé GuardDuty dans toutes les régions où il est activé. Cela protège vos GuardDuty ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'y accéder.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, veuillez consulter [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l'utilisateur IAM* et recherchez les services ayant **Oui** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
# Autorisations de rôle liées à un service pour GuardDuty
GuardDuty utilise le rôle lié au service (SLR) nommé. `AWSServiceRoleForAmazonGuardDuty` Le reflex permet d' GuardDuty effectuer les tâches suivantes. Cela permet également GuardDuty d'inclure les métadonnées récupérées appartenant à l'instance EC2 dans les conclusions qui GuardDuty peuvent être générées concernant la menace potentielle. Le rôle lié à un service `AWSServiceRoleForAmazonGuardDuty` fait confiance au service `guardduty.amazonaws.com` pour endosser le rôle.
Les politiques d'autorisation permettent GuardDuty d'effectuer les tâches suivantes :
+ Utilisez les actions Amazon EC2 pour gérer et récupérer des informations sur vos instances EC2, vos images et vos composants réseau tels que les sous-réseaux et les VPCs passerelles de transit.
+ Utilisez AWS Systems Manager des actions pour gérer les associations SSM sur les instances Amazon EC2 lorsque vous GuardDuty activez la surveillance du temps d'exécution avec un agent automatisé pour Amazon EC2. Lorsque la configuration GuardDuty automatique des agents est désactivée, ne GuardDuty prend en compte que les instances EC2 dotées d'une balise d'inclusion (`GuardDutyManaged`:`true`).
+ Utilisez AWS Organizations des actions pour décrire les comptes associés et l'identifiant de l'organisation.
+ Utilisez les actions Amazon S3 pour récupérer des informations sur les compartiments et les objets S3.
+ Utilisez AWS Lambda des actions pour récupérer des informations sur vos fonctions et balises Lambda.
+ Utilisez les actions Amazon EKS pour gérer et récupérer des informations sur les clusters EKS et gérer les [modules complémentaires Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) sur des clusters EKS. Les actions EKS récupèrent également les informations relatives aux balises associées à GuardDuty.
+ Utilisez IAM pour créer la protection contre les programmes malveillants [Autorisations de rôle liées à un service pour Malware Protection for EC2](slr-permissions-malware-protection.md) après l'activation de la protection contre les logiciels malveillants pour EC2.
+ Utilisez les actions Amazon ECS pour gérer et récupérer des informations sur les clusters Amazon ECS, et gérez les paramètres du compte Amazon ECS avec`guarddutyActivate`. Les actions relatives à Amazon ECS récupèrent également les informations relatives aux balises associées à GuardDuty.
Le rôle est configuré avec la [stratégie gérée AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) suivante, nommée `AmazonGuardDutyServiceRolePolicy`.
Pour consulter les autorisations associées à cette politique, consultez [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
Voici la stratégie d'approbation qui est attachée au rôle lié à un service `AWSServiceRoleForAmazonGuardDuty` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pour plus de détails sur les mises à jour `AmazonGuardDutyServiceRolePolicy` de la politique, consultez[GuardDuty mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Pour recevoir des alertes automatiques concernant les modifications apportées à cette politique, abonnez-vous au fil RSS de la [Historique de la documentation](doc-history.md) page.
## Création d'un rôle lié à un service pour GuardDuty
Le rôle `AWSServiceRoleForAmazonGuardDuty` lié au service est automatiquement créé lorsque vous l'activez GuardDuty pour la première fois ou lorsque vous l'activez GuardDuty dans une région prise en charge où il n'était pas activé auparavant. Vous pouvez également créer le rôle lié au service manuellement à l'aide de la console IAM, de l'API IAM ou de l' AWS CLI API IAM.
**Important**
Le rôle lié au service créé pour le compte d'administrateur GuardDuty délégué ne s'applique pas aux comptes des membres GuardDuty .
Vous devez configurer les autorisations de manière à permettre à un principal IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle `AWSServiceRoleForAmazonGuardDuty` lié au service soit correctement créé, le principal IAM que vous utilisez doit disposer GuardDuty des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
**Note**
*account ID*Dans l'exemple suivant, remplacez l'exemple par votre véritable Compte AWS identifiant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Modification d'un rôle lié à un service pour GuardDuty
GuardDuty ne vous permet pas de modifier le rôle `AWSServiceRoleForAmazonGuardDuty` lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour GuardDuty
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
**Important**
Si vous avez activé la protection contre les programmes malveillants pour EC2, la suppression `AWSServiceRoleForAmazonGuardDuty` n'est pas automatiquement supprimée. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Si vous souhaitez effectuer une suppression`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, consultez la section [Suppression d'un rôle lié à un service pour Malware Protection for EC2.](slr-permissions-malware-protection#delete-slr)
Vous devez d'abord GuardDuty le désactiver dans toutes les régions où il est activé afin de supprimer le`AWSServiceRoleForAmazonGuardDuty`. Si le GuardDuty service n'est pas désactivé lorsque vous essayez de supprimer le rôle lié au service, la suppression échoue. Pour de plus amples informations, veuillez consulter [Suspension ou désactivation GuardDuty](guardduty_suspend-disable.md).
Lorsque vous le désactivez GuardDuty, le `AWSServiceRoleForAmazonGuardDuty` fichier n'est pas supprimé automatiquement. Si vous GuardDuty réactivez, il commencera à utiliser l'existant`AWSServiceRoleForAmazonGuardDuty`.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM AWS CLI, ou l'API IAM pour supprimer le rôle lié au `AWSServiceRoleForAmazonGuardDuty` service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Soutenu Régions AWS
Amazon GuardDuty prend en charge l'utilisation du rôle `AWSServiceRoleForAmazonGuardDuty` lié au service dans tous les Régions AWS endroits où cela GuardDuty est disponible. Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section [ GuardDuty Points de terminaison et quotas Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) dans le *Référence générale d'Amazon Web Services*.
# Autorisations de rôle liées à un service pour Malware Protection for EC2
Malware Protection for EC2 utilise le rôle lié au service (SLR) nommé. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Ce SLR permet à Malware Protection for EC2 d'effectuer des analyses sans agent afin de détecter les logiciels malveillants présents dans votre compte. GuardDuty Il permet GuardDuty de créer un instantané du volume EBS dans votre compte et de partager cet instantané avec le compte de GuardDuty service. Après avoir GuardDuty évalué le snapshot, celui-ci inclut les métadonnées de charge de travail de conteneur et d'instance EC2 récupérées dans les résultats de la protection contre les malwares pour EC2. Le rôle lié à un service `AWSServiceRoleForAmazonGuardDutyMalwareProtection` fait confiance au service `malware-protection.guardduty.amazonaws.com` pour endosser le rôle.
Les politiques d'autorisation associées à ce rôle permettent à Malware Protection for EC2 d'effectuer les tâches suivantes :
+ Utilisez les actions Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur vos instances, volumes et instantanés Amazon EC2. Malware Protection for EC2 fournit également l'autorisation d'accéder aux métadonnées des clusters Amazon EKS et Amazon ECS.
+ Créer des instantanés pour les volumes EBS dont la balise `GuardDutyExcluded` n'est pas définie sur `true`. Par défaut, les instantanés sont créés avec une balise `GuardDutyScanId`. Ne supprimez pas cette balise, sinon Malware Protection for EC2 n'aura pas accès aux instantanés.
**Important**
Lorsque vous définissez le `GuardDutyExcluded` paramètre sur`true`, le GuardDuty service ne pourra plus accéder à ces instantanés à l'avenir. Cela est dû au fait que les autres instructions de ce rôle lié au service GuardDuty empêchent toute action sur les instantanés définis sur. `GuardDutyExcluded` `true`
+ Autoriser le partage et la suppression d'instantanés uniquement si la balise `GuardDutyScanId` existe et que la balise `GuardDutyExcluded` n'est pas définie sur `true`.
**Note**
N'autorise pas Malware Protection for EC2 à rendre les instantanés publics.
+ Accédez aux clés gérées par le client, à l'exception de celles dont le `GuardDutyExcluded` tag est défini sur`true`, pour appeler `CreateGrant` pour créer et accéder à un volume EBS chiffré à partir de l'instantané chiffré partagé avec le compte de GuardDuty service. Pour obtenir la liste des comptes de GuardDuty service pour chaque région, voir[GuardDuty comptes de service par Région AWS](gdu-service-account-region-list.md).
+ Accédez aux CloudWatch journaux des clients pour créer le groupe de journaux Malware Protection for EC2 et placez les journaux des événements d'analyse des programmes malveillants dans le `/aws/guardduty/malware-scan-events` groupe de journaux.
+ Autoriser le client à décider s'il souhaite conserver dans son compte les instantanés sur lesquels le logiciel malveillant a été détecté. Si l'analyse détecte un logiciel malveillant, le rôle lié au service permet d' GuardDuty ajouter deux balises aux instantanés : et. `GuardDutyFindingDetected` `GuardDutyExcluded`
**Note**
La balise `GuardDutyFindingDetected` indique que les instantanés contiennent des logiciels malveillants.
+ Déterminez si un volume est chiffré à l'aide d'une clé gérée EBS. GuardDuty exécute l'`DescribeKey`action pour déterminer `key Id` la clé gérée par EBS dans votre compte.
+ Récupérez l'instantané des volumes EBS chiffrés à l'aide de Clé gérée par AWS, depuis votre Compte AWS et copiez-le dans le. [GuardDuty compte de service](gdu-service-account-region-list.md) À cette fin, nous utilisons les autorisations `GetSnapshotBlock` et`ListSnapshotBlocks`. GuardDuty scannera ensuite le cliché dans le compte de service. À l'heure actuelle, la prise en charge de Malware Protection for EC2 pour l'analyse des volumes EBS chiffrés avec Clé gérée par AWS peut ne pas être disponible dans tous les. Régions AWS Pour de plus amples informations, veuillez consulter [Disponibilité des fonctionnalités propres à la région](guardduty_regions.md#gd-regional-feature-availability).
+ Autorisez Amazon EC2 à appeler au AWS KMS nom de Malware Protection for EC2 afin d'effectuer plusieurs actions cryptographiques sur des clés gérées par le client. Des actions telles que `kms:ReEncryptTo` et `kms:ReEncryptFrom` sont nécessaires pour partager les instantanés chiffrés avec les clés gérées par le client. Seules les clés suivantes pour lesquelles la balise `GuardDutyExcluded` n'est pas définie `true` sur sont accessibles.
Le rôle est configuré avec la [stratégie gérée AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) suivante, nommée `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.
Pour consulter les autorisations associées à cette politique, consultez [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
La stratégie d'approbation suivante est attachée au rôle lié à un service `AWSServiceRoleForAmazonGuardDutyMalwareProtection` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Création d'un rôle lié à un service pour Malware Protection for EC2
Le rôle `AWSServiceRoleForAmazonGuardDutyMalwareProtection` lié à un service est automatiquement créé lorsque vous activez la protection contre les programmes malveillants pour EC2 pour la première fois ou lorsque vous activez la protection contre les programmes malveillants pour EC2 dans une région prise en charge où elle n'était pas activée auparavant. Vous pouvez également créer le rôle lié à un service `AWSServiceRoleForAmazonGuardDutyMalwareProtection` manuellement, via la console IAM, la CLI IAM ou l'API IAM.
**Note**
Par défaut, si vous utilisez Amazon pour la première fois GuardDuty, Malware Protection for EC2 est automatiquement activée.
**Important**
Le rôle lié au service créé pour le compte d' GuardDuty administrateur délégué ne s'applique pas aux comptes des membres GuardDuty .
Vous devez configurer les autorisations de manière à permettre à un principal IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle `AWSServiceRoleForAmazonGuardDutyMalwareProtection` lié au service soit correctement créé, l'identité IAM que vous utilisez doit disposer GuardDuty des autorisations requises. Pour accorder les autorisations requises, attachez la stratégie suivante à cet utilisateur, groupe ou rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Modification d'un rôle lié à un service pour Malware Protection for EC2
Malware Protection for EC2 ne vous permet pas de modifier le rôle lié au `AWSServiceRoleForAmazonGuardDutyMalwareProtection` service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression d'un rôle lié à un service pour Malware Protection for EC2
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
**Important**
Pour le supprimer`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, vous devez d'abord désactiver la protection contre les programmes malveillants pour EC2 dans toutes les régions où elle est activée.
Si la protection contre les programmes malveillants pour EC2 n'est pas désactivée lorsque vous essayez de supprimer le rôle lié à un service, la suppression échouera. Assurez-vous d'abord de désactiver la protection contre les programmes malveillants pour EC2 dans votre compte.
Lorsque vous choisissez **Désactiver** pour arrêter le service Malware Protection for EC2, celui-ci n'`AWSServiceRoleForAmazonGuardDutyMalwareProtection`est pas automatiquement supprimé. Si vous choisissez ensuite **Activer** pour redémarrer le service Malware Protection for EC2, GuardDuty vous commencerez à utiliser le service existant`AWSServiceRoleForAmazonGuardDutyMalwareProtection`.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, la AWS CLI ou l'API IAM pour supprimer le rôle lié au `AWSServiceRoleForAmazonGuardDutyMalwareProtection` service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Soutenu Régions AWS
Amazon GuardDuty prend en charge l'utilisation du rôle `AWSServiceRoleForAmazonGuardDutyMalwareProtection` lié au service dans tous les domaines Régions AWS où Malware Protection for EC2 est disponible.
Pour obtenir la liste des régions dans lesquelles cette GuardDuty option est actuellement disponible, consultez la section [ GuardDuty Points de terminaison et quotas Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) dans le *Référence générale d'Amazon Web Services*.
**Note**
La protection contre les programmes malveillants pour EC2 n'est actuellement pas disponible en AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest).