Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS kebijakan terkelola untuk Amazon GuardDuty
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan **ReadOnlyAccess** AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
Elemen kebijakan `Version` menetapkan aturan sintaksis bahasa yang akan digunakan untuk memproses kebijakan. Kebijakan berikut mencakup versi saat ini yang didukung IAM. Untuk informasi selengkapnya, lihat [elemen kebijakan IAM JSON: Versi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
## AWS kebijakan terkelola: AmazonGuardDutyFullAccess\_v2 (disarankan)
Anda dapat melampirkan kebijakan AmazonGuardDutyFullAccess\_v2 ke identitas IAM Anda. Kebijakan ini akan memungkinkan pengguna akses penuh untuk melakukan semua GuardDuty tindakan dan mengakses sumber daya yang diperlukan. Antara AmazonGuardDutyFullAccess\_v2 dan AmazonGuardDutyFullAccess, GuardDuty merekomendasikan melampirkan AmazonGuardDutyFullAccess\_v2 karena menawarkan keamanan yang ditingkatkan dan membatasi tindakan administratif untuk prinsipal GuardDuty layanan.
### Detail izin
AmazonGuardDutyFullAccess\_v2Kebijakan ini mencakup izin berikut:
+ `GuardDuty`— Memungkinkan pengguna akses penuh ke semua GuardDuty tindakan.
+ `IAM`:
+ Memungkinkan pengguna untuk membuat GuardDuty peran terkait layanan.
+ Memungkinkan melihat dan mengelola peran IAM dan kebijakan mereka untuk GuardDuty.
+ Memungkinkan pengguna untuk meneruskan peran ke GuardDuty. GuardDuty menggunakan peran ini untuk mengaktifkan Perlindungan Malware untuk S3 dan memindai objek S3 untuk malware. GuardDuty juga menggunakan peran ini untuk memulai pemindaian untuk Perlindungan Malware untuk Cadangan AWS .
+ Izin untuk melakukan `iam:GetRole` tindakan `AWSServiceRoleForAmazonGuardDutyMalwareProtection` menetapkan apakah peran terkait layanan (SLR) untuk Perlindungan Malware untuk EC2 ada di akun.
+ `Organizations`:
+ Memungkinkan pengguna untuk membaca (melihat) struktur GuardDuty organisasi dan akun.
+ Memungkinkan pengguna untuk menunjuk administrator yang didelegasikan dan mengelola anggota untuk organisasi. GuardDuty
Untuk meninjau izin kebijakan ini, lihat [AmazonGuardDutyFullAccess\_v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess_v2.html) di Panduan *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AmazonGuardDutyFullAccess
Anda dapat melampirkan kebijakan `AmazonGuardDutyFullAccess` ke identitas IAM Anda.
**penting**
Untuk keamanan yang ditingkatkan dan izin terbatas pada prinsipal GuardDuty layanan, kami sarankan Anda untuk menggunakannya. [AWS kebijakan terkelola: AmazonGuardDutyFullAccess\_v2 (disarankan)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)
Kebijakan ini memberikan izin administratif yang memungkinkan pengguna mengakses penuh untuk melakukan semua GuardDuty tindakan dan sumber daya.
### Detail izin
Kebijakan ini mencakup izin berikut.
+ `GuardDuty`— Memungkinkan pengguna akses penuh ke semua GuardDuty tindakan.
+ `IAM`:
+ Memungkinkan pengguna untuk membuat peran GuardDuty terkait layanan.
+ Memungkinkan akun administrator GuardDuty untuk mengaktifkan akun anggota.
+ Memungkinkan pengguna untuk meneruskan peran ke GuardDuty. GuardDuty menggunakan peran ini untuk mengaktifkan Perlindungan Malware untuk S3 dan memindai objek S3 untuk malware. GuardDuty juga menggunakan peran ini untuk memulai pemindaian untuk Perlindungan Malware untuk Cadangan AWS .
+ `Organizations`— Memungkinkan pengguna untuk menunjuk administrator yang didelegasikan dan mengelola anggota untuk organisasi. GuardDuty
Izin untuk melakukan `iam:GetRole` tindakan `AWSServiceRoleForAmazonGuardDutyMalwareProtection` menetapkan apakah peran terkait layanan (SLR) untuk Perlindungan Malware untuk EC2 ada di akun.
Untuk meninjau izin kebijakan ini, lihat [AmazonGuardDutyFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AmazonGuardDutyReadOnlyAccess
Anda dapat melampirkan kebijakan `AmazonGuardDutyReadOnlyAccess` ke identitas IAM Anda.
Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat GuardDuty temuan dan detail organisasi Anda. GuardDuty
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `GuardDuty`— Memungkinkan pengguna untuk melihat GuardDuty temuan dan melakukan operasi API yang dimulai dengan`Get`,`List`, atau`Describe`.
+ `Organizations`— Memungkinkan pengguna untuk mengambil informasi tentang konfigurasi GuardDuty organisasi Anda, termasuk rincian akun administrator yang didelegasikan.
Untuk meninjau izin kebijakan ini, lihat [AmazonGuardDutyReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AmazonGuardDutyServiceRolePolicy
Anda tidak dapat melampirkan `AmazonGuardDutyServiceRolePolicy` ke entitas IAM Anda. Kebijakan AWS terkelola ini dilampirkan pada peran terkait layanan yang memungkinkan Anda GuardDuty melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Service-linked izin peran untuk GuardDuty](slr-permissions.md).
## GuardDuty pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola GuardDuty sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat GuardDuty dokumen.
| Ubah | Deskripsi | Tanggal |
| --- | --- | --- |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) — Permbaruan ke kebijakan yang sudah ada | Menambahkan `s3:ListBucket` izin untuk mengambil daftar bucket S3, serta `ecs:DescribeTaskDefinition` izin untuk mengambil informasi tentang tugas `ecs:DescribeTasks` dan definisi tugas Amazon ECS. | April 23, 2026 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – Pembaruan ke kebijakan yang ada | Menambahkan `cloudtrail:CreateServiceLinkedChannel` izin untuk mengaktifkan mekanisme tambahan untuk mengkonsumsi AWS CloudTrail acara.{
"Sid": "CloudTrailCreateServiceLinkedChannelSid",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateServiceLinkedChannel"
],
"Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/guardduty/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
} | Maret 25, 2026 |
| AmazonGuardDutyFullAccess— Usang | Kebijakan ini telah digantikan oleh kebijakan tercakup bawah bernama. `AmazonGuardDutyFullAccess_v2`
Setelah **13 Maret 2026,** Anda tidak dapat melampirkan `AmazonGuardDutyFullAccess` kebijakan ke pengguna, grup, atau peran baru mana pun. Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola: AmazonGuardDutyFullAccess\_v2 (disarankan)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2). | Maret 13, 2026 |
| [AmazonGuardDutyFullAccess\_v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) – Pembaruan ke kebijakan yang ada | Izin tambahan yang memungkinkan Anda meneruskan peran IAM GuardDuty saat Anda mengaktifkan Perlindungan Malware untuk AWS Pencadangan. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | November 19, 2025 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – Pembaruan ke kebijakan yang ada | Izin tambahan yang memungkinkan Anda meneruskan peran IAM GuardDuty saat Anda mengaktifkan Perlindungan Malware untuk AWS Pencadangan. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | November 19, 2025 |
| [AmazonGuardDutyFullAccess\_v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)— Menambahkan kebijakan baru | Menambahkan AmazonGuardDutyFullAccess\_v2 kebijakan baru. Ini direkomendasikan karena izinnya meningkatkan keamanan dengan membatasi tindakan administratif pada prinsipal GuardDuty layanan berdasarkan peran dan kebijakan IAM, dan integrasi. AWS Organizations | Juni 04, 2025 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – Pembaruan ke kebijakan yang ada | Menambahkan `ec2:DescribeVpcs` izin. Ini memungkinkan GuardDuty untuk melacak pembaruan VPC, seperti mengambil CIDR VPC. | Agustus 22, 2024 |
| [AmazonGuardDutyFullAccess](slr-permissions.md) – Pembaruan ke kebijakan yang ada | Menambahkan izin yang memungkinkan Anda meneruskan peran IAM GuardDuty saat Anda mengaktifkan Perlindungan Malware untuk S3.{
"Sid": "AllowPassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
} | Juni 10, 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md)— Perbarui ke kebijakan yang ada. | Gunakan AWS Systems Manager tindakan untuk mengelola asosiasi SSM di instans Amazon EC2 saat Anda GuardDuty mengaktifkan Pemantauan Waktu Proses dengan agen otomatis untuk Amazon EC2. Ketika konfigurasi agen GuardDuty otomatis dinonaktifkan, GuardDuty pertimbangkan hanya instans EC2 yang memiliki tag inklusi (`GuardDutyManaged`:`true`). | 26 Maret 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md)— Perbarui ke kebijakan yang ada. | GuardDuty telah menambahkan izin baru - `organization:DescribeOrganization` untuk mengambil ID organisasi akun VPC Amazon bersama dan menetapkan kebijakan titik akhir VPC Amazon dengan ID organisasi. | Februari 9, 2024 |
| [AmazonGuardDutyMalwareProtectionServiceRolePolicy](slr-permissions-malware-protection.md)— Perbarui ke kebijakan yang ada. | Perlindungan Malware untuk EC2 telah menambahkan dua izin - `GetSnapshotBlock` dan `ListSnapshotBlocks` untuk mengambil snapshot volume EBS (dienkripsi menggunakan Kunci yang dikelola AWS) dari Anda Akun AWS dan menyalinnya ke akun GuardDuty layanan sebelum memulai pemindaian malware. | 25 Jan 2024 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy) – Pembaruan ke kebijakan yang ada | Menambahkan izin baru GuardDuty untuk memungkinkan menambahkan `guarddutyActivate` setelan akun Amazon ECS, serta melakukan daftar dan menjelaskan operasi di kluster Amazon ECS. | November 26, 2023 |
| [AmazonGuardDutyReadOnlyAccess](#security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess) – Pembaruan ke kebijakan yang ada | GuardDuty menambahkan kebijakan baru untuk organizations untukListAccounts. | 16 November 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – Pembaruan ke kebijakan yang ada | GuardDuty menambahkan kebijakan baru untuk organizations untukListAccounts. | 16 November 2023 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – Pembaruan ke kebijakan yang ada | GuardDuty menambahkan izin baru untuk mendukung fitur GuardDuty EKS Runtime Monitoring yang akan datang. | 8 Maret 2023 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy) – Pembaruan ke kebijakan yang ada | GuardDuty telah menambahkan izin baru untuk memungkinkan untuk membuat [Service-linked peran GuardDuty untuk Perlindungan Malware untuk EC2](slr-permissions-malware-protection.md). Ini akan membantu GuardDuty merampingkan proses mengaktifkan Perlindungan Malware untuk EC2.
GuardDuty sekarang dapat melakukan tindakan IAM berikut:{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
} | 21 Februari 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – Pembaruan ke kebijakan yang ada | GuardDuty ARN yang diperbarui untuk untuk`iam:GetRole`. `*AWSServiceRoleForAmazonGuardDutyMalwareProtection` | 26 Jul 2022 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – Pembaruan ke kebijakan yang ada | GuardDuty menambahkan yang baru `AWSServiceName` untuk memungkinkan pembuatan peran terkait layanan menggunakan Perlindungan GuardDuty Malware `iam:CreateServiceLinkedRole` untuk layanan EC2.
GuardDuty sekarang dapat melakukan `iam:GetRole` tindakan untuk mendapatkan informasi untuk`AWSServiceRole`. | 26 Jul 2022 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – Pembaruan ke kebijakan yang ada | GuardDuty menambahkan izin baru GuardDuty untuk memungkinkan penggunaan tindakan jaringan Amazon EC2 untuk meningkatkan temuan.
GuardDuty sekarang dapat melakukan tindakan EC2 berikut untuk mendapatkan informasi tentang bagaimana instans EC2 Anda berkomunikasi. Informasi ini digunakan untuk meningkatkan akurasi penemuan.[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/security-iam-awsmanpol.html) | Agustus 3, 2021 |
| GuardDuty mulai melacak perubahan | GuardDuty mulai melacak perubahan untuk kebijakan AWS terkelolanya. | Agustus 3, 2021 |