Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Izin peran terkait layanan untuk GuardDuty
GuardDuty menggunakan peran terkait layanan (SLR) bernama. `AWSServiceRoleForAmazonGuardDuty` SLR memungkinkan GuardDuty untuk melakukan tugas-tugas berikut. Ini juga memungkinkan GuardDuty untuk memasukkan metadata yang diambil milik instans EC2 dalam temuan yang GuardDuty dapat menghasilkan tentang potensi ancaman. Peran terkait layanan `AWSServiceRoleForAmazonGuardDuty` memercayai layanan `guardduty.amazonaws.com` untuk menjalankan peran.
Kebijakan izin membantu GuardDuty melakukan tugas-tugas berikut:
+ Gunakan tindakan Amazon EC2 untuk mengelola dan mengambil informasi tentang instans EC2, gambar, dan komponen jaringan Anda seperti subnet VPCs, dan gateway transit.
+ Gunakan AWS Systems Manager tindakan untuk mengelola asosiasi SSM di instans Amazon EC2 saat Anda GuardDuty mengaktifkan Pemantauan Waktu Proses dengan agen otomatis untuk Amazon EC2. Ketika konfigurasi agen GuardDuty otomatis dinonaktifkan, GuardDuty pertimbangkan hanya instans EC2 yang memiliki tag inklusi (`GuardDutyManaged`:`true`).
+ Gunakan AWS Organizations tindakan untuk mendeskripsikan akun terkait dan ID organisasi.
+ Gunakan tindakan Amazon S3 untuk mengambil informasi tentang bucket dan objek S3.
+ Gunakan AWS Lambda tindakan untuk mengambil informasi tentang fungsi dan tag Lambda Anda.
+ Gunakan tindakan Amazon EKS untuk mengelola dan mengambil informasi tentang kluster EKS dan mengelola [add-on Amazon EKS di kluster EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html). Tindakan EKS juga mengambil informasi tentang tag yang terkait GuardDuty dengan.
+ Gunakan IAM untuk membuat Perlindungan Malware [Izin peran terkait layanan untuk Perlindungan Malware untuk EC2](slr-permissions-malware-protection.md) setelah EC2 diaktifkan.
+ Gunakan tindakan Amazon ECS untuk mengelola dan mengambil informasi tentang kluster Amazon ECS, dan mengelola setelan akun Amazon ECS. `guarddutyActivate` Tindakan yang berkaitan dengan Amazon ECS juga mengambil informasi tentang tag yang terkait dengannya. GuardDuty
Peran dikonfigurasi dengan [kebijakan AWS terkelola](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) berikut, bernama`AmazonGuardDutyServiceRolePolicy`.
Untuk meninjau izin kebijakan ini, lihat [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
Berikut ini adalah kebijakan kepercayaan yang dilampirkan ke peran yang terhubung dengan layanan `AWSServiceRoleForAmazonGuardDuty`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Untuk detail tentang pembaruan `AmazonGuardDutyServiceRolePolicy` kebijakan, lihat[GuardDuty pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Untuk peringatan otomatis tentang perubahan kebijakan ini, berlangganan umpan RSS di halaman. [Riwayat dokumen](doc-history.md)
## Membuat peran terkait layanan untuk GuardDuty
Peran `AWSServiceRoleForAmazonGuardDuty` terkait layanan dibuat secara otomatis saat Anda mengaktifkan GuardDuty untuk pertama kalinya atau mengaktifkan GuardDuty di Wilayah yang didukung di mana Anda sebelumnya tidak mengaktifkannya. Anda juga dapat membuat peran terkait layanan secara manual menggunakan konsol IAM, API IAM AWS CLI, atau IAM.
**penting**
Peran terkait layanan yang dibuat untuk akun administrator yang GuardDuty didelegasikan tidak berlaku untuk akun anggota. GuardDuty
Anda harus mengonfigurasi izin untuk mengizinkan prinsipal IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Agar peran `AWSServiceRoleForAmazonGuardDuty` terkait layanan berhasil dibuat, prinsipal IAM yang Anda gunakan harus memiliki GuardDuty izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut ke pengguna, grup, atau peran ini:
**catatan**
Ganti sampel *account ID* dalam contoh berikut dengan Akun AWS ID Anda yang sebenarnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Untuk informasi selengkapnya tentang membuat peran secara manual, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.
## Mengedit peran terkait layanan untuk GuardDuty
GuardDuty tidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForAmazonGuardDuty` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk GuardDuty
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dikelola secara aktif.
**penting**
Jika Anda telah mengaktifkan Perlindungan Malware untuk EC2, penghapusan `AWSServiceRoleForAmazonGuardDuty` tidak akan dihapus secara otomatis. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Jika ingin menghapus`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, lihat [Menghapus peran terkait layanan untuk Perlindungan Malware untuk EC2](slr-permissions-malware-protection#delete-slr).
Anda harus menonaktifkan GuardDuty terlebih dahulu di semua Wilayah di mana itu diaktifkan untuk menghapus`AWSServiceRoleForAmazonGuardDuty`. Jika GuardDuty layanan tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal. Untuk informasi selengkapnya, lihat [Menangguhkan atau menonaktifkan GuardDuty](guardduty_suspend-disable.md).
Ketika Anda menonaktifkan GuardDuty, `AWSServiceRoleForAmazonGuardDuty` tidak akan dihapus secara otomatis. Jika Anda mengaktifkan GuardDuty lagi, itu akan mulai menggunakan yang sudah ada`AWSServiceRoleForAmazonGuardDuty`.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait `AWSServiceRoleForAmazonGuardDuty` layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Didukung Wilayah AWS
Amazon GuardDuty mendukung penggunaan peran `AWSServiceRoleForAmazonGuardDuty` terkait layanan di semua Wilayah AWS tempat yang GuardDuty tersedia. Untuk daftar Wilayah yang saat ini GuardDuty tersedia, lihat [ GuardDuty titik akhir dan kuota Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) di. *Referensi Umum Amazon Web*