Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan peran terkait layanan untuk Amazon GuardDuty
Amazon GuardDuty menggunakan peran AWS Identity and Access Management [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Service-linked role (SLR) adalah jenis unik dari peran IAM yang ditautkan langsung ke. GuardDuty Peran terkait layanan telah ditentukan sebelumnya oleh GuardDuty dan menyertakan semua izin yang GuardDuty diperlukan untuk memanggil AWS layanan lain atas nama Anda.
Dengan peran terkait layanan, Anda dapat mengatur GuardDuty tanpa menambahkan izin yang diperlukan secara manual. GuardDuty mendefinisikan izin peran terkait layanan, dan kecuali izin ditentukan sebaliknya, hanya GuardDuty dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
GuardDuty mendukung penggunaan peran terkait layanan di semua Wilayah yang tersedia GuardDuty . Untuk informasi selengkapnya, lihat [Wilayah dan titik akhir](guardduty_regions.md).
Anda dapat menghapus peran GuardDuty terkait layanan hanya setelah pertama kali menonaktifkan GuardDuty di semua Wilayah yang diaktifkan. Ini melindungi GuardDuty sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengaksesnya.
Untuk informasi tentang layanan lain yang mendukung peran tertaut layanan, lihat [AWS layanan yang dapat digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) di *Panduan Pengguna IAM* dan cari layanan yang memiliki **Ya **di kolom **Peran Tertaut Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
# Izin peran terkait layanan untuk GuardDuty
GuardDuty menggunakan peran terkait layanan (SLR) bernama. `AWSServiceRoleForAmazonGuardDuty` SLR memungkinkan GuardDuty untuk melakukan tugas-tugas berikut. Ini juga memungkinkan GuardDuty untuk memasukkan metadata yang diambil milik instans EC2 dalam temuan yang GuardDuty dapat menghasilkan tentang potensi ancaman. Peran terkait layanan `AWSServiceRoleForAmazonGuardDuty` memercayai layanan `guardduty.amazonaws.com` untuk menjalankan peran.
Kebijakan izin membantu GuardDuty melakukan tugas-tugas berikut:
+ Gunakan tindakan Amazon EC2 untuk mengelola dan mengambil informasi tentang instans EC2, gambar, dan komponen jaringan Anda seperti subnet VPCs, dan gateway transit.
+ Gunakan AWS Systems Manager tindakan untuk mengelola asosiasi SSM di instans Amazon EC2 saat Anda GuardDuty mengaktifkan Pemantauan Waktu Proses dengan agen otomatis untuk Amazon EC2. Ketika konfigurasi agen GuardDuty otomatis dinonaktifkan, GuardDuty pertimbangkan hanya instans EC2 yang memiliki tag inklusi (`GuardDutyManaged`:`true`).
+ Gunakan AWS Organizations tindakan untuk mendeskripsikan akun terkait dan ID organisasi.
+ Gunakan tindakan Amazon S3 untuk mengambil informasi tentang bucket dan objek S3.
+ Gunakan AWS Lambda tindakan untuk mengambil informasi tentang fungsi dan tag Lambda Anda.
+ Gunakan tindakan Amazon EKS untuk mengelola dan mengambil informasi tentang kluster EKS dan mengelola [add-on Amazon EKS di kluster EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html). Tindakan EKS juga mengambil informasi tentang tag yang terkait GuardDuty dengan.
+ Gunakan IAM untuk membuat Perlindungan Malware [Izin peran terkait layanan untuk Perlindungan Malware untuk EC2](slr-permissions-malware-protection.md) setelah EC2 diaktifkan.
+ Gunakan tindakan Amazon ECS untuk mengelola dan mengambil informasi tentang kluster Amazon ECS, dan mengelola setelan akun Amazon ECS. `guarddutyActivate` Tindakan yang berkaitan dengan Amazon ECS juga mengambil informasi tentang tag yang terkait dengannya. GuardDuty
Peran dikonfigurasi dengan [kebijakan AWS terkelola](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) berikut, bernama`AmazonGuardDutyServiceRolePolicy`.
Untuk meninjau izin kebijakan ini, lihat [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
Berikut ini adalah kebijakan kepercayaan yang dilampirkan ke peran yang terhubung dengan layanan `AWSServiceRoleForAmazonGuardDuty`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Untuk detail tentang pembaruan `AmazonGuardDutyServiceRolePolicy` kebijakan, lihat[GuardDuty pembaruan kebijakan AWS terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Untuk peringatan otomatis tentang perubahan kebijakan ini, berlangganan umpan RSS di halaman. [Riwayat dokumen](doc-history.md)
## Membuat peran terkait layanan untuk GuardDuty
Peran `AWSServiceRoleForAmazonGuardDuty` terkait layanan dibuat secara otomatis saat Anda mengaktifkan GuardDuty untuk pertama kalinya atau mengaktifkan GuardDuty di Wilayah yang didukung di mana Anda sebelumnya tidak mengaktifkannya. Anda juga dapat membuat peran terkait layanan secara manual menggunakan konsol IAM, API IAM AWS CLI, atau IAM.
**penting**
Peran terkait layanan yang dibuat untuk akun administrator yang GuardDuty didelegasikan tidak berlaku untuk akun anggota. GuardDuty
Anda harus mengonfigurasi izin untuk mengizinkan prinsipal IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Agar peran `AWSServiceRoleForAmazonGuardDuty` terkait layanan berhasil dibuat, prinsipal IAM yang Anda gunakan harus memiliki GuardDuty izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut ke pengguna, grup, atau peran ini:
**catatan**
Ganti sampel *account ID* dalam contoh berikut dengan Akun AWS ID Anda yang sebenarnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Untuk informasi selengkapnya tentang membuat peran secara manual, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.
## Mengedit peran terkait layanan untuk GuardDuty
GuardDuty tidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForAmazonGuardDuty` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk GuardDuty
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dikelola secara aktif.
**penting**
Jika Anda telah mengaktifkan Perlindungan Malware untuk EC2, penghapusan `AWSServiceRoleForAmazonGuardDuty` tidak akan dihapus secara otomatis. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Jika ingin menghapus`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, lihat [Menghapus peran terkait layanan untuk Perlindungan Malware untuk EC2](slr-permissions-malware-protection#delete-slr).
Anda harus menonaktifkan GuardDuty terlebih dahulu di semua Wilayah di mana itu diaktifkan untuk menghapus`AWSServiceRoleForAmazonGuardDuty`. Jika GuardDuty layanan tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal. Untuk informasi selengkapnya, lihat [Menangguhkan atau menonaktifkan GuardDuty](guardduty_suspend-disable.md).
Ketika Anda menonaktifkan GuardDuty, `AWSServiceRoleForAmazonGuardDuty` tidak akan dihapus secara otomatis. Jika Anda mengaktifkan GuardDuty lagi, itu akan mulai menggunakan yang sudah ada`AWSServiceRoleForAmazonGuardDuty`.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait `AWSServiceRoleForAmazonGuardDuty` layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Didukung Wilayah AWS
Amazon GuardDuty mendukung penggunaan peran `AWSServiceRoleForAmazonGuardDuty` terkait layanan di semua Wilayah AWS tempat yang GuardDuty tersedia. Untuk daftar Wilayah yang saat ini GuardDuty tersedia, lihat [ GuardDuty titik akhir dan kuota Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) di. *Referensi Umum Amazon Web*
# Izin peran terkait layanan untuk Perlindungan Malware untuk EC2
Perlindungan Malware untuk EC2 menggunakan peran terkait layanan (SLR) bernama. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` SLR ini memungkinkan Perlindungan Malware untuk EC2 untuk melakukan pemindaian tanpa agen untuk mendeteksi malware di akun Anda. GuardDuty Ini memungkinkan GuardDuty untuk membuat snapshot volume EBS di akun Anda, dan berbagi snapshot itu dengan akun layanan. GuardDuty Setelah GuardDuty mengevaluasi snapshot, itu termasuk instans EC2 yang diambil dan metadata beban kerja kontainer dalam temuan Perlindungan Malware untuk EC2. Peran terkait layanan `AWSServiceRoleForAmazonGuardDutyMalwareProtection` memercayai layanan `malware-protection.guardduty.amazonaws.com` untuk menjalankan peran.
Kebijakan izin untuk peran ini membantu Perlindungan Malware untuk EC2 untuk melakukan tugas-tugas berikut:
+ Gunakan tindakan Amazon Elastic Compute Cloud (Amazon EC2) untuk mengambil informasi tentang instans, volume, dan snapshot Amazon EC2 Anda. Perlindungan Malware untuk EC2 juga memberikan izin untuk mengakses metadata cluster Amazon EKS dan Amazon ECS.
+ Buat snapshot untuk volume EBS yang `GuardDutyExcluded` tag belum disetel. `true` Secara default, snapshot dibuat dengan `GuardDutyScanId` tag. Jangan hapus tag ini, jika tidak, Perlindungan Malware untuk EC2 tidak akan memiliki akses ke snapshot.
**penting**
Saat Anda menyetel `GuardDutyExcluded` ke`true`, GuardDuty layanan tidak akan dapat mengakses snapshot ini di masa mendatang. Ini karena pernyataan lain dalam peran terkait layanan ini GuardDuty mencegah melakukan tindakan apa pun pada snapshot yang disetel ke`GuardDutyExcluded`. `true`
+ Izinkan berbagi dan menghapus snapshot hanya jika `GuardDutyScanId` tag ada dan `GuardDutyExcluded` tag tidak disetel ke. `true`
**catatan**
Tidak mengizinkan Perlindungan Malware untuk EC2 membuat snapshot publik.
+ Akses kunci terkelola pelanggan, kecuali yang memiliki `GuardDutyExcluded` tag yang disetel ke`true`, untuk memanggil `CreateGrant` untuk membuat dan mengakses volume EBS terenkripsi dari snapshot terenkripsi yang akan dibagikan dengan akun layanan. GuardDuty Untuk daftar akun GuardDuty layanan untuk setiap Wilayah, lihat[GuardDuty akun layanan oleh Wilayah AWS](gdu-service-account-region-list.md).
+ Akses CloudWatch log pelanggan untuk membuat grup log Perlindungan Malware untuk EC2 serta menempatkan log peristiwa pemindaian malware di bawah grup `/aws/guardduty/malware-scan-events` log.
+ Izinkan pelanggan untuk memutuskan apakah mereka ingin menyimpan snapshot di mana malware terdeteksi, di akun mereka. Jika pemindaian mendeteksi malware, peran terkait layanan memungkinkan GuardDuty untuk menambahkan dua tag ke snapshot - dan. `GuardDutyFindingDetected` `GuardDutyExcluded`
**catatan**
`GuardDutyFindingDetected`Tag menentukan bahwa snapshot berisi malware.
+ Tentukan apakah volume dienkripsi dengan kunci terkelola EBS. GuardDuty melakukan `DescribeKey` tindakan untuk menentukan kunci `key Id` yang dikelola EBS di akun Anda.
+ Ambil snapshot volume EBS yang dienkripsi menggunakan Kunci yang dikelola AWS, dari Anda Akun AWS dan salin ke file. [GuardDuty akun layanan](gdu-service-account-region-list.md) Untuk tujuan ini, kami menggunakan izin `GetSnapshotBlock` dan`ListSnapshotBlocks`. GuardDuty kemudian akan memindai snapshot di akun layanan. Saat ini, Perlindungan Malware untuk dukungan EC2 untuk memindai volume EBS yang dienkripsi Kunci yang dikelola AWS mungkin tidak tersedia di semua. Wilayah AWS Untuk informasi selengkapnya, lihat [Ketersediaan fitur khusus wilayah](guardduty_regions.md#gd-regional-feature-availability).
+ Izinkan Amazon EC2 menelepon AWS KMS atas nama Perlindungan Malware untuk EC2 untuk melakukan beberapa tindakan kriptografi pada kunci yang dikelola pelanggan. Tindakan seperti `kms:ReEncryptTo` dan `kms:ReEncryptFrom` diperlukan untuk berbagi snapshot yang dienkripsi dengan kunci yang dikelola pelanggan. Hanya kunci-kunci yang dapat diakses yang `GuardDutyExcluded` tag tidak disetel ke`true`.
Peran dikonfigurasi dengan [kebijakan AWS terkelola](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol) berikut, bernama`AmazonGuardDutyMalwareProtectionServiceRolePolicy`.
Untuk meninjau izin kebijakan ini, lihat [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
Kebijakan kepercayaan berikut dilampirkan pada peran `AWSServiceRoleForAmazonGuardDutyMalwareProtection` terkait layanan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Membuat peran terkait layanan untuk Perlindungan Malware untuk EC2
Peran `AWSServiceRoleForAmazonGuardDutyMalwareProtection` terkait layanan dibuat secara otomatis saat Anda mengaktifkan Perlindungan Malware untuk EC2 untuk pertama kalinya atau mengaktifkan Perlindungan Malware untuk EC2 di Wilayah yang didukung di mana Anda sebelumnya tidak mengaktifkannya. Anda juga dapat membuat peran tertaut layanan `AWSServiceRoleForAmazonGuardDutyMalwareProtection` secara manual menggunakan konsol IAM, CLI IAM, atau API IAM.
**catatan**
Secara default, jika Anda baru mengenal Amazon GuardDuty, Perlindungan Malware untuk EC2 diaktifkan secara otomatis.
**penting**
Peran terkait layanan yang dibuat untuk akun GuardDuty administrator yang didelegasikan tidak berlaku untuk akun anggota. GuardDuty
Anda harus mengonfigurasi izin untuk mengizinkan prinsipal IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Agar peran `AWSServiceRoleForAmazonGuardDutyMalwareProtection` terkait layanan berhasil dibuat, identitas IAM yang Anda gunakan harus memiliki GuardDuty izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut ke pengguna, grup, atau peran ini:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
Untuk informasi selengkapnya tentang membuat peran secara manual, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.
## Mengedit peran terkait layanan untuk Perlindungan Malware untuk EC2
Perlindungan Malware untuk EC2 tidak memungkinkan Anda mengedit peran `AWSServiceRoleForAmazonGuardDutyMalwareProtection` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Perlindungan Malware untuk EC2
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dikelola secara aktif.
**penting**
Untuk menghapus`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, Anda harus terlebih dahulu menonaktifkan Perlindungan Malware untuk EC2 di semua Wilayah di mana ia diaktifkan.
Jika Perlindungan Malware untuk EC2 tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal. Pastikan bahwa Anda pertama kali menonaktifkan Perlindungan Malware untuk EC2 di akun Anda.
Ketika Anda memilih **Nonaktifkan** untuk menghentikan Perlindungan Malware untuk layanan EC2, tidak dihapus secara otomatis. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Jika Anda kemudian memilih **Aktifkan** untuk memulai Perlindungan Malware untuk layanan EC2 lagi, GuardDuty akan mulai menggunakan yang ada`AWSServiceRoleForAmazonGuardDutyMalwareProtection`.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, AWS CLI, atau API IAM untuk menghapus `AWSServiceRoleForAmazonGuardDutyMalwareProtection` peran terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Didukung Wilayah AWS
Amazon GuardDuty mendukung penggunaan peran `AWSServiceRoleForAmazonGuardDutyMalwareProtection` terkait layanan di semua Wilayah AWS tempat Perlindungan Malware untuk EC2 tersedia.
Untuk daftar Wilayah yang saat ini GuardDuty tersedia, lihat [ GuardDuty titik akhir dan kuota Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) di. *Referensi Umum Amazon Web*
**catatan**
Perlindungan Malware untuk EC2 saat ini tidak tersedia di AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat).