Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS politiche gestite per Amazon GuardDuty
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
L'elemento della policy `Version` specifica le regole sintattiche di linguaggio che devono essere utilizzate per elaborare una policy. Le seguenti politiche includono la versione corrente supportata da IAM. Per ulteriori informazioni, consulta [IAM JSON Policy elements: Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
## AWS politica gestita: AmazonGuardDutyFullAccess\_v2 (consigliata)
È possibile allegare la policy AmazonGuardDutyFullAccess\_v2 alle identità IAM. Questa politica consentirà a un utente l'accesso completo per eseguire tutte le GuardDuty azioni e accedere alle risorse richieste. Between AmazonGuardDutyFullAccess\_v2 and AmazonGuardDutyFullAccess, GuardDuty consiglia il collegamento AmazonGuardDutyFullAccess\_v2 perché offre una maggiore sicurezza e limita le azioni amministrative ai responsabili del GuardDuty servizio.
### Dettagli dell’autorizzazione
La AmazonGuardDutyFullAccess\_v2 politica include le seguenti autorizzazioni:
+ `GuardDuty`— Consente agli utenti l'accesso completo a tutte le GuardDuty azioni.
+ `IAM`:
+ Consente agli utenti di creare ruoli GuardDuty collegati al servizio.
+ Consente di visualizzare e gestire i ruoli IAM e le relative politiche per. GuardDuty
+ Consente agli utenti di passare un ruolo a GuardDuty. GuardDuty utilizza questo ruolo per abilitare Malware Protection for S3 e scansionare gli oggetti S3 alla ricerca di malware. GuardDuty utilizza questo ruolo anche per avviare scansioni per Malware Protection for Backup AWS .
+ L'autorizzazione a eseguire un'`iam:GetRole`azione `AWSServiceRoleForAmazonGuardDutyMalwareProtection` stabilisce se il ruolo collegato al servizio (SLR) per Malware Protection for EC2 esiste in un account.
+ `Organizations`:
+ Consenti agli utenti di leggere (visualizzare) GuardDuty la struttura organizzativa e gli account.
+ Consente agli utenti di designare un amministratore delegato e gestire i membri di un' GuardDuty organizzazione.
*Per esaminare le autorizzazioni per questa politica, vedere [AmazonGuardDutyFullAccess\_v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess_v2.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AmazonGuardDutyFullAccess
È possibile allegare la policy `AmazonGuardDutyFullAccess` alle identità IAM.
**Importante**
Per una maggiore sicurezza e autorizzazioni restrittive ai responsabili GuardDuty del servizio, ti consigliamo di utilizzare. [AWS politica gestita: AmazonGuardDutyFullAccess\_v2 (consigliata)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)
Questa politica concede autorizzazioni amministrative che consentono a un utente l'accesso completo per eseguire tutte le azioni e le risorse. GuardDuty
### Dettagli dell’autorizzazione
Questa policy include le seguenti autorizzazioni:
+ `GuardDuty`— Consente agli utenti l'accesso completo a tutte le GuardDuty azioni.
+ `IAM`:
+ Consente agli utenti di creare il ruolo GuardDuty collegato al servizio.
+ Consente a un account amministratore di abilitare gli account GuardDuty dei membri.
+ Consente agli utenti di passare un ruolo a GuardDuty. GuardDuty utilizza questo ruolo per abilitare Malware Protection for S3 e scansionare gli oggetti S3 alla ricerca di malware. GuardDuty utilizza questo ruolo anche per avviare scansioni per Malware Protection for Backup AWS .
+ `Organizations`— Consente agli utenti di designare un amministratore delegato e gestire i membri di un'organizzazione. GuardDuty
L'autorizzazione a eseguire un'`iam:GetRole`azione `AWSServiceRoleForAmazonGuardDutyMalwareProtection` stabilisce se il ruolo collegato al servizio (SLR) per Malware Protection for EC2 esiste in un account.
*Per esaminare le autorizzazioni relative a questa policy, consulta la Managed Policy Reference [AmazonGuardDutyFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess.html)Guide.AWS *
## AWS politica gestita: AmazonGuardDutyReadOnlyAccess
È possibile allegare la policy `AmazonGuardDutyReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni di sola lettura che consentono a un utente di visualizzare GuardDuty i risultati e i dettagli dell'organizzazione. GuardDuty
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `GuardDuty`— Consente agli utenti di visualizzare GuardDuty i risultati ed eseguire operazioni API che iniziano con`Get`, o. `List` `Describe`
+ `Organizations`— Consente agli utenti di recuperare informazioni sulla configurazione GuardDuty dell'organizzazione, inclusi i dettagli dell'account amministratore delegato.
Per esaminare le autorizzazioni relative a questa politica, consulta [AmazonGuardDutyReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyReadOnlyAccess.html)la *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AmazonGuardDutyServiceRolePolicy
Non è possibile collegare `AmazonGuardDutyServiceRolePolicy`alle entità IAM. Questa policy AWS gestita è associata a un ruolo collegato al servizio che consente di eseguire azioni GuardDuty per conto dell'utente. Per ulteriori informazioni, consulta [Service-linked autorizzazioni di ruolo per GuardDuty](slr-permissions.md).
## GuardDuty aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite GuardDuty da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei GuardDuty documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento a una policy esistente | Sono state aggiunte le `s3:ListBucket` autorizzazioni per recuperare gli elenchi dei bucket S3 `ecs:DescribeTasks` e `ecs:DescribeTaskDefinition` le autorizzazioni per recuperare informazioni sulle attività e le definizioni delle attività di Amazon ECS. | 23 aprile 2026 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento di una policy esistente | È stata aggiunta l'`cloudtrail:CreateServiceLinkedChannel`autorizzazione per abilitare un meccanismo aggiuntivo per la fruizione AWS CloudTrail degli eventi.{
"Sid": "CloudTrailCreateServiceLinkedChannelSid",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateServiceLinkedChannel"
],
"Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/guardduty/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
} | 25 marzo 2026 |
| AmazonGuardDutyFullAccess: obsoleta | Questa policy è stata sostituita da una policy ad ambito ridotto denominata `AmazonGuardDutyFullAccess_v2`.
Dopo **il 13 marzo 2026**, non puoi allegare la `AmazonGuardDutyFullAccess` politica a nuovi utenti, gruppi o ruoli. Per ulteriori informazioni, consulta [AWS politica gestita: AmazonGuardDutyFullAccess\_v2 (consigliata)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2). | 13 marzo 2026 |
| [AmazonGuardDutyFullAccess\_v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione che consente di passare un ruolo IAM a GuardDuty quando si attiva Malware Protection for AWS Backup. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 19 novembre 2025 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione che consente di passare un ruolo IAM a GuardDuty quando si attiva Malware Protection for AWS Backup. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 19 novembre 2025 |
| [AmazonGuardDutyFullAccess\_v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)— Aggiunta una nuova politica | Aggiunta una nuova AmazonGuardDutyFullAccess\_v2 politica. Questa opzione è consigliata perché le relative autorizzazioni migliorano la sicurezza limitando le azioni amministrative ai responsabili dei GuardDuty servizi in base ai ruoli e alle policy di IAM e all'integrazione. AWS Organizations | 4 giugno 2025 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento di una policy esistente | È stata aggiunta l'`ec2:DescribeVpcs`autorizzazione. Ciò consente di GuardDuty tenere traccia degli aggiornamenti del VPC, ad esempio il recupero del VPC CIDR. | 22 agosto 2024 |
| [AmazonGuardDutyFullAccess](slr-permissions.md): aggiornamento di una policy esistente | È stata aggiunta un'autorizzazione che consente di assegnare un ruolo IAM a GuardDuty quando si attiva Malware Protection for S3.{
"Sid": "AllowPassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
} | 10 giugno 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiorna a una policy esistente. | Usa AWS Systems Manager le azioni per gestire le associazioni SSM sulle istanze Amazon EC2 quando GuardDuty abiliti il monitoraggio del runtime con agente automatizzato per Amazon EC2. Quando la configurazione GuardDuty automatizzata degli agenti è disabilitata, GuardDuty considera solo le istanze EC2 che hanno un tag di inclusione (:). `GuardDutyManaged` `true` | 26 marzo 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiorna a una policy esistente. | GuardDuty ha aggiunto una nuova autorizzazione: `organization:DescribeOrganization` recuperare l'ID dell'organizzazione dell'account Amazon VPC condiviso e impostare la policy degli endpoint Amazon VPC con l'ID dell'organizzazione. | 9 febbraio 2024 |
| [AmazonGuardDutyMalwareProtectionServiceRolePolicy](slr-permissions-malware-protection.md): aggiorna a una policy esistente. | Malware Protection for EC2 ha aggiunto due autorizzazioni: `GetSnapshotBlock` quella di `ListSnapshotBlocks` recuperare l'istantanea di un volume EBS (con crittografia Chiave gestita da AWS) dall'utente Account AWS e copiarla nell'account del GuardDuty servizio prima di avviare la scansione antimalware. | 25 gennaio 2024 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy): aggiornamento di una policy esistente | Sono state aggiunte nuove autorizzazioni per consentire di GuardDuty aggiungere l'impostazione dell'account `guarddutyActivate` Amazon ECS ed eseguire operazioni, elencare e descrivere sui cluster Amazon ECS. | 26 novembre 2023 |
| [AmazonGuardDutyReadOnlyAccess](#security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess): aggiornamento di una policy esistente | GuardDuty ha aggiunto una nuova politica organizations per. ListAccounts | 16 novembre 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): aggiornamento di una policy esistente | GuardDuty ha aggiunto una nuova politica organizations perListAccounts. | 16 novembre 2023 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento di una policy esistente | GuardDuty ha aggiunto nuove autorizzazioni per supportare la prossima funzionalità GuardDuty EKS Runtime Monitoring. | 8 marzo 2023 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy): aggiornamento di una policy esistente | GuardDuty ha aggiunto nuove autorizzazioni per consentire GuardDuty la creazione di un [Service-linked ruolo per Malware Protection for EC2](slr-permissions-malware-protection.md). Ciò contribuirà a GuardDuty semplificare il processo di attivazione di Malware Protection for EC2.
GuardDuty ora può eseguire la seguente azione IAM:{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
} | 21 febbraio 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): aggiornamento di una policy esistente | GuardDuty ARN aggiornato per `iam:GetRole` to. `*AWSServiceRoleForAmazonGuardDutyMalwareProtection` | 26 luglio 2022 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): aggiornamento di una policy esistente | GuardDuty ha aggiunto un nuovo `AWSServiceName` per consentire la creazione di ruoli collegati al servizio utilizzando il servizio GuardDuty Malware Protection `iam:CreateServiceLinkedRole` for EC2.
GuardDuty ora può eseguire l'`iam:GetRole`azione per ottenere informazioni per. `AWSServiceRole` | 26 luglio 2022 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): aggiornamento di una policy esistente | GuardDuty ha aggiunto nuove autorizzazioni per consentire di GuardDuty utilizzare le azioni di rete di Amazon EC2 per migliorare i risultati.
GuardDuty ora puoi eseguire le seguenti azioni EC2 per ottenere informazioni su come comunicano le tue istanze EC2. Queste informazioni vengono utilizzate per migliorare la precisione degli esiti.[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/security-iam-awsmanpol.html) | 3 agosto 2021 |
| GuardDuty ha iniziato a tenere traccia delle modifiche | GuardDuty ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 3 agosto 2021 |