Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di ruoli collegati ai servizi per Amazon GuardDuty
Amazon GuardDuty utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato al servizio (SLR) è un tipo unico di ruolo IAM a cui è collegato direttamente. GuardDuty I ruoli collegati ai servizi sono predefiniti GuardDuty e includono tutte le autorizzazioni necessarie per chiamare altri servizi per GuardDuty tuo conto. AWS
Con il ruolo collegato al servizio, puoi eseguire la configurazione GuardDuty senza aggiungere manualmente le autorizzazioni necessarie. GuardDuty definisce le autorizzazioni del suo ruolo collegato al servizio e, a meno che le autorizzazioni non siano definite diversamente, solo può assumere il ruolo. GuardDuty Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
GuardDuty supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui è disponibile. GuardDuty Per ulteriori informazioni, consulta [Regioni ed endpoint](guardduty_regions.md).
È possibile eliminare il ruolo GuardDuty collegato al servizio solo dopo la prima disabilitazione GuardDuty in tutte le regioni in cui è abilitato. In questo modo proteggi GuardDuty le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedervi.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l'utente IAM* e cerca i servizi che riportano **Sì **nella colonna **Ruoli collegati al servizi**. Scegliere **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
# Autorizzazioni di ruolo collegate al servizio per GuardDuty
GuardDuty utilizza il ruolo collegato al servizio (SLR) denominato. `AWSServiceRoleForAmazonGuardDuty` La SLR consente di GuardDuty eseguire le seguenti attività. Consente inoltre di GuardDuty includere i metadati recuperati appartenenti all'istanza EC2 nei risultati che GuardDuty possono generare sulla potenziale minaccia. Ai fini dell'assunzione del ruolo `AWSServiceRoleForAmazonGuardDuty`, il ruolo collegato ai servizi `guardduty.amazonaws.com`considera attendibile il servizio.
Le politiche di autorizzazione aiutano a GuardDuty svolgere le seguenti attività:
+ Usa le azioni di Amazon EC2 per gestire e recuperare informazioni sulle tue istanze EC2, immagini e componenti di rete come VPCs sottoreti e gateway di transito.
+ Usa AWS Systems Manager le azioni per gestire le associazioni SSM sulle istanze Amazon EC2 quando GuardDuty abiliti il monitoraggio del runtime con agente automatizzato per Amazon EC2. Quando la configurazione GuardDuty automatizzata degli agenti è disabilitata, GuardDuty considera solo le istanze EC2 che hanno un tag di inclusione (:). `GuardDutyManaged` `true`
+ Utilizza AWS Organizations le azioni per descrivere gli account e l'ID dell'organizzazione associati.
+ Utilizzare le operazioni di Amazon S3 per recuperare informazioni su bucket e oggetti S3.
+ Usa AWS Lambda le azioni per recuperare informazioni sulle funzioni e sui tag Lambda.
+ Utilizzare le operazioni di Amazon EKS per gestire e recuperare informazioni sui cluster EKS e gestire i [Componenti aggiuntivi di Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) su questi cluster. Le azioni EKS recuperano anche le informazioni sui tag associati a. GuardDuty
+ Usa IAM per creare il Malware Protection for EC2 [Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2](slr-permissions-malware-protection.md) dopo che è stata abilitata.
+ Utilizza le azioni Amazon ECS per gestire e recuperare informazioni sui cluster Amazon ECS e gestisci le impostazioni dell'account Amazon ECS con. `guarddutyActivate` Le azioni relative ad Amazon ECS recuperano anche le informazioni sui tag associati a. GuardDuty
Il ruolo è configurato con le seguenti [policy gestite da AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), denominate `AmazonGuardDutyServiceRolePolicy`.
Per esaminare le autorizzazioni relative a questa politica, consulta la *AWS Managed* Policy [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)Reference Guide.
Di seguito è riportata la policy di attendibilità associata al ruolo collegato ai servizi `AWSServiceRoleForAmazonGuardDuty`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Per i dettagli sugli aggiornamenti della `AmazonGuardDutyServiceRolePolicy` politica, consulta[GuardDuty aggiornamenti alle politiche gestite AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Per ricevere avvisi automatici sulle modifiche a questa politica, iscriviti al feed RSS presente nella [Cronologia dei documenti](doc-history.md) pagina.
## Creazione di un ruolo collegato al servizio per GuardDuty
Il ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio viene creato automaticamente quando lo si abilita GuardDuty per la prima volta o si abilita GuardDuty in una regione supportata in cui in precedenza non era abilitato. Puoi anche creare il ruolo collegato al servizio manualmente utilizzando la console IAM, l'o l'API AWS CLI IAM.
**Importante**
Il ruolo collegato al servizio creato per l'account amministratore GuardDuty delegato non si applica agli account dei membri. GuardDuty
Per consentire a un principale IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. `AWSServiceRoleForAmazonGuardDuty`Affinché il ruolo collegato al servizio venga creato correttamente, il principale IAM con cui lo utilizzi deve disporre delle autorizzazioni GuardDuty richieste. Per concedere le autorizzazioni richieste, collega la seguente policy gestita a questo utente, gruppo o ruolo .
**Nota**
Sostituisci l'esempio riportato *account ID* nell'esempio seguente con il tuo ID effettivo. Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
## Modifica di un ruolo collegato al servizio per GuardDuty
GuardDuty non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonGuardDuty` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per GuardDuty
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
**Importante**
Se hai abilitato Malware Protection for EC2, l'eliminazione non comporta l'eliminazione automatica`AWSServiceRoleForAmazonGuardDuty`. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Se desideri eliminare`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, consulta [Eliminazione di un ruolo collegato al servizio per Malware Protection for EC2](slr-permissions-malware-protection#delete-slr).
Devi prima disabilitarlo GuardDuty in tutte le regioni in cui è abilitato per eliminare il. `AWSServiceRoleForAmazonGuardDuty` Se il GuardDuty servizio non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione non riesce. Per ulteriori informazioni, consulta [Sospensione o disabilitazione GuardDuty](guardduty_suspend-disable.md).
Quando si disattiva GuardDuty, `AWSServiceRoleForAmazonGuardDuty` non viene eliminato automaticamente. Se lo abiliti GuardDuty nuovamente, inizierà a utilizzare l'esistente`AWSServiceRoleForAmazonGuardDuty`.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l'API IAM per eliminare il ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Supportato Regioni AWS
Amazon GuardDuty supporta l'utilizzo del ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio Regioni AWS ovunque GuardDuty sia disponibile. Per un elenco delle regioni in cui GuardDuty è attualmente disponibile, consulta gli [ GuardDuty endpoint e le quote di Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) nel. *Riferimenti generali di Amazon Web Services*
# Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2
Malware Protection for EC2 utilizza il ruolo collegato al servizio (SLR) denominato. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Questa reflex consente a Malware Protection for EC2 di eseguire scansioni senza agenti per rilevare malware nel tuo account. GuardDuty Consente di GuardDuty creare un'istantanea del volume EBS nel tuo account e condividerla con l'account del servizio. GuardDuty Dopo aver GuardDuty valutato l'istantanea, include i metadati del carico di lavoro dell'istanza EC2 e del contenitore recuperati nei risultati di Malware Protection for EC2. Ai fini dell'assunzione del ruolo `AWSServiceRoleForAmazonGuardDutyMalwareProtection`, il ruolo collegato ai servizi `malware-protection.guardduty.amazonaws.com`considera attendibile il servizio.
Le politiche di autorizzazione per questo ruolo aiutano Malware Protection for EC2 a svolgere le seguenti attività:
+ Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle istanze, i volumi e le istantanee di Amazon EC2. Malware Protection for EC2 fornisce anche l'autorizzazione per accedere ai metadati dei cluster Amazon EKS e Amazon ECS.
+ Crea snapshot per volumi EBS con il tag `GuardDutyExcluded` non impostato su `true`. Per impostazione predefinita, gli snapshot vengono creati con un tag `GuardDutyScanId`. Non rimuovere questo tag, altrimenti Malware Protection for EC2 non avrà accesso alle istantanee.
**Importante**
Se lo `GuardDutyExcluded` imposti su`true`, il GuardDuty servizio non sarà in grado di accedere a queste istantanee in futuro. Questo perché le altre istruzioni di questo ruolo collegato al servizio GuardDuty impediscono di eseguire qualsiasi azione sulle istantanee impostate su. `GuardDutyExcluded` `true`
+ Consenti la condivisione e l'eliminazione degli snapshot solo se il tag `GuardDutyScanId` esiste e se il tag `GuardDutyExcluded` non è impostato su `true`.
**Nota**
Non consente a Malware Protection for EC2 di rendere pubbliche le istantanee.
+ Accedi alle chiavi gestite dal cliente, ad eccezione di quelle con un `GuardDutyExcluded` tag impostato su`true`, da chiamare per creare e accedere `CreateGrant` a un volume EBS crittografato dall'istantanea crittografata che viene condivisa con l'account del servizio. GuardDuty Per un elenco degli account di GuardDuty servizio per ogni regione, consulta. [GuardDuty account di servizio di Regione AWS](gdu-service-account-region-list.md)
+ Accedi ai CloudWatch log dei clienti per creare il gruppo di log Malware Protection for EC2 e inserire i registri degli eventi di scansione del malware nel gruppo di log. `/aws/guardduty/malware-scan-events`
+ Consenti al cliente di decidere se conservare nel proprio account gli snapshot su cui è stato rilevato il malware. Se la scansione rileva malware, il ruolo collegato al servizio consente di aggiungere due tag GuardDuty alle istantanee: e. `GuardDutyFindingDetected` `GuardDutyExcluded`
**Nota**
Il tag `GuardDutyFindingDetected` specifica che gli snapshot contengono malware.
+ Determina se un volume è crittografato con una chiave gestita da EBS. GuardDuty esegue l'`DescribeKey`azione per determinare la `key Id` chiave gestita da EBS nel tuo account.
+ Recupera l'istantanea dei volumi EBS crittografati utilizzando Chiave gestita da AWS, dal tuo Account AWS e copiala su. [GuardDuty account di servizio](gdu-service-account-region-list.md) A tal fine, utilizziamo le autorizzazioni e. `GetSnapshotBlock` `ListSnapshotBlocks` GuardDuty eseguirà quindi la scansione dell'istantanea nell'account del servizio. Attualmente, il supporto Malware Protection for EC2 per la scansione di volumi EBS crittografati con Chiave gestita da AWS potrebbe non essere disponibile in tutti i. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità di funzionalità specifiche per ogni regione](guardduty_regions.md#gd-regional-feature-availability).
+ Consenti ad Amazon EC2 di effettuare chiamate per AWS KMS conto di Malware Protection for EC2 per eseguire diverse azioni crittografiche sulle chiavi gestite dal cliente. Operazioni come `kms:ReEncryptTo` e `kms:ReEncryptFrom` sono necessarie per condividere gli snapshot crittografati con le chiavi gestite dal cliente. Sono accessibili solo le chiavi per le quali il tag `GuardDutyExcluded` non è impostato su `true`.
Il ruolo è configurato con le seguenti [policy gestite da AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), denominate `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.
Per esaminare le autorizzazioni relative a questa policy, consulta la *AWS Managed* Policy [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)Reference Guide.
La policy di attendibilità seguente è associata al ruolo collegato ai servizi `AWSServiceRoleForAmazonGuardDutyMalwareProtection`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Creazione di un ruolo collegato al servizio per Malware Protection for EC2
Il ruolo `AWSServiceRoleForAmazonGuardDutyMalwareProtection` collegato al servizio viene creato automaticamente quando abiliti Malware Protection for EC2 per la prima volta o abiliti Malware Protection for EC2 in una regione supportata in cui in precedenza non era abilitato. Puoi anche creare il ruolo collegato ai servizi `AWSServiceRoleForAmazonGuardDutyMalwareProtection` manualmente, utilizzando la console IAM, la CLI IAM o l'API IAM.
**Nota**
Per impostazione predefinita, se sei un nuovo utente di Amazon GuardDuty, Malware Protection for EC2 è abilitato automaticamente.
**Importante**
Il ruolo collegato al servizio creato per l'account GuardDuty amministratore delegato non si applica agli account dei membri. GuardDuty
Per consentire a un principale IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. `AWSServiceRoleForAmazonGuardDutyMalwareProtection`Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM con cui utilizzi deve disporre delle autorizzazioni GuardDuty richieste. Per concedere le autorizzazioni richieste, collega la seguente policy gestita a questo utente, gruppo o ruolo .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
## Modifica di un ruolo collegato al servizio per Malware Protection for EC2
Malware Protection for EC2 non consente di modificare il ruolo collegato al servizio. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Malware Protection for EC2
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
**Importante**
Per eliminare il`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, devi prima disabilitare Malware Protection for EC2 in tutte le regioni in cui è abilitato.
Se Malware Protection for EC2 non è disabilitato quando tenti di eliminare il ruolo collegato al servizio, l'eliminazione avrà esito negativo. Assicurati di disabilitare innanzitutto Malware Protection for EC2 nel tuo account.
Quando scegli **Disattiva** per interrompere il servizio Malware Protection for EC2, non `AWSServiceRoleForAmazonGuardDutyMalwareProtection` viene eliminato automaticamente. Se poi scegli **Abilita** per avviare nuovamente il servizio Malware Protection for EC2, GuardDuty inizierà a utilizzare il servizio esistente. `AWSServiceRoleForAmazonGuardDutyMalwareProtection`
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM, la AWS CLI o l'API IAM per eliminare il ruolo collegato al `AWSServiceRoleForAmazonGuardDutyMalwareProtection` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Supportato Regioni AWS
Amazon GuardDuty supporta l'utilizzo del ruolo `AWSServiceRoleForAmazonGuardDutyMalwareProtection` collegato al servizio in tutti i paesi in Regioni AWS cui è disponibile Malware Protection for EC2.
Per un elenco delle regioni in cui GuardDuty è attualmente disponibile, consulta gli [ GuardDuty endpoint e le quote di Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) nel. *Riferimenti generali di Amazon Web Services*
**Nota**
Malware Protection for EC2 non è attualmente disponibile negli AWS GovCloud Stati Uniti orientali e AWS GovCloud negli Stati Uniti occidentali.