AmazonGuardDutyFullAccess_v2 (recomendado)AmazonGuardDutyFullAccess AmazonGuardDutyReadOnlyAccess AmazonGuardDutyServiceRolePolicy Atualizações da política

AWS políticas gerenciadas para a Amazon GuardDuty

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia do usuário do IAM.

AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

O elemento de política Version especifica as regras de sintaxe de linguagem que devem ser usadas para processar uma política. As políticas a seguir incluem a versão atual compatível com o IAM. Para obter mais informações, consulte Elementos da política JSON do IAM: Versão.

AWS política gerenciada: AmazonGuardDutyFullAccess_v2 (recomendado)

É possível anexar a política AmazonGuardDutyFullAccess_v2 às suas identidades do IAM. Essa política permitirá que o usuário tenha acesso total para realizar todas as GuardDuty ações e acessar os recursos necessários. Between AmazonGuardDutyFullAccess_v2 and AmazonGuardDutyFullAccess, GuardDuty recomenda anexar AmazonGuardDutyFullAccess_v2 porque oferece segurança aprimorada e restringe as ações administrativas aos diretores de GuardDuty serviços.

Detalhes de permissões

A política AmazonGuardDutyFullAccess_v2 inclui as seguintes permissões:

GuardDuty— Permite aos usuários acesso total a todas as GuardDuty ações.
IAM:
- Permite que os usuários criem uma GuardDuty função vinculada ao serviço.
- Permite visualizar e gerenciar funções do IAM e suas políticas para GuardDuty.
- Permite que os usuários passem uma função para GuardDuty o. GuardDuty usa essa função para ativar a Proteção contra Malware para S3 e verificar se há malware em objetos do S3. GuardDuty também usa essa função para iniciar escaneamentos do Malware Protection for Backup AWS .
- A permissão para realizar uma ação iam:GetRole no AWSServiceRoleForAmazonGuardDutyMalwareProtection estabelece se o perfil vinculado ao serviço (SLR) da Proteção contra malware existe em uma conta.
Organizations:
- Permita que os usuários leiam (visualizem) a estrutura GuardDuty organizacional e as contas.
- Permite que os usuários designem um administrador delegado e gerenciem os membros de uma GuardDuty organização.

Para revisar as permissões dessa política, consulte AmazonGuardDutyFullAccess_v2 no Guia de referência de políticas AWS gerenciadas.

AWS política gerenciada: AmazonGuardDutyFullAccess

É possível anexar a política AmazonGuardDutyFullAccess às suas identidades do IAM.

Importante

Para maior segurança e permissões restritivas aos diretores GuardDuty de serviços, recomendamos que você use. AWS política gerenciada: AmazonGuardDutyFullAccess_v2 (recomendado)

Essa política concede permissões administrativas que permitem ao usuário acesso total para realizar todas as GuardDuty ações e recursos.

Detalhes da permissão

Esta política inclui as seguintes permissões.

GuardDuty— Permite aos usuários acesso total a todas as GuardDuty ações.
IAM:
- Permite que os usuários criem a função GuardDuty vinculada ao serviço.
- Permite que uma conta de administrador seja ativada GuardDuty para contas de membros.
- Permite que os usuários passem uma função para GuardDuty o. GuardDuty usa essa função para ativar a Proteção contra Malware para S3 e verificar se há malware em objetos do S3. GuardDuty também usa essa função para iniciar escaneamentos do Malware Protection for Backup AWS .
Organizations— Permite que os usuários designem um administrador delegado e gerenciem os membros de uma GuardDuty organização.

A permissão para realizar uma ação iam:GetRole no AWSServiceRoleForAmazonGuardDutyMalwareProtection estabelece se o perfil vinculado ao serviço (SLR) da Proteção contra malware existe em uma conta.

Para verificar as permissões para esta política, consulte AmazonGuardDutyFullAccess no Guia de referência de políticas gerenciadas pela AWS .

AWS política gerenciada: AmazonGuardDutyReadOnlyAccess

É possível anexar a política AmazonGuardDutyReadOnlyAccess às suas identidades do IAM.

Essa política concede permissões somente para leitura que permitem ao usuário visualizar GuardDuty descobertas e detalhes da sua GuardDuty organização.

Detalhes das permissões

Esta política inclui as seguintes permissões.

GuardDuty— Permite que os usuários visualizem GuardDuty as descobertas e realizem operações de API que comecem com GetList, ouDescribe.
Organizations— permite que os usuários recuperem informações sobre a configuração GuardDuty da sua organização, incluindo detalhes da conta do administrador delegado.

Para verificar as permissões para esta política, consulte AmazonGuardDutyReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS .

AWS política gerenciada: AmazonGuardDutyServiceRolePolicy

Não é possível anexar a AmazonGuardDutyServiceRolePolicy às entidades do IAM. Essa política AWS gerenciada é anexada a uma função vinculada ao serviço que permite GuardDuty realizar ações em seu nome. Para obter mais informações, consulte Permissões de função vinculadas ao serviço para GuardDuty.

GuardDuty atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas GuardDuty desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do GuardDuty documento.

Alteração	Descrição	Data
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente	Foi adicionada a `cloudtrail:CreateServiceLinkedChannel` permissão para ativar um mecanismo adicional para consumir AWS CloudTrail eventos. `{ "Sid": "CloudTrailCreateServiceLinkedChannelSid", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:::channel/aws-service-channel/guardduty/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }`	25 de março de 2026
`AmazonGuardDutyFullAccess`: descontinuada	Esta política foi substituída por uma política com escopo reduzido chamada `AmazonGuardDutyFullAccess_v2`. Depois de 13 de março de 2026, você não poderá vincular a `AmazonGuardDutyFullAccess` política a novos usuários, grupos ou funções. Para obter mais informações, consulte AWS política gerenciada: AmazonGuardDutyFullAccess_v2 (recomendado).	13 de março de 2026
AmazonGuardDutyFullAccess_v2 – atualização para uma política existente	Permissão adicionada que permite passar uma função do IAM para GuardDuty quando você ativa a Proteção contra Malware para AWS Backup. `{ "Sid": "AllowPassRoleToMalwareProtection", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam:::role/", "Condition": { "StringEquals": { "iam:PassedToService": [ "malware-protection-plan.guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }`	19 de novembro de 2025
AmazonGuardDutyFullAccess – atualização para uma política existente	Permissão adicionada que permite passar uma função do IAM para GuardDuty quando você ativa a Proteção contra Malware para AWS Backup. `{ "Sid": "AllowPassRoleToMalwareProtection", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam:::role/", "Condition": { "StringEquals": { "iam:PassedToService": [ "malware-protection-plan.guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }`	19 de novembro de 2025
AmazonGuardDutyFullAccess_v2 - Adicionou uma nova política	Nova política AmazonGuardDutyFullAccess_v2 adicionada. Isso é recomendado porque suas permissões aumentam a segurança ao restringir as ações administrativas aos diretores GuardDuty de serviços com base nas funções, políticas e integração do IAM. AWS Organizations	04 de junho de 2025
AmazonGuardDutyServiceRolePolicy – atualização para uma política existente	Adicionou a permissão `ec2:DescribeVpcs`. Isso permite rastrear GuardDuty as atualizações da VPC, como a recuperação do CIDR da VPC.	22 de agosto de 2024
AmazonGuardDutyFullAccess – atualização para uma política existente	Permissão adicionada que permite que você passe uma função do IAM para GuardDuty quando você ativa a Proteção contra Malware para S3. `{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam:::role/", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } }`	10 de junho de 2024
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente.	Use AWS Systems Manager ações para gerenciar associações de SSM em instâncias do Amazon EC2 ao GuardDuty habilitar o Runtime Monitoring com agente automatizado para o Amazon EC2. Quando a configuração GuardDuty automatizada do agente está desativada, GuardDuty considera somente as instâncias do EC2 que têm uma tag de inclusão (`GuardDutyManaged`:`true`).	26 de março de 2024
AmazonGuardDutyServiceRolePolicy: atualizar para uma política existente.	GuardDuty adicionou uma nova permissão: `organization:DescribeOrganization` recuperar o ID da organização da conta compartilhada da Amazon VPC e definir a política de endpoint do Amazon VPC com o ID da organização.	9 de fevereiro de 2024
AmazonGuardDutyMalwareProtectionServiceRolePolicy: atualizar para uma política existente.	O Malware Protection for EC2 adicionou duas permissões: obter o snapshot de um volume do EBS (usando criptografia Chave gerenciada pela AWS) do seu Conta da AWS e copiá-lo para a conta de GuardDuty serviço antes de iniciar a verificação de malware. `GetSnapshotBlock` `ListSnapshotBlocks`	25 de janeiro de 2024
AmazonGuardDutyServiceRolePolicy – atualização para uma política existente	Foram adicionadas novas permissões GuardDuty para permitir adicionar configurações de conta do `guarddutyActivate` Amazon ECS e realizar operações de lista e descrição nos clusters do Amazon ECS.	26 de novembro de 2023
AmazonGuardDutyReadOnlyAccess – atualização para uma política existente	GuardDuty adicionou uma nova política `organizations` para `ListAccounts` o.	16 de novembro de 2023
AmazonGuardDutyFullAccess – atualização para uma política existente	GuardDuty adicionou uma nova política `organizations` para `ListAccounts` o.	16 de novembro de 2023
AmazonGuardDutyServiceRolePolicy – atualização para uma política existente	GuardDuty adicionou novas permissões para oferecer suporte ao próximo recurso de monitoramento de tempo de execução do GuardDuty EKS.	8 de março de 2023
AmazonGuardDutyServiceRolePolicy – atualização para uma política existente	GuardDuty adicionou novas permissões para permitir GuardDuty a criação de uma função vinculada ao serviço para proteção contra malware para EC2. Isso ajudará a GuardDuty simplificar o processo de ativação da Proteção contra Malware para o EC2. GuardDuty agora pode realizar a seguinte ação do IAM: `{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }`	21 de fevereiro de 2023
AmazonGuardDutyFullAccess – atualização para uma política existente	GuardDuty ARN atualizado para`iam:GetRole`. `*AWSServiceRoleForAmazonGuardDutyMalwareProtection`	26 de julho de 2022
AmazonGuardDutyFullAccess: atualização para uma política existente	GuardDuty adicionou uma nova `AWSServiceName` para permitir a criação de uma função vinculada a serviços usando o `iam:CreateServiceLinkedRole` serviço GuardDuty Malware Protection for EC2. GuardDuty agora pode realizar a `iam:GetRole` ação para obter informações`AWSServiceRole`.	26 de julho de 2022
AmazonGuardDutyServiceRolePolicy: atualização para uma política existente	GuardDuty adicionou novas permissões GuardDuty para permitir o uso das ações de rede do Amazon EC2 para melhorar as descobertas. GuardDuty agora você pode realizar as seguintes ações do EC2 para obter informações sobre como suas instâncias do EC2 estão se comunicando. Essas informações são usadas para melhorar a precisão da descoberta. `ec2:DescribeVpcEndpoints` `ec2:DescribeSubnets` `ec2:DescribeVpcPeeringConnections` `ec2:DescribeTransitGatewayAttachments`	3 de agosto de 2021
GuardDuty começou a rastrear as alterações	GuardDuty começou a rastrear as mudanças em suas políticas AWS gerenciadas.	3 de agosto de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões de função vinculada ao serviço para Proteção contra malware para EC2

Solução de problemas