As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS políticas gerenciadas para a Amazon GuardDuty
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
O elemento de política `Version` especifica as regras de sintaxe de linguagem que devem ser usadas para processar uma política. As políticas a seguir incluem a versão atual compatível com o IAM. Para obter mais informações, consulte [Elementos da política JSON do IAM: Versão](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html).
## AWS política gerenciada: AmazonGuardDutyFullAccess\$1v2 (recomendado)
É possível anexar a política AmazonGuardDutyFullAccess\$1v2 às suas identidades do IAM. Essa política permitirá que o usuário tenha acesso total para realizar todas as GuardDuty ações e acessar os recursos necessários. Between AmazonGuardDutyFullAccess\$1v2 and AmazonGuardDutyFullAccess, GuardDuty recomenda anexar AmazonGuardDutyFullAccess\$1v2 porque oferece segurança aprimorada e restringe as ações administrativas aos diretores de GuardDuty serviços.
### Detalhes de permissões
A política AmazonGuardDutyFullAccess\$1v2 inclui as seguintes permissões:
+ `GuardDuty`— Permite aos usuários acesso total a todas as GuardDuty ações.
+ `IAM`:
+ Permite que os usuários criem uma GuardDuty função vinculada ao serviço.
+ Permite visualizar e gerenciar funções do IAM e suas políticas para GuardDuty.
+ Permite que os usuários passem uma função para GuardDuty o. GuardDuty usa essa função para ativar a Proteção contra Malware para S3 e verificar se há malware em objetos do S3. GuardDuty também usa essa função para iniciar escaneamentos do Malware Protection for Backup AWS .
+ A permissão para realizar uma ação `iam:GetRole` no `AWSServiceRoleForAmazonGuardDutyMalwareProtection` estabelece se o perfil vinculado ao serviço (SLR) da Proteção contra malware existe em uma conta.
+ `Organizations`:
+ Permita que os usuários leiam (visualizem) a estrutura GuardDuty organizacional e as contas.
+ Permite que os usuários designem um administrador delegado e gerenciem os membros de uma GuardDuty organização.
Para revisar as permissões dessa política, consulte [AmazonGuardDutyFullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess_v2.html) no Guia de *referência de políticas AWS gerenciadas*.
## AWS política gerenciada: AmazonGuardDutyFullAccess
É possível anexar a política `AmazonGuardDutyFullAccess` às suas identidades do IAM.
**Importante**
Para maior segurança e permissões restritivas aos diretores GuardDuty de serviços, recomendamos que você use. [AWS política gerenciada: AmazonGuardDutyFullAccess\$1v2 (recomendado)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)
Essa política concede permissões administrativas que permitem ao usuário acesso total para realizar todas as GuardDuty ações e recursos.
### Detalhes da permissão
Esta política inclui as seguintes permissões.
+ `GuardDuty`— Permite aos usuários acesso total a todas as GuardDuty ações.
+ `IAM`:
+ Permite que os usuários criem a função GuardDuty vinculada ao serviço.
+ Permite que uma conta de administrador seja ativada GuardDuty para contas de membros.
+ Permite que os usuários passem uma função para GuardDuty o. GuardDuty usa essa função para ativar a Proteção contra Malware para S3 e verificar se há malware em objetos do S3. GuardDuty também usa essa função para iniciar escaneamentos do Malware Protection for Backup AWS .
+ `Organizations`— Permite que os usuários designem um administrador delegado e gerenciem os membros de uma GuardDuty organização.
A permissão para realizar uma ação `iam:GetRole` no `AWSServiceRoleForAmazonGuardDutyMalwareProtection` estabelece se o perfil vinculado ao serviço (SLR) da Proteção contra malware existe em uma conta.
Para verificar as permissões para esta política, consulte [AmazonGuardDutyFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AmazonGuardDutyReadOnlyAccess
É possível anexar a política `AmazonGuardDutyReadOnlyAccess` às suas identidades do IAM.
Essa política concede permissões somente para leitura que permitem ao usuário visualizar GuardDuty descobertas e detalhes da sua GuardDuty organização.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `GuardDuty`— Permite que os usuários visualizem GuardDuty as descobertas e realizem operações de API que comecem com `Get``List`, ou`Describe`.
+ `Organizations`— permite que os usuários recuperem informações sobre a configuração GuardDuty da sua organização, incluindo detalhes da conta do administrador delegado.
Para verificar as permissões para esta política, consulte [AmazonGuardDutyReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyReadOnlyAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AmazonGuardDutyServiceRolePolicy
Não é possível anexar a `AmazonGuardDutyServiceRolePolicy` às entidades do IAM. Essa política AWS gerenciada é anexada a uma função vinculada ao serviço que permite GuardDuty realizar ações em seu nome. Para obter mais informações, consulte [Permissões de função vinculadas ao serviço para GuardDuty](slr-permissions.md).
## GuardDuty atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas GuardDuty desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do GuardDuty documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): atualizar para uma política existente | Foi adicionada a `cloudtrail:CreateServiceLinkedChannel` permissão para ativar um mecanismo adicional para consumir AWS CloudTrail eventos. {
"Sid": "CloudTrailCreateServiceLinkedChannelSid",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateServiceLinkedChannel"
],
"Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/guardduty/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
} | 25 de março de 2026 |
| AmazonGuardDutyFullAccess: descontinuada | Esta política foi substituída por uma política com escopo reduzido chamada `AmazonGuardDutyFullAccess_v2`. Depois **de 13 de março de 2026**, você não poderá vincular a `AmazonGuardDutyFullAccess` política a novos usuários, grupos ou funções. Para obter mais informações, consulte [AWS política gerenciada: AmazonGuardDutyFullAccess\$1v2 (recomendado)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2). | 13 de março de 2026 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) – atualização para uma política existente | Permissão adicionada que permite passar uma função do IAM para GuardDuty quando você ativa a Proteção contra Malware para AWS Backup. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 19 de novembro de 2025 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – atualização para uma política existente | Permissão adicionada que permite passar uma função do IAM para GuardDuty quando você ativa a Proteção contra Malware para AWS Backup. {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 19 de novembro de 2025 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) - Adicionou uma nova política | Nova política AmazonGuardDutyFullAccess\$1v2 adicionada. Isso é recomendado porque suas permissões aumentam a segurança ao restringir as ações administrativas aos diretores GuardDuty de serviços com base nas funções, políticas e integração do IAM. AWS Organizations | 04 de junho de 2025 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – atualização para uma política existente | Adicionou a permissão `ec2:DescribeVpcs`. Isso permite rastrear GuardDuty as atualizações da VPC, como a recuperação do CIDR da VPC. | 22 de agosto de 2024 |
| [AmazonGuardDutyFullAccess](slr-permissions.md) – atualização para uma política existente | Permissão adicionada que permite que você passe uma função do IAM para GuardDuty quando você ativa a Proteção contra Malware para S3. {
"Sid": "AllowPassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
} | 10 de junho de 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): atualizar para uma política existente. | Use AWS Systems Manager ações para gerenciar associações de SSM em instâncias do Amazon EC2 ao GuardDuty habilitar o Runtime Monitoring com agente automatizado para o Amazon EC2. Quando a configuração GuardDuty automatizada do agente está desativada, GuardDuty considera somente as instâncias do EC2 que têm uma tag de inclusão (`GuardDutyManaged`:`true`). | 26 de março de 2024 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): atualizar para uma política existente. | GuardDuty adicionou uma nova permissão: `organization:DescribeOrganization` recuperar o ID da organização da conta compartilhada da Amazon VPC e definir a política de endpoint do Amazon VPC com o ID da organização. | 9 de fevereiro de 2024 |
| [AmazonGuardDutyMalwareProtectionServiceRolePolicy](slr-permissions-malware-protection.md): atualizar para uma política existente. | O Malware Protection for EC2 adicionou duas permissões: obter o snapshot de um volume do EBS (usando criptografia Chave gerenciada pela AWS) do seu Conta da AWS e copiá-lo para a conta de GuardDuty serviço antes de iniciar a verificação de malware. `GetSnapshotBlock` `ListSnapshotBlocks` | 25 de janeiro de 2024 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy) – atualização para uma política existente | Foram adicionadas novas permissões GuardDuty para permitir adicionar configurações de conta do `guarddutyActivate` Amazon ECS e realizar operações de lista e descrição nos clusters do Amazon ECS. | 26 de novembro de 2023 |
| [AmazonGuardDutyReadOnlyAccess](#security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess) – atualização para uma política existente | GuardDuty adicionou uma nova política organizations para ListAccounts o. | 16 de novembro de 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – atualização para uma política existente | GuardDuty adicionou uma nova política organizations para ListAccounts o. | 16 de novembro de 2023 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – atualização para uma política existente | GuardDuty adicionou novas permissões para oferecer suporte ao próximo recurso de monitoramento de tempo de execução do GuardDuty EKS. | 8 de março de 2023 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy) – atualização para uma política existente | GuardDuty adicionou novas permissões para permitir GuardDuty a criação de uma [função vinculada ao serviço para proteção contra malware para](slr-permissions-malware-protection.md) EC2. Isso ajudará a GuardDuty simplificar o processo de ativação da Proteção contra Malware para o EC2. GuardDuty agora pode realizar a seguinte ação do IAM: {
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
} | 21 de fevereiro de 2023 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – atualização para uma política existente | GuardDuty ARN atualizado para`iam:GetRole`. `*AWSServiceRoleForAmazonGuardDutyMalwareProtection` | 26 de julho de 2022 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess): atualização para uma política existente | GuardDuty adicionou uma nova `AWSServiceName` para permitir a criação de uma função vinculada a serviços usando o `iam:CreateServiceLinkedRole` serviço GuardDuty Malware Protection for EC2. GuardDuty agora pode realizar a `iam:GetRole` ação para obter informações`AWSServiceRole`. | 26 de julho de 2022 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md): atualização para uma política existente | GuardDuty adicionou novas permissões GuardDuty para permitir o uso das ações de rede do Amazon EC2 para melhorar as descobertas. GuardDuty agora você pode realizar as seguintes ações do EC2 para obter informações sobre como suas instâncias do EC2 estão se comunicando. Essas informações são usadas para melhorar a precisão da descoberta. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/security-iam-awsmanpol.html) | 3 de agosto de 2021 |
| GuardDuty começou a rastrear as alterações | GuardDuty começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 3 de agosto de 2021 |