Permissões de função vinculadas ao serviço para GuardDuty - Amazon GuardDuty
Criação de uma função vinculada ao serviço para GuardDutyEditando uma função vinculada ao serviço para GuardDutyExcluindo uma função vinculada ao serviço para GuardDutySuportado Regiões da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de função vinculadas ao serviço para GuardDuty

GuardDuty usa a função vinculada ao serviço (SLR) chamada. AWSServiceRoleForAmazonGuardDuty A SLR permite GuardDuty realizar as seguintes tarefas. Também permite incluir GuardDuty os metadados recuperados pertencentes à instância do EC2 nas descobertas que GuardDuty podem gerar sobre a ameaça potencial. O perfil vinculado ao serviço AWSServiceRoleForAmazonGuardDuty confia no serviço guardduty.amazonaws.com para presumir o perfil.

As políticas de permissão ajudam a GuardDuty realizar as seguintes tarefas:

  • Use as ações do Amazon EC2 para gerenciar e recuperar informações sobre suas instâncias, imagens e componentes de rede do EC2 VPCs, como sub-redes e gateways de trânsito.

  • Use AWS Systems Manager ações para gerenciar associações de SSM em instâncias do Amazon EC2 ao GuardDuty ativar o Runtime Monitoring com um agente automatizado para o Amazon EC2. Quando a configuração GuardDuty automatizada do agente está desativada, GuardDuty considera somente as instâncias do EC2 que têm uma tag de inclusão (GuardDutyManaged:true).

  • Use AWS Organizations ações para descrever contas associadas e ID da organização.

  • Use as ações do Amazon S3 para recuperar informações sobre buckets e objetos do S3.

  • Use AWS Lambda ações para recuperar informações sobre suas funções e tags do Lambda.

  • Use as ações do Amazon EKS para gerenciar e recuperar informações sobre os clusters do EKS e gerenciar os complementos do Amazon EKS nos clusters do EKS. As ações do EKS também recuperam as informações sobre as tags associadas a. GuardDuty

  • Use o IAM para criar o Permissões de função vinculada ao serviço para Proteção contra malware para EC2 após a habilitação da Proteção contra malware para EC2.

  • Use as ações do Amazon ECS para gerenciar e recuperar informações sobre os clusters do Amazon ECS e gerenciar a configuração da conta do Amazon ECS com guarddutyActivate. As ações relacionadas ao Amazon ECS também recuperam as informações sobre as tags associadas a. GuardDuty

A função é configurada com a seguinte política gerenciada da AWS, denominada AmazonGuardDutyServiceRolePolicy.

Para verificar as permissões para esta política, consulte AmazonGuardDutyServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS .

Veja a seguir a política de confiança anexada à função vinculada a serviço AWSServiceRoleForAmazonGuardDuty:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para obter detalhes sobre atualizações da política do AmazonGuardDutyServiceRolePolicy, consulte GuardDuty atualizações nas políticas AWS gerenciadas. Para obter alertas automáticos sobre alterações feitas nesta política, inscreva-se no feed RSS na página Histórico do documento.

Criação de uma função vinculada ao serviço para GuardDuty

A função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço é criada automaticamente quando você a ativa GuardDuty pela primeira vez ou ativa GuardDuty em uma região compatível onde você não a tinha habilitada anteriormente. Você também pode criar a função vinculada ao serviço manualmente usando o console do IAM AWS CLI, o ou a API do IAM.

Importante

A função vinculada ao serviço criada para a conta de administrador GuardDuty delegado não se aplica às contas dos membros. GuardDuty

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço seja criada com sucesso, o principal do IAM GuardDuty com o qual você usa deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do :

nota

Substitua a amostra account ID no exemplo a seguir pelo seu Conta da AWS ID real.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}

Para mais informações sobre a criação da função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.

Editando uma função vinculada ao serviço para GuardDuty

GuardDuty não permite que você edite a função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para GuardDuty

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.

Importante

Se você habilitou a Proteção contra malware para EC2, a exclusão AWSServiceRoleForAmazonGuardDuty não exclui AWSServiceRoleForAmazonGuardDutyMalwareProtection automaticamente. Se você deseja excluir AWSServiceRoleForAmazonGuardDutyMalwareProtection, consulte Excluir uma função vinculada ao serviço para a Proteção contra malware para EC2.

Você deve primeiro desabilitar GuardDuty em todas as regiões em que está habilitado para excluir AWSServiceRoleForAmazonGuardDuty o. Se o GuardDuty serviço não for desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará. Para obter mais informações, consulte Suspensão ou desativação GuardDuty.

Quando você desativa GuardDuty, o AWSServiceRoleForAmazonGuardDuty não é excluído automaticamente. Se você ativar GuardDuty novamente, ele começará a usar o existenteAWSServiceRoleForAmazonGuardDuty.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a API do IAM para excluir a função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Suportado Regiões da AWS

A Amazon GuardDuty oferece suporte ao uso da função AWSServiceRoleForAmazonGuardDuty vinculada ao serviço em todos os Regiões da AWS lugares disponíveis GuardDuty . Para obter uma lista das regiões em que GuardDuty está disponível atualmente, consulte os GuardDuty endpoints e cotas da Amazon no. Referência geral da Amazon Web Services