As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Service-linked permissões de função para GuardDuty
<a name="slr-permissions"></a>

GuardDuty usa a função vinculada ao serviço (SLR) chamada. `AWSServiceRoleForAmazonGuardDuty` A SLR permite GuardDuty realizar as seguintes tarefas. Também permite incluir GuardDuty os metadados recuperados pertencentes à instância do EC2 nas descobertas que GuardDuty podem gerar sobre a ameaça potencial. O perfil vinculado ao serviço `AWSServiceRoleForAmazonGuardDuty` confia no serviço `guardduty.amazonaws.com` para presumir o perfil.

As políticas de permissão ajudam a GuardDuty realizar as seguintes tarefas:
+ Use as ações do Amazon EC2 para gerenciar e recuperar informações sobre suas instâncias, imagens e componentes de rede do EC2, como VPCs, sub-redes, gateways. 
+ Use AWS Systems Manager ações para gerenciar associações de SSM em instâncias do Amazon EC2 ao GuardDuty ativar o Runtime Monitoring com um agente automatizado para o Amazon EC2. Quando a configuração GuardDuty automatizada do agente está desativada, GuardDuty considera somente as instâncias do EC2 que têm uma tag de inclusão (`GuardDutyManaged`:`true`).
+ Use AWS Organizations ações para descrever contas associadas e ID da organização.
+ Use as ações do Amazon S3 para recuperar informações sobre buckets e objetos do S3.
+ Use AWS Lambda ações para recuperar informações sobre suas funções e tags do Lambda.
+ Use as ações do Amazon EKS para gerenciar e recuperar informações sobre os clusters do EKS e gerenciar os [complementos do Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) nos clusters do EKS. As ações do EKS também recuperam as informações sobre as tags associadas a. GuardDuty
+ Use o IAM para criar o [Service-linked permissões de função para Malware Protection for EC2](slr-permissions-malware-protection.md) após a habilitação da Proteção contra malware para EC2.
+ Use as ações do Amazon ECS para gerenciar e recuperar informações sobre os clusters do Amazon ECS, recuperar informações sobre tarefas e definições de tarefas e gerenciar a configuração da conta do Amazon ECS com. `guarddutyActivate` As ações relacionadas ao Amazon ECS também recuperam as informações sobre as tags associadas a. GuardDuty

A função é configurada com a seguinte [política gerenciada da AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), denominada `AmazonGuardDutyServiceRolePolicy`.

Para verificar as permissões para esta política, consulte [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.

Veja a seguir a política de confiança anexada à função vinculada a serviço `AWSServiceRoleForAmazonGuardDuty`:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Para obter detalhes sobre atualizações da política do `AmazonGuardDutyServiceRolePolicy`, consulte [GuardDuty atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Para obter alertas automáticos sobre alterações feitas nesta política, inscreva-se no feed RSS na página [Histórico do documento](doc-history.md).

## Criação de uma função vinculada ao serviço para GuardDuty
<a name="create-slr"></a>

A função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço é criada automaticamente quando você a ativa GuardDuty pela primeira vez ou ativa GuardDuty em uma região compatível onde você não a tinha habilitada anteriormente. Você também pode criar a função vinculada ao serviço manualmente usando o console do IAM AWS CLI, o ou a API do IAM. 

**Importante**  
A função vinculada ao serviço criada para a conta de administrador GuardDuty delegado não se aplica às contas dos membros. GuardDuty 

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço seja criada com sucesso, o principal do IAM GuardDuty com o qual você usa deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do : 

**nota**  
Substitua a amostra {{account ID}} no exemplo a seguir pelo seu Conta da AWS ID real.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::{{123456789012}}:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::{{123456789012}}:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}
```

------

Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

## Editando uma função vinculada ao serviço para GuardDuty
<a name="edit-slr"></a>

GuardDuty não permite que você edite a função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para GuardDuty
<a name="delete-slr"></a>

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. 

**Importante**  
Se você habilitou a Proteção contra malware para EC2, a exclusão `AWSServiceRoleForAmazonGuardDuty` não exclui `AWSServiceRoleForAmazonGuardDutyMalwareProtection` automaticamente. Se você deseja excluir `AWSServiceRoleForAmazonGuardDutyMalwareProtection`, consulte [Excluir uma função vinculada ao serviço para a Proteção contra malware para EC2](slr-permissions-malware-protection#delete-slr).

Você deve primeiro desabilitar GuardDuty em todas as regiões em que está habilitado para excluir `AWSServiceRoleForAmazonGuardDuty` o. Se o GuardDuty serviço não for desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará. Para obter mais informações, consulte [Suspensão ou desativação GuardDuty](guardduty_suspend-disable.md). 

Quando você desativa GuardDuty, o `AWSServiceRoleForAmazonGuardDuty` não é excluído automaticamente. Se você ativar GuardDuty novamente, ele começará a usar o existente`AWSServiceRoleForAmazonGuardDuty`.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM AWS CLI, o ou a API do IAM para excluir a função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Suportado Regiões da AWS
<a name="guardduty-slr-regions"></a>

A Amazon GuardDuty oferece suporte ao uso da função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço em todos os Regiões da AWS lugares disponíveis GuardDuty . Para obter uma lista das regiões em que GuardDuty está disponível atualmente, consulte os [ GuardDuty endpoints e cotas da Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) no. *Referência geral da Amazon Web Services*