As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando funções vinculadas a serviços para a Amazon GuardDuty
A Amazon GuardDuty usa AWS Identity and Access Management funções [vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço (SLR) é um tipo exclusivo de função do IAM vinculada diretamente a. GuardDuty As funções vinculadas ao serviço são predefinidas GuardDuty e incluem todas as permissões GuardDuty necessárias para chamar outros AWS serviços em seu nome.
Com a função vinculada ao serviço, você pode configurar GuardDuty sem adicionar manualmente as permissões necessárias. GuardDuty define as permissões de sua função vinculada ao serviço e, a menos que as permissões sejam definidas de outra forma, somente GuardDuty pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
GuardDuty suporta o uso de funções vinculadas a serviços em todas as regiões em que GuardDuty está disponível. Para obter mais informações, consulte [Regiões e endpoints](guardduty_regions.md).
Você pode excluir a função GuardDuty vinculada ao serviço somente após a primeira desativação GuardDuty em todas as regiões em que ela está ativada. Isso protege seus GuardDuty recursos porque você não pode remover inadvertidamente a permissão para acessá-los.
Para obter informações sobre outros serviços que oferecem suporte a perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM* e procure pelos serviços que têm **Sim** na coluna **Perfil vinculado ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
# Permissões de função vinculadas ao serviço para GuardDuty
GuardDuty usa a função vinculada ao serviço (SLR) chamada. `AWSServiceRoleForAmazonGuardDuty` A SLR permite GuardDuty realizar as seguintes tarefas. Também permite incluir GuardDuty os metadados recuperados pertencentes à instância do EC2 nas descobertas que GuardDuty podem gerar sobre a ameaça potencial. O perfil vinculado ao serviço `AWSServiceRoleForAmazonGuardDuty` confia no serviço `guardduty.amazonaws.com` para presumir o perfil.
As políticas de permissão ajudam a GuardDuty realizar as seguintes tarefas:
+ Use as ações do Amazon EC2 para gerenciar e recuperar informações sobre suas instâncias, imagens e componentes de rede do EC2 VPCs, como sub-redes e gateways de trânsito.
+ Use AWS Systems Manager ações para gerenciar associações de SSM em instâncias do Amazon EC2 ao GuardDuty ativar o Runtime Monitoring com um agente automatizado para o Amazon EC2. Quando a configuração GuardDuty automatizada do agente está desativada, GuardDuty considera somente as instâncias do EC2 que têm uma tag de inclusão (`GuardDutyManaged`:`true`).
+ Use AWS Organizations ações para descrever contas associadas e ID da organização.
+ Use as ações do Amazon S3 para recuperar informações sobre buckets e objetos do S3.
+ Use AWS Lambda ações para recuperar informações sobre suas funções e tags do Lambda.
+ Use as ações do Amazon EKS para gerenciar e recuperar informações sobre os clusters do EKS e gerenciar os [complementos do Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) nos clusters do EKS. As ações do EKS também recuperam as informações sobre as tags associadas a. GuardDuty
+ Use o IAM para criar o [Permissões de função vinculada ao serviço para Proteção contra malware para EC2](slr-permissions-malware-protection.md) após a habilitação da Proteção contra malware para EC2.
+ Use as ações do Amazon ECS para gerenciar e recuperar informações sobre os clusters do Amazon ECS e gerenciar a configuração da conta do Amazon ECS com `guarddutyActivate`. As ações relacionadas ao Amazon ECS também recuperam as informações sobre as tags associadas a. GuardDuty
A função é configurada com a seguinte [política gerenciada da AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), denominada `AmazonGuardDutyServiceRolePolicy`.
Para verificar as permissões para esta política, consulte [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.
Veja a seguir a política de confiança anexada à função vinculada a serviço `AWSServiceRoleForAmazonGuardDuty`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter detalhes sobre atualizações da política do `AmazonGuardDutyServiceRolePolicy`, consulte [GuardDuty atualizações nas políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Para obter alertas automáticos sobre alterações feitas nesta política, inscreva-se no feed RSS na página [Histórico do documento](doc-history.md).
## Criação de uma função vinculada ao serviço para GuardDuty
A função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço é criada automaticamente quando você a ativa GuardDuty pela primeira vez ou ativa GuardDuty em uma região compatível onde você não a tinha habilitada anteriormente. Você também pode criar a função vinculada ao serviço manualmente usando o console do IAM AWS CLI, o ou a API do IAM.
**Importante**
A função vinculada ao serviço criada para a conta de administrador GuardDuty delegado não se aplica às contas dos membros. GuardDuty
É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço seja criada com sucesso, o principal do IAM GuardDuty com o qual você usa deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do :
**nota**
Substitua a amostra *account ID* no exemplo a seguir pelo seu Conta da AWS ID real.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.
## Editando uma função vinculada ao serviço para GuardDuty
GuardDuty não permite que você edite a função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para GuardDuty
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.
**Importante**
Se você habilitou a Proteção contra malware para EC2, a exclusão `AWSServiceRoleForAmazonGuardDuty` não exclui `AWSServiceRoleForAmazonGuardDutyMalwareProtection` automaticamente. Se você deseja excluir `AWSServiceRoleForAmazonGuardDutyMalwareProtection`, consulte [Excluir uma função vinculada ao serviço para a Proteção contra malware para EC2](slr-permissions-malware-protection#delete-slr).
Você deve primeiro desabilitar GuardDuty em todas as regiões em que está habilitado para excluir `AWSServiceRoleForAmazonGuardDuty` o. Se o GuardDuty serviço não for desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará. Para obter mais informações, consulte [Suspensão ou desativação GuardDuty](guardduty_suspend-disable.md).
Quando você desativa GuardDuty, o `AWSServiceRoleForAmazonGuardDuty` não é excluído automaticamente. Se você ativar GuardDuty novamente, ele começará a usar o existente`AWSServiceRoleForAmazonGuardDuty`.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a API do IAM para excluir a função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Suportado Regiões da AWS
A Amazon GuardDuty oferece suporte ao uso da função `AWSServiceRoleForAmazonGuardDuty` vinculada ao serviço em todos os Regiões da AWS lugares disponíveis GuardDuty . Para obter uma lista das regiões em que GuardDuty está disponível atualmente, consulte os [ GuardDuty endpoints e cotas da Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) no. *Referência geral da Amazon Web Services*
# Permissões de função vinculada ao serviço para Proteção contra malware para EC2
A Proteção contra malware para EC2 usa a função vinculada ao serviço (SLR) chamada `AWSServiceRoleForAmazonGuardDutyMalwareProtection`. Essa SLR permite que o Malware Protection for EC2 realize varreduras sem agente para detectar malware em sua conta. GuardDuty Ele permite GuardDuty criar um instantâneo do volume do EBS em sua conta e compartilhar esse instantâneo com a GuardDuty conta de serviço. Depois de GuardDuty avaliar o snapshot, ele inclui os metadados recuperados da instância do EC2 e da carga de trabalho do contêiner nas descobertas do Malware Protection for EC2. O perfil vinculado ao serviço `AWSServiceRoleForAmazonGuardDutyMalwareProtection` confia no serviço `malware-protection.guardduty.amazonaws.com` para presumir o perfil.
As políticas de permissão para essa função ajudam a Proteção contra malware para EC2 a realizar as seguintes tarefas:
+ Use ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre instâncias, volumes e snapshots do Amazon EC2. A Proteção contra malware para EC2 também fornece permissão para acessar os metadados de cluster do Amazon EKS e do Amazon ECS.
+ Crie snapshots para volumes do EBS que tenham a tag `GuardDutyExcluded` não definida como `true`. Por padrão, os snapshots são criados com uma tag `GuardDutyScanId`. Não remova essa tag, caso contrário, a Proteção contra malware para EC2 não terá acesso aos snapshots.
**Importante**
Quando você define `GuardDutyExcluded` o como`true`, o GuardDuty serviço não poderá acessar esses instantâneos no futuro. Isso ocorre porque as outras instruções nessa função vinculada ao serviço impedem a execução GuardDuty de qualquer ação nos instantâneos que têm a `GuardDutyExcluded` função definida como. `true`
+ Permita o compartilhamento e a exclusão de snapshots somente se a tag `GuardDutyScanId` existir e a tag `GuardDutyExcluded` não estiver definida como `true`.
**nota**
Não permite que a Proteção contra malware para EC2 torne os snapshots públicos.
+ Acesse as chaves gerenciadas pelo cliente, exceto aquelas que têm uma `GuardDutyExcluded` tag definida como`true`, para ligar `CreateGrant` para criar e acessar um volume criptografado do EBS a partir do snapshot criptografado que é compartilhado com a conta de GuardDuty serviço. Para obter uma lista de contas de GuardDuty serviço para cada região, consulte[GuardDuty contas de serviço por Região da AWS](gdu-service-account-region-list.md).
+ Acesse CloudWatch os registros dos clientes para criar o grupo de registros do Malware Protection for EC2, bem como colocar os registros de eventos de verificação de malware no `/aws/guardduty/malware-scan-events` grupo de registros.
+ Permita que o cliente decida se deseja manter os snapshots nos quais o malware foi detectado em sua conta. Se a verificação detectar malware, a função vinculada ao serviço permite adicionar duas tags GuardDuty aos instantâneos - e. `GuardDutyFindingDetected` `GuardDutyExcluded`
**nota**
A tag `GuardDutyFindingDetected` especifica que os snapshots contêm malware.
+ Determine se um volume está criptografado com uma chave gerenciada pelo EBS. GuardDuty executa a `DescribeKey` ação para determinar a `key Id` chave gerenciada pelo EBS em sua conta.
+ Obtenha o snapshot dos volumes do EBS criptografados usando Chave gerenciada pela AWS, do seu Conta da AWS e copie-o para o. [GuardDuty conta de serviço](gdu-service-account-region-list.md) Para isso, usamos as permissões `GetSnapshotBlock` `ListSnapshotBlocks` e. GuardDuty em seguida, digitalizará o instantâneo na conta de serviço. Atualmente, o suporte do Malware Protection for EC2 para escanear volumes do EBS criptografados com Chave gerenciada pela AWS pode não estar disponível em todos os. Regiões da AWS Para obter mais informações, consulte [Disponibilidade de recursos específicos da região](guardduty_regions.md#gd-regional-feature-availability).
+ Permita que o Amazon EC2 ligue AWS KMS em nome da Malware Protection para que o EC2 execute várias ações criptográficas nas chaves gerenciadas pelo cliente. Ações como `kms:ReEncryptTo` e `kms:ReEncryptFrom` são necessárias para compartilhar os snapshots criptografados com as chaves gerenciadas pelo cliente. Somente as chaves para as quais a tag `GuardDutyExcluded` não está definida como `true` estão acessíveis.
A função é configurada com a seguinte [política gerenciada da AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), denominada `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.
Para verificar as permissões para esta política, consulte [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.
A seguinte política de confiança está anexada à função vinculada a serviço `AWSServiceRoleForAmazonGuardDutyMalwareProtection`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Criar uma função vinculada ao serviço para Proteção contra malware para EC2
A função vinculada ao serviço `AWSServiceRoleForAmazonGuardDutyMalwareProtection` é criada automaticamente quando você habilita a Proteção contra Malware para EC2 pela primeira vez ou habilita a Proteção contra Malware para EC2 em uma região com suporte em que ela não tenha sido habilitada anteriormente. Também é possível criar a função vinculada ao serviço `AWSServiceRoleForAmazonGuardDutyMalwareProtection` manualmente usando o console do IAM, o IAM CLI ou o IAM API.
**nota**
Por padrão, se você for novo na Amazon GuardDuty, a Proteção contra Malware para EC2 é ativada automaticamente.
**Importante**
A função vinculada ao serviço criada para a conta de GuardDuty administrador delegado não se aplica às contas dos membros. GuardDuty
É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForAmazonGuardDutyMalwareProtection` vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa GuardDuty deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
Para obter mais informações sobre como criar a função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.
## Editar uma função vinculada ao serviço para Proteção contra malware para EC2
A Proteção contra Malware para EC2 não permite que você edite a função vinculada a serviço `AWSServiceRoleForAmazonGuardDutyMalwareProtection`. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir uma função vinculada ao serviço para a Proteção contra malware para EC2
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.
**Importante**
Você deverá primeiramente desabilitar a Proteção contra Malware para EC2 em todas as regiões em que estiver habilitada para excluir o `AWSServiceRoleForAmazonGuardDutyMalwareProtection`.
Se a Proteção contra malware para EC2 não estiver desabilitada quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão. Lembre-se de desabilitar primeiro a Proteção contra malware para o EC2 em sua conta.
Quando você escolhe **Desabilitar** para interromper o serviço de Proteção contra malware para EC2, o não `AWSServiceRoleForAmazonGuardDutyMalwareProtection` é excluído automaticamente. Se você escolher **Habilitar** para iniciar o serviço Malware Protection for EC2 novamente, GuardDuty começará a usar o existente`AWSServiceRoleForAmazonGuardDutyMalwareProtection`.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM, a AWS CLI ou a API do IAM para excluir a função vinculada ao `AWSServiceRoleForAmazonGuardDutyMalwareProtection` serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Suportado Regiões da AWS
A Amazon GuardDuty oferece suporte ao uso da função `AWSServiceRoleForAmazonGuardDutyMalwareProtection` vinculada ao serviço em todos os locais em Regiões da AWS que a Proteção contra Malware para EC2 está disponível.
Para obter uma lista das regiões em que GuardDuty está disponível atualmente, consulte os [ GuardDuty endpoints e cotas da Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) no. *Referência geral da Amazon Web Services*
**nota**
No momento, a proteção contra malware para EC2 não está disponível em AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA).