本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Amazon 的托管政策 GuardDuty
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
`Version` 策略元素指定用于处理策略的语言语法规则。以下策略包括 IAM 支持的当前版本。有关更多信息,请参阅 [IAM JSON 策略元素:Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)。
## AWS 托管策略:AmazonGuardDutyFullAccess\$1v2(推荐)
您可以将 AmazonGuardDutyFullAccess\$1v2 策略附加到 IAM 身份。此策略将允许用户具有执行所有 GuardDuty 操作和访问所需资源的完全访问权限。介于AmazonGuardDutyFullAccess\$1v2和之间 AmazonGuardDutyFullAccess, GuardDuty 建议进行连接,AmazonGuardDutyFullAccess\$1v2因为它可以增强安全性,并且仅限 GuardDuty 服务主体执行管理操作。
### 权限详细信息
AmazonGuardDutyFullAccess\$1v2 策略包含以下权限:
+ `GuardDuty`— 允许用户完全访问所有 GuardDuty操作。
+ `IAM`:
+ 允许用户创建与 GuardDuty 服务相关的角色。
+ 允许查看和管理 IAM 角色及其策略 GuardDuty。
+ 允许用户将角色传递给 GuardDuty。 GuardDuty 使用此角色为 S3 启用恶意软件防护并扫描 S3 对象中的恶意软件。 GuardDuty 还使用此角色启动对 AWS Backup 恶意软件防护的扫描。
+ 在 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 上执行 `iam:GetRole` 操作的权限决定了账户中是否存在 EC2 恶意软件防护的服务相关角色(SLR)。
+ `Organizations`:
+ 允许用户读取(查看) GuardDuty 组织结构和帐户。
+ 允许用户为 GuardDuty 组织指定委派管理员和管理成员。
要查看此策略的权限,请参阅《*AWS 托管策略参考*指南》中的 [AmazonGuardDutyFullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess_v2.html)。
## AWS 托管策略:AmazonGuardDutyFullAccess
您可以将 `AmazonGuardDutyFullAccess` 策略附加到 IAM 身份。
**重要**
为了增强安全性并限制 GuardDuty 服务主体的权限,我们建议您使用[AWS 托管策略:AmazonGuardDutyFullAccess\$1v2(推荐)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)。
此策略授予管理权限,允许用户具有执行所有 GuardDuty 操作和资源的完全访问权限。
### 权限详细信息
该策略包含以下权限。
+ `GuardDuty`— 允许用户完全访问所有 GuardDuty操作。
+ `IAM`:
+ 允许用户创建 GuardDuty 服务相关角色。
+ 允许管理员帐户 GuardDuty 为成员帐户启用。
+ 允许用户将角色传递给 GuardDuty。 GuardDuty 使用此角色为 S3 启用恶意软件防护并扫描 S3 对象中的恶意软件。 GuardDuty 还使用此角色启动对 AWS Backup 恶意软件防护的扫描。
+ `Organizations`— 允许用户为 GuardDuty 组织指定委派管理员和管理成员。
在 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 上执行 `iam:GetRole` 操作的权限决定了账户中是否存在 EC2 恶意软件防护的服务相关角色(SLR)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的 [AmazonGuardDutyFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess.html)。
## AWS 托管策略:AmazonGuardDutyReadOnlyAccess
您可以将 `AmazonGuardDutyReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予只读权限,允许用户查看您 GuardDuty 组织的 GuardDuty 调查结果和详细信息。
**权限详细信息**
该策略包含以下权限。
+ `GuardDuty`— 允许用户查看 GuardDuty 调查结果并执行以`Get``List`、或开头的 API 操作`Describe`。
+ `Organizations`— 允许用户检索有关您的 GuardDuty 组织配置的信息,包括委派管理员帐户的详细信息。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的 [AmazonGuardDutyReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyReadOnlyAccess.html)。
## AWS 托管策略:AmazonGuardDutyServiceRolePolicy
您不能将 `AmazonGuardDutyServiceRolePolicy` 附加到自己的 IAM 实体。此 AWS 托管策略附加 GuardDuty 到允许代表您执行操作的服务相关角色。有关更多信息,请参阅 [的服务相关角色权限 GuardDuty](slr-permissions.md)。
## GuardDuty AWS 托管策略的更新
查看 GuardDuty 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ GuardDuty 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md):对现有策略的更新 | 添加了启用其他消费 AWS CloudTrail 事件机制的`cloudtrail:CreateServiceLinkedChannel`权限。 {
"Sid": "CloudTrailCreateServiceLinkedChannelSid",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateServiceLinkedChannel"
],
"Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/guardduty/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
} | 2026年3月25日 |
| AmazonGuardDutyFullAccess:已弃用 | 此策略已被名为 `AmazonGuardDutyFullAccess_v2` 的范围缩小的策略所取代。 **2026 年 3 月 13 日**之后,您无法将该`AmazonGuardDutyFullAccess`策略附加到任何新用户、群组或角色。有关更多信息,请参阅 [AWS 托管策略:AmazonGuardDutyFullAccess\$1v2(推荐)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)。 | 2026年3月13日 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2):对现有策略的更新 | 添加了允许您在启用 B AWS ackup 恶意软件防护 GuardDuty 时将 IAM 角色传递给的权限。 {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 2025 年 11 月 19 日 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess):对现有策略的更新 | 添加了允许您在启用 B AWS ackup 恶意软件防护 GuardDuty 时将 IAM 角色传递给的权限。 {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 2025 年 11 月 19 日 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2):添加了一个新策略 | 添加了新的 AmazonGuardDutyFullAccess\$1v2 策略。之所以推荐这样做,是因为它的权限可以根据 IAM 角色和策略以及 AWS Organizations 集成,将管理操作限制在 GuardDuty 服务委托人身上,从而增强安全性。 | 2025 年 6 月 4 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md):对现有策略的更新 | 增加了 `ec2:DescribeVpcs` 权限。这 GuardDuty 允许跟踪 VPC 更新,例如检索 VPC CIDR。 | 2024 年 8 月 22 日 |
| [AmazonGuardDutyFullAccess](slr-permissions.md):对现有策略的更新 | 添加了允许您在启用 S3 恶意软件防护 GuardDuty时将 IAM 角色传递给的权限。 {
"Sid": "AllowPassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
} | 2024 年 6 月 10 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – 对现有策略的更新。 | 当您为 Amazon EC2 启用带有自动代理的 GuardDuty 运行时监控时,使用 AWS Systems Manager 操作来管理 Amazon EC2 实例上的 SSM 关联。禁用 GuardDuty 自动代理配置后,仅 GuardDuty考虑那些带有包含标签 (`GuardDutyManaged`:`true`) 的 EC2 实例。 | 2024 年 3 月 26 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – 对现有策略的更新。 | GuardDuty 添加了一项新权限,即检索共享 Amazon VPC 账户的组织 ID 并使用组织 ID 设置亚马逊 VPC 终端节点策略。`organization:DescribeOrganization` | 2024 年 2 月 9 日 |
| [AmazonGuardDutyMalwareProtectionServiceRolePolicy](slr-permissions-malware-protection.md) – 对现有策略的更新。 | EC2 恶意软件防护增加了两个权限,即在开始恶意软件扫描之前,从您那里获取 EBS 卷(使用加密 AWS 托管式密钥)的快照 AWS 账户 并将其复制到 GuardDuty 服务账户。`GetSnapshotBlock` `ListSnapshotBlocks` | 2024 年 1 月 25 日 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy):对现有策略的更新 | 添加了新的权限, GuardDuty 允许添加 `guarddutyActivate` Amazon ECS 账户设置,以及在 Amazon ECS 集群上执行列出和描述操作。 | 2023 年 11 月 26 日 |
| [AmazonGuardDutyReadOnlyAccess](#security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess):对现有策略的更新 | GuardDuty 为添加了新策略ListAccounts。organizations | 2023 年 11 月 16 日 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess):对现有策略的更新 | GuardDuty 为添加了新策略ListAccounts。organizations | 2023 年 11 月 16 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md):对现有策略的更新 | GuardDuty 添加了新权限以支持即将推出的 GuardDuty EKS 运行时监控功能。 | 2023 年 3 月 8 日 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy):对现有策略的更新 | GuardDuty 添加了新的权限, GuardDuty 允许为 [EC2 恶意软件防护创建服务相关角色](slr-permissions-malware-protection.md)。这将有助于 GuardDuty简化为 EC2 启用恶意软件防护的流程。 GuardDuty 现在可以执行以下 IAM 操作: {
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
} | 2023 年 2 月 21 日 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess):对现有策略的更新 | GuardDuty 已将的 ARN 更新为。`iam:GetRole` `*AWSServiceRoleForAmazonGuardDutyMalwareProtection` | 2022 年 7 月 26 日 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess):对现有策略的更新 | GuardDuty 添加了一个新功能`AWSServiceName`,允许使用`iam:CreateServiceLinkedRole`适用于 EC2 服务的 GuardDuty 恶意软件防护创建服务相关角色。 GuardDuty 现在可以执行`iam:GetRole`操作来获取相关信息`AWSServiceRole`。 | 2022 年 7 月 26 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md):对现有策略的更新 | GuardDuty 添加了新的权限, GuardDuty 允许使用 Amazon EC2 联网操作来改善调查结果。 GuardDuty 现在可以执行以下 EC2 操作来获取有关您的 EC2 实例如何通信的信息。此信息用于提高调查发现准确性。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/security-iam-awsmanpol.html) | 2021 年 8 月 3 日 |
| GuardDuty 开始跟踪更改 | GuardDuty 开始跟踪其 AWS 托管策略的更改。 | 2021 年 8 月 3 日 |