本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 的服务相关角色权限 GuardDuty
<a name="slr-permissions"></a>

GuardDuty 使用名为的服务相关角色 (SLR)。`AWSServiceRoleForAmazonGuardDuty`SLR GuardDuty 允许执行以下任务。它还允许 GuardDuty 将检索到的属于 EC2 实例的元数据包含在 GuardDuty 可能生成的有关潜在威胁的调查结果中。`AWSServiceRoleForAmazonGuardDuty` 服务关联角色信任 `guardduty.amazonaws.com` 服务来代入角色。

权限策略有助于 GuardDuty 执行以下任务：
+ 使用 Amazon EC2 操作管理和检索有关您的 EC2 实例、映像和网络组件（例如 VPCs子网和传输网关）的信息。
+ 当您为 Amazon EC2 启用带有自动代理的 GuardDuty 运行时监控时，使用 AWS Systems Manager 操作来管理 Amazon EC2 实例上的 SSM 关联。禁用 GuardDuty 自动代理配置后，仅 GuardDuty 考虑那些带有包含标签 (`GuardDutyManaged`:`true`) 的 EC2 实例。
+ 使用 AWS Organizations 操作来描述关联的账户和组织 ID。
+ 使用 Amazon S3 操作检索有关 S3 存储桶和对象的信息。
+ 使用 AWS Lambda 操作来检索有关您的 Lambda 函数和标签的信息。
+ 使用 Amazon EKS 操作管理和检索有关 EKS 集群的信息，并管理 EKS 集群上的 [Amazon EKS 插件](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html)。EKS 操作还会检索与关联的标签的相关信息 GuardDuty。
+ 启用 EC2 恶意软件防护后，使用 IAM 创建 [EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)。
+ 使用 Amazon ECS 操作管理和检索 Amazon ECS 集群信息以及使用 `guarddutyActivate` 管理 Amazon ECS 账户设置。与 Amazon ECS 相关的操作还会检索与之关联的标签的相关信息 GuardDuty。

该角色使用以下 [AWS 托管策略](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)（名为 `AmazonGuardDutyServiceRolePolicy`）配置。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)。

下面是附加到 `AWSServiceRoleForAmazonGuardDuty` 服务相关角色的信任策略：

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

有关 `AmazonGuardDutyServiceRolePolicy` 策略更新的详细信息，请参阅 [GuardDuty AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。要获得有关此策略更改的自动提醒，请订阅 [文档历史记录](doc-history.md) 页面上的 RSS 源。

## 为创建服务相关角色 GuardDuty
<a name="create-slr"></a>

当您首次启用`AWSServiceRoleForAmazonGuardDuty`服务相关角色或在以前未启用 GuardDuty 服务的受支持 GuardDuty 地区启用服务相关角色时，系统会自动创建该角色。您也可以使用 IAM 控制台 AWS CLI、或 IAM API 手动创建服务相关角色。

**重要**  
为 GuardDuty 委派管理员账户创建的服务相关角色不适用于成员 GuardDuty 账户。

您必须配置权限，允许 IAM 主体（如用户、组或角色）创建、编辑或删除服务相关角色。要成功创建`AWSServiceRoleForAmazonGuardDuty`服务相关角色，您与之配合使用的 IAM 委托人必须 GuardDuty 具有所需的权限。要授予所需的权限，请将以下策略附加到此 用户、组或角色：

**注意**  
将以下示例*account ID*中的示例替换为您的实际 AWS 账户 ID。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}
```

------

有关手动创建角色的更多信息，请参阅 *IAM 用户指南*中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。

## 编辑的服务相关角色 GuardDuty
<a name="edit-slr"></a>

GuardDuty 不允许您编辑`AWSServiceRoleForAmazonGuardDuty`服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除的服务相关角色 GuardDuty
<a name="delete-slr"></a>

如果不再需要使用某个需要服务相关角色的特征或服务，我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。

**重要**  
如果您启用了 EC2 恶意软件防护，则删除 `AWSServiceRoleForAmazonGuardDuty` 不会自动删除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`。如果要删除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`，请参阅[删除 EC2 恶意软件防护的服务相关角色](slr-permissions-malware-protection#delete-slr)。

要删除，您必须先 GuardDuty 在所有启用该功能的区域中将其禁用`AWSServiceRoleForAmazonGuardDuty`。如果您在尝试删除 GuardDuty 服务相关角色时未禁用该服务，则删除将失败。有关更多信息，请参阅 [暂停或禁用 GuardDuty](guardduty_suspend-disable.md)。

禁用后 GuardDuty，`AWSServiceRoleForAmazonGuardDuty`不会自动删除。如果您 GuardDuty 再次启用，它将开始使用现有的`AWSServiceRoleForAmazonGuardDuty`。

**使用 IAM 手动删除服务关联角色**

使用 IAM 控制台 AWS CLI、或 IAM API 删除`AWSServiceRoleForAmazonGuardDuty`服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 支持 AWS 区域
<a name="guardduty-slr-regions"></a>

Amazon GuardDuty 支持在所有可用 AWS 区域 的地方 GuardDuty 使用`AWSServiceRoleForAmazonGuardDuty`服务相关角色。有关当前可用区域的列表，请参阅中的 [Amazon GuardDuty 终端节点和配额*Amazon Web Services 一般参考*](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。 GuardDuty