本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用适用于 Amazon 的服务相关角色 GuardDuty
亚马逊 GuardDuty 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色 (SLR) 是一种直接关联的 IAM 角色的独特类型。 GuardDuty服务相关角色由您预定义 GuardDuty ,包括代表您调用其他 AWS 服务 GuardDuty 所需的所有权限。
使用服务相关角色, GuardDuty 无需手动添加必要权限即可进行设置。 GuardDuty 定义其服务相关角色的权限,除非另行定义权限,否则 GuardDuty 只能担任该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
GuardDuty 支持在所有可用的区域中使用服务相关角色。 GuardDuty 有关更多信息,请参阅 [区域和端点](guardduty_regions.md)。
只有在启用 GuardDuty 服务相关角色的所有区域 GuardDuty 中首次禁用该角色后,您才能将其删除。这样可以保护您的 GuardDuty 资源,因为您不会无意中删除访问这些资源的权限。
有关支持服务关联角色的其他服务的信息,请参阅《IAM 用户指南》**中的[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找**服务关联角色**列中显示为**是**的服务。请选择**是**与查看该服务的服务关联角色文档的链接。
# 的服务相关角色权限 GuardDuty
GuardDuty 使用名为的服务相关角色 (SLR)。`AWSServiceRoleForAmazonGuardDuty`SLR GuardDuty 允许执行以下任务。它还允许 GuardDuty 将检索到的属于 EC2 实例的元数据包含在 GuardDuty 可能生成的有关潜在威胁的调查结果中。`AWSServiceRoleForAmazonGuardDuty` 服务关联角色信任 `guardduty.amazonaws.com` 服务来代入角色。
权限策略有助于 GuardDuty 执行以下任务:
+ 使用 Amazon EC2 操作管理和检索有关您的 EC2 实例、映像和网络组件(例如 VPCs子网和传输网关)的信息。
+ 当您为 Amazon EC2 启用带有自动代理的 GuardDuty 运行时监控时,使用 AWS Systems Manager 操作来管理 Amazon EC2 实例上的 SSM 关联。禁用 GuardDuty 自动代理配置后,仅 GuardDuty 考虑那些带有包含标签 (`GuardDutyManaged`:`true`) 的 EC2 实例。
+ 使用 AWS Organizations 操作来描述关联的账户和组织 ID。
+ 使用 Amazon S3 操作检索有关 S3 存储桶和对象的信息。
+ 使用 AWS Lambda 操作来检索有关您的 Lambda 函数和标签的信息。
+ 使用 Amazon EKS 操作管理和检索有关 EKS 集群的信息,并管理 EKS 集群上的 [Amazon EKS 插件](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html)。EKS 操作还会检索与关联的标签的相关信息 GuardDuty。
+ 启用 EC2 恶意软件防护后,使用 IAM 创建 [EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)。
+ 使用 Amazon ECS 操作管理和检索 Amazon ECS 集群信息以及使用 `guarddutyActivate` 管理 Amazon ECS 账户设置。与 Amazon ECS 相关的操作还会检索与之关联的标签的相关信息 GuardDuty。
该角色使用以下 [AWS 托管策略](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)(名为 `AmazonGuardDutyServiceRolePolicy`)配置。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的 [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)。
下面是附加到 `AWSServiceRoleForAmazonGuardDuty` 服务相关角色的信任策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
有关 `AmazonGuardDutyServiceRolePolicy` 策略更新的详细信息,请参阅 [GuardDuty AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。要获得有关此策略更改的自动提醒,请订阅 [文档历史记录](doc-history.md) 页面上的 RSS 源。
## 为创建服务相关角色 GuardDuty
当您首次启用`AWSServiceRoleForAmazonGuardDuty`服务相关角色或在以前未启用 GuardDuty 服务的受支持 GuardDuty 地区启用服务相关角色时,系统会自动创建该角色。您也可以使用 IAM 控制台 AWS CLI、或 IAM API 手动创建服务相关角色。
**重要**
为 GuardDuty 委派管理员账户创建的服务相关角色不适用于成员 GuardDuty 账户。
您必须配置权限,允许 IAM 主体(如用户、组或角色)创建、编辑或删除服务相关角色。要成功创建`AWSServiceRoleForAmazonGuardDuty`服务相关角色,您与之配合使用的 IAM 委托人必须 GuardDuty 具有所需的权限。要授予所需的权限,请将以下策略附加到此 用户、组或角色:
**注意**
将以下示例*account ID*中的示例替换为您的实际 AWS 账户 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
有关手动创建角色的更多信息,请参阅 *IAM 用户指南*中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 编辑的服务相关角色 GuardDuty
GuardDuty 不允许您编辑`AWSServiceRoleForAmazonGuardDuty`服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除的服务相关角色 GuardDuty
如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。
**重要**
如果您启用了 EC2 恶意软件防护,则删除 `AWSServiceRoleForAmazonGuardDuty` 不会自动删除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`。如果要删除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`,请参阅[删除 EC2 恶意软件防护的服务相关角色](slr-permissions-malware-protection#delete-slr)。
要删除,您必须先 GuardDuty 在所有启用该功能的区域中将其禁用`AWSServiceRoleForAmazonGuardDuty`。如果您在尝试删除 GuardDuty 服务相关角色时未禁用该服务,则删除将失败。有关更多信息,请参阅 [暂停或禁用 GuardDuty](guardduty_suspend-disable.md)。
禁用后 GuardDuty,`AWSServiceRoleForAmazonGuardDuty`不会自动删除。如果您 GuardDuty 再次启用,它将开始使用现有的`AWSServiceRoleForAmazonGuardDuty`。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 IAM API 删除`AWSServiceRoleForAmazonGuardDuty`服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 AWS 区域
Amazon GuardDuty 支持在所有可用 AWS 区域 的地方 GuardDuty 使用`AWSServiceRoleForAmazonGuardDuty`服务相关角色。有关当前可用区域的列表,请参阅中的 [Amazon GuardDuty 终端节点和配额*Amazon Web Services 一般参考*](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。 GuardDuty
# EC2 恶意软件防护的服务相关角色权限
EC2 恶意软件防护使用名为 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 的服务相关角色(SLR)。此 SLR 允许 EC2 恶意软件防护执行无代理扫描,以检测您账户中的恶意软件。 GuardDuty 它 GuardDuty 允许在您的账户中创建 EBS 卷快照,并与 GuardDuty 服务账户共享该快照。 GuardDuty 评估快照后,它将检索到的 EC2 实例和容器工作负载元数据包含在 EC2 恶意软件防护结果中。`AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服务关联角色信任 `malware-protection.guardduty.amazonaws.com` 服务来代入角色。
此角色的权限策略有助于 EC2 恶意软件防护执行以下任务:
+ 使用 Amazon Elastic Compute Cloud(Amazon EC2)操作检索有关 Amazon EC2 实例、卷和快照的信息。EC2 恶意软件防护还提供了访问 Amazon EKS 和 Amazon ECS 集群元数据的权限。
+ 为 `GuardDutyExcluded` 标签未设置为 `true` 的 EBS 卷创建快照。默认情况下,创建的快照带有 `GuardDutyScanId` 标签。请勿移除此标签,否则 EC2 恶意软件防护将无法访问快照。
**重要**
将设置为时`true`,该 GuardDuty 服务将来将无法访问这些快照。`GuardDutyExcluded`这是因为此服务相关角色中的其他语句会 GuardDuty 阻止对`GuardDutyExcluded`设置为的快照执行任何操作。`true`
+ 仅当 `GuardDutyScanId` 标签存在且 `GuardDutyExcluded` 标签未设置为 `true` 时,才允许共享和删除快照。
**注意**
不允许 EC2 恶意软件防护公开快照。
+ 访问客户托管的密钥(`GuardDutyExcluded`标签设置为的密钥除外)`true`,`CreateGrant`以便通过与 GuardDuty 服务账户共享的加密快照创建和访问加密的 EBS 卷。有关每个地区的 GuardDuty 服务帐号列表,请参阅[GuardDuty 服务账号由 AWS 区域](gdu-service-account-region-list.md)。
+ 访问客户 CloudWatch 日志以创建 EC2 恶意软件防护日志组,并将恶意软件扫描事件日志放在`/aws/guardduty/malware-scan-events`日志组下。
+ 由客户决定是否要在其账户中保留检测到的恶意软件快照。如果扫描检测到恶意软件,则服务相关角色允许 GuardDuty 向快照添加两个标签-`GuardDutyFindingDetected` 和`GuardDutyExcluded`。
**注意**
`GuardDutyFindingDetected` 标签指定快照包含恶意软件。
+ 确定卷是否使用 EBS 托管密钥加密。 GuardDuty 执行`DescribeKey`操作以确定您账户中`key Id`由 EBS 管理的密钥。
+ 从您的中获取使用加密的 EBS 卷的快照 AWS 托管式密钥, AWS 账户 然后将其复制到。[GuardDuty 服务账号](gdu-service-account-region-list.md)为此,我们使用权限`GetSnapshotBlock`和`ListSnapshotBlocks`。 GuardDuty 然后将扫描服务帐户中的快照。目前,EC2 的恶意软件防护支持扫描使用加密的 EBS 卷, AWS 托管式密钥 可能并非所有版本都可用。 AWS 区域有关更多信息,请参阅 [特定于区域的特征可用性](guardduty_regions.md#gd-regional-feature-availability)。
+ 允许 Amazon EC2 代表恶意软件保护调用 AWS KMS ,让 EC2 对客户托管的密钥执行多项加密操作。共享使用客户管理密钥加密的快照,需要执行 `kms:ReEncryptTo` 和 `kms:ReEncryptFrom` 等操作。只有那些 `GuardDutyExcluded` 标签未设置为 `true` 的密钥才可访问。
该角色使用以下 [AWS 托管策略](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)(名为 `AmazonGuardDutyMalwareProtectionServiceRolePolicy`)配置。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的 [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)。
以下信任策略附加到 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服务相关角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## 为 EC2 恶意软件防护创建服务相关角色
当您首次启用 EC2 恶意软件防护,或在之前未启用此功能的受支持区域中启用 EC2 恶意软件防护时,系统会自动创建 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服务相关角色。您还可以使用 IAM 控制台、IAM API 或 IAM API 创建 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服务相关角色。
**注意**
默认情况下,如果您是 Amazon 的新用户 GuardDuty,则会自动启用 EC2 恶意软件防护。
**重要**
为委派 GuardDuty 管理员账户创建的服务相关角色不适用于成员 GuardDuty 账户。
您必须配置权限,允许 IAM 主体(如用户、组或角色)创建、编辑或删除服务相关角色。要成功创建`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服务相关角色,您与之配合使用的 IAM 身份必须 GuardDuty 具有所需的权限。要授予所需的权限,请将以下策略附加到此 用户、组或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
有关手动创建角色的更多信息,请参阅《IAM 用户指南》**中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 编辑 EC2 恶意软件防护的服务相关角色
EC2 恶意软件防护不允许您编辑 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 EC2 恶意软件防护的服务相关角色
如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。
**重要**
要删除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`,您必须首先在启用 EC2 恶意软件防护的所有区域禁用此功能。
如果在尝试删除服务相关角色时未禁用 EC2 恶意软件防护,删除将会失败。务必要首先在账户中禁用 EC2 恶意软件防护。
当您选择**禁用**来停止 EC2 恶意软件防护服务时,系统不会自动删除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`。如果您随后选择 “**启用**” 再次启动 EC2 恶意软件防护服务,则 GuardDuty 将开始使用现有的`AWSServiceRoleForAmazonGuardDutyMalwareProtection`。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、 AWS CLI 或 IAM API 删除`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 AWS 区域
Amazon GuardDuty 支持在所有提供 EC2 恶意软件防护 AWS 区域 的地方使用`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服务相关角色。
有关当前可用区域的列表,请参阅中的 [Amazon GuardDuty 终端节点和配额*Amazon Web Services 一般参考*](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。 GuardDuty
**注意**
EC2 恶意软件防护目前在 AWS GovCloud (美国东部)和 AWS GovCloud (美国西部)不可用。