本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon GuardDuty 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
`Version` 政策元素指定用於處理政策的語言語法規則。下列政策包含 IAM 支援的目前版本。如需詳細資訊,請參閱 [IAM JSON 政策元素:版本](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)。
## AWS 受管政策: AmazonGuardDutyFullAccess\$1v2(建議)
您可將 AmazonGuardDutyFullAccess\$1v2 政策連接到 IAM 身分。此政策將允許使用者完整存取,以執行所有 GuardDuty 動作並存取所需的資源。在 AmazonGuardDutyFullAccess\$1v2和 AmazonGuardDutyFullAccess 之間,GuardDuty 建議連接 ,AmazonGuardDutyFullAccess\$1v2因為它提供增強的安全性,並將管理動作限制為 GuardDuty 服務主體。
### 許可詳細資訊
此AmazonGuardDutyFullAccess\$1v2政策包含下列許可:
+ `GuardDuty`:允許使用者完整存取所有 GuardDuty 動作。
+ `IAM`:
+ 允許使用者建立 GuardDuty 服務連結角色。
+ 允許檢視和管理 IAM 角色及其 GuardDuty 的政策。
+ 允許使用者將角色傳遞至 GuardDuty。GuardDuty 使用此角色來啟用 S3 的惡意軟體防護,並掃描 S3 物件是否有惡意軟體。GuardDuty 也會使用此角色啟動惡意軟體 AWS 備份防護的掃描。
+ 如果 帳戶中存在適用於 EC2 惡意軟體防護的服務連結角色 (SLR),則在 上執行`iam:GetRole`動作的許可就會`AWSServiceRoleForAmazonGuardDutyMalwareProtection`建立。
+ `Organizations`:
+ 允許使用者讀取 (檢視) GuardDuty 組織結構和帳戶。
+ 允許使用者指定委派管理員和管理 GuardDuty 組織的成員。
若要檢閱此政策的許可,請參閱[《 受管政策參考指南》中的 AmazonGuardDutyFullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess_v2.html)。 *AWS *
## AWS 受管政策: AmazonGuardDutyFullAccess
您可將 `AmazonGuardDutyFullAccess` 政策連接到 IAM 身分。
**重要**
如需增強 GuardDuty 服務主體的安全性和限制性許可,建議您使用 [AWS 受管政策: AmazonGuardDutyFullAccess\$1v2(建議)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)。
此政策授予管理許可,允許使用者完整存取以執行所有 GuardDuty 動作和資源。
### 許可詳細資訊
此政策包含以下許可。
+ `GuardDuty`:允許使用者完整存取所有 GuardDuty 動作。
+ `IAM`:
+ 允許使用者建立 GuardDuty 服務連結角色。
+ 允許管理員帳戶為成員帳戶啟用 GuardDuty。
+ 允許使用者將角色傳遞至 GuardDuty。GuardDuty 使用此角色來啟用 S3 的惡意軟體防護,並掃描 S3 物件是否有惡意軟體。GuardDuty 也會使用此角色啟動惡意軟體 AWS 備份防護的掃描。
+ `Organizations`:允許使用者指定委派管理員並管理 GuardDuty 組織的成員。
如果 帳戶中存在適用於 EC2 惡意軟體防護的服務連結角色 (SLR),則在 上執行`iam:GetRole`動作的許可就會`AWSServiceRoleForAmazonGuardDutyMalwareProtection`建立。
若要檢閱此政策的許可,請參閱《 *AWS 受管政策參考指南*》中的 [AmazonGuardDutyFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess.html)。
## AWS 受管政策: AmazonGuardDutyReadOnlyAccess
您可將 `AmazonGuardDutyReadOnlyAccess` 政策連接到 IAM 身分。
此政策會授予唯讀許可,允許使用者檢視 GuardDuty 調查結果和 GuardDuty 組織的詳細資訊。
**許可詳細資訊**
此政策包含以下許可。
+ `GuardDuty`:允許使用者檢視 GuardDuty 調查結果,並執行以 `Get`、`List` 或 `Describe` 開頭的 API 操作。
+ `Organizations`:允許使用者擷取有關 GuardDuty 組織組態的資訊,包括委派管理員帳戶的詳細資訊。
若要檢閱此政策的許可,請參閱《 *AWS 受管政策參考指南*》中的 [AmazonGuardDutyReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyReadOnlyAccess.html)。
## AWS 受管政策: AmazonGuardDutyServiceRolePolicy
您不得將 `AmazonGuardDutyServiceRolePolicy` 連接到 IAM 實體。此 AWS 受管政策會連接到服務連結角色,允許 GuardDuty 代表您執行動作。如需詳細資訊,請參閱[GuardDuty 的服務連結角色許可](slr-permissions.md)。
## AWS 受管政策的 GuardDuty 更新
檢視自此服務開始追蹤 GuardDuty AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱「GuardDuty 文件歷史記錄」頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md):現有政策的更新 | 新增 `cloudtrail:CreateServiceLinkedChannel`許可,以啟用 consuming AWS CloudTrail 事件的其他機制。 {
"Sid": "CloudTrailCreateServiceLinkedChannelSid",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateServiceLinkedChannel"
],
"Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/guardduty/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
} | 2026 年 3 月 25 日 |
| AmazonGuardDutyFullAccess – 已棄用 | 此政策已由名為 `AmazonGuardDutyFullAccess_v2` 的範圍受限政策取代。 **2026 年 3 月 13 日之後,**您無法將`AmazonGuardDutyFullAccess`政策連接至任何新使用者、群組或角色。如需詳細資訊,請參閱[AWS 受管政策: AmazonGuardDutyFullAccess\$1v2(建議)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)。 | 2026 年 3 月 13 日 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) – 更新現有政策 | 新增許可,可讓您在啟用惡意軟體 AWS 備份防護時,將 IAM 角色傳遞至 GuardDuty。 {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 2025 年 11 月 19 日 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – 更新現有政策 | 新增許可,可讓您在啟用惡意軟體 AWS 備份防護時,將 IAM 角色傳遞至 GuardDuty。 {
"Sid": "AllowPassRoleToMalwareProtection",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"malware-protection-plan.guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
} | 2025 年 11 月 19 日 |
| [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) – 新增了政策 | 新增了新的AmazonGuardDutyFullAccess\$1v2政策。建議這麼做,因為其許可會根據 IAM 角色和政策以及 AWS Organizations 整合,將管理動作限制為 GuardDuty 服務主體,以增強安全性。 | 2025 年 6 月 4 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md):現有政策的更新 | 新增 `ec2:DescribeVpcs`許可。這可讓 GuardDuty 追蹤 VPC 更新,例如擷取 VPC CIDR。 | 2024 年 8 月 22 日 |
| [AmazonGuardDutyFullAccess](slr-permissions.md) – 更新現有政策 | 新增的許可可讓您在啟用 S3 的惡意軟體防護時,將 IAM 角色傳遞給 GuardDuty。 {
"Sid": "AllowPassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
} | 2024 年 6 月 10 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – 更新至現有政策。 | 當您使用 Amazon EC2 的自動代理程式啟用 GuardDuty 執行期監控時,請使用 AWS Systems Manager 動作來管理 Amazon EC2 執行個體上的 SSM 關聯。停用 GuardDuty 自動化代理程式組態時,GuardDuty 只會考慮具有包含標籤 (`GuardDutyManaged`:) 的 EC2 執行個體`true`。 | 2024 年 3 月 26 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – 更新至現有政策。 | GuardDuty 已新增新的許可 - `organization:DescribeOrganization` 擷取共用 Amazon VPC 帳戶的組織 ID,並使用組織 ID 設定 Amazon VPC 端點政策。 | 2024 年 2 月 9 日 |
| [AmazonGuardDutyMalwareProtectionServiceRolePolicy](slr-permissions-malware-protection.md) – 更新至現有政策。 | EC2 的惡意軟體防護已新增兩個許可 - `GetSnapshotBlock`並從您的 `ListSnapshotBlocks` AWS 帳戶 擷取 EBS 磁碟區的快照 (使用 加密 AWS 受管金鑰),並在啟動惡意軟體掃描之前將其複製到 GuardDuty 服務帳戶。 | 2024 年 1 月 25 日 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy):現有政策的更新 | 新增了許可,以允許 GuardDuty 新增 `guarddutyActivate` Amazon ECS 帳戶設定,並在 Amazon ECS 叢集上執行清單和描述操作。 | 2023 年 11 月 26 日 |
| [AmazonGuardDutyReadOnlyAccess](#security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess) – 更新現有政策 | GuardDuty 已將 的新政策organizations新增至 ListAccounts。 | 2023 年 11 月 16 日 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – 更新現有政策 | GuardDuty 已將 的新政策organizations新增至 ListAccounts。 | 2023 年 11 月 16 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – 更新現有政策 | GuardDuty 新增了新許可,以支援即將推出的 GuardDuty EKS 執行期監控功能。 | 2023 年 3 月 8 日 |
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy):現有政策的更新 | GuardDuty 新增了新的許可,以允許 GuardDuty [為 EC2 的惡意軟體防護建立服務連結角色](slr-permissions-malware-protection.md)。這將有助於 GuardDuty 簡化為 EC2 啟用惡意軟體防護的程序。 GuardDuty 現在可以執行下列 IAM 動作: {
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"
}
}
} | 2023 年 2 月 21 日 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – 更新現有政策 | GuardDuty 將 `iam:GetRole` 的 ARN 更新為了 `*AWSServiceRoleForAmazonGuardDutyMalwareProtection`。 | 2022 年 7 月 26 日 |
| [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – 更新現有政策 | GuardDuty 新增了新的 `AWSServiceName`,以允許使用 `iam:CreateServiceLinkedRole` for GuardDuty Malware Protection for EC2 服務建立服務連結角色。 GuardDuty 現在可以執行 `iam:GetRole` 動作以取得 `AWSServiceRole` 的資訊。 | 2022 年 7 月 26 日 |
| [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – 更新現有政策 | GuardDuty 新增了新的許可,允許 GuardDuty 使用 Amazon EC2 聯網動作來改善調查結果。 GuardDuty 現在可以執行下列 EC2 動作,以取得有關 EC2 執行個體如何通訊的資訊。此資訊用於提高調查結果準確度。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/security-iam-awsmanpol.html) | 2021 年 8 月 3 日 |
| GuardDuty 開始追蹤變更 | GuardDuty 開始追蹤其 AWS 受管政策的變更。 | 2021 年 8 月 3 日 |