本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# EC2 惡意軟體防護的服務連結角色許可
EC2 的惡意軟體防護使用名為 的服務連結角色 (SLR)`AWSServiceRoleForAmazonGuardDutyMalwareProtection`。此 SLR 允許惡意軟體防護 EC2 執行無代理程式掃描,以偵測 GuardDuty 帳戶中的惡意軟體。這可讓 GuardDuty 在您的帳戶中建立 EBS 磁碟區快照,並與 GuardDuty 服務帳戶共用該快照。GuardDuty 評估快照後,會將擷取的 EC2 執行個體和容器工作負載中繼資料包含在 EC2 的惡意軟體防護調查結果中。`AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服務連結角色信任 `malware-protection.guardduty.amazonaws.com` 服務來擔任該角色。
此角色的許可政策可協助 EC2 的惡意軟體防護執行下列任務:
+ 使用 Amazon Elastic Compute Cloud (Amazon EC2) 動作來擷取 Amazon EC2 執行個體、磁碟區和快照的相關資訊。EC2 的惡意軟體防護也提供存取 Amazon EKS 和 Amazon ECS 叢集中繼資料的許可。
+ 為 `GuardDutyExcluded` 標籤未設定為 `true` 的 EBS 磁碟區建立快照。依預設,快照會以 `GuardDutyScanId` 標籤建立。請勿移除此標籤,否則 EC2 的惡意軟體防護將無法存取快照。
**重要**
當您將 `GuardDutyExcluded` 設定為 `true` 時,GuardDuty 服務將無法在未來存取這些快照。這是因為此服務連結角色中的其他陳述式會阻止 GuardDuty 對 `GuardDutyExcluded` 設定為 `true` 的快照執行任何操作。
+ 僅當 `GuardDutyScanId` 標籤存在且 `GuardDutyExcluded` 標籤未設定為 `true` 時,才允許共用和刪除快照。
**注意**
不允許 EC2 的惡意軟體防護將快照設為公有。
+ 存取客戶自管金鑰 (`GuardDutyExcluded` 標籤設定為 `true` 的金鑰除外),以呼叫 `CreateGrant` 來從與 GuardDuty 服務帳戶共用的加密快照建立和存取加密的 EBS 磁碟區。如需每個區域的 GuardDuty 服務帳戶清單,請參閱[GuardDuty 服務帳戶 AWS 區域](gdu-service-account-region-list.md)。
+ 存取客戶的 CloudWatch 日誌,以建立 EC2 日誌群組的惡意軟體防護,並將惡意軟體掃描事件日誌放在`/aws/guardduty/malware-scan-events`日誌群組下。
+ 允許客戶決定是否要將快照保留在偵測到惡意軟體的帳戶中。如果掃描偵測到惡意軟體,則服務連結角色會允許 GuardDuty 將兩個標籤新增至快照 `GuardDutyFindingDetected` 和 `GuardDutyExcluded`。
**注意**
`GuardDutyFindingDetected` 標記指定快照包含惡意軟體。
+ 判斷磁碟區是否使用 EBS 受管金鑰加密。GuardDuty 會執行 `DescribeKey` 動作來判斷您帳戶中 EBS 受管金鑰的 `key Id`。
+ 從 擷取使用 加密的 EBS 磁碟區的快照 AWS 受管金鑰, AWS 帳戶 並將其複製到 [GuardDuty 服務帳戶](gdu-service-account-region-list.md)。為此,我們使用 許可`GetSnapshotBlock`和 `ListSnapshotBlocks`。GuardDuty 接著會掃描服務帳戶中的快照。目前,並非所有 都 AWS 受管金鑰 提供惡意軟體防護 EC2 支援掃描使用 加密的 EBS 磁碟區 AWS 區域。如需詳細資訊,請參閱[區域特定功能的可用性](guardduty_regions.md#gd-regional-feature-availability)。
+ 允許 Amazon EC2 AWS KMS 代表惡意軟體防護 EC2 呼叫 ,以對客戶受管金鑰執行多個密碼編譯動作。共用使用客戶自管金鑰加密的快照時,需要執行 `kms:ReEncryptTo` 和 `kms:ReEncryptFrom` 等動作。僅可存取 `GuardDutyExcluded` 標籤未設定為 `true` 的金鑰。
該角色使用名為 `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 的下列 [AWS 受管政策](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)進行設定。
若要檢閱此政策的許可,請參閱《 *AWS 受管政策參考指南*》中的 [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)。
以下是連接至 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服務連結角色的信任政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## 為 EC2 的惡意軟體防護建立服務連結角色
當您第一次啟用 EC2 的惡意軟體防護,或在先前未啟用 EC2 的支援區域中啟用 EC2 的惡意軟體防護時,會自動建立`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色。您也可以使用 IAM 主控台、IAM CLI 或 IAM API 來手動建立 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服務連結角色。
**注意**
根據預設,如果您是初次使用 Amazon GuardDuty,則會自動啟用 EC2 的惡意軟體防護。
**重要**
為委派 GuardDuty 管理員帳戶建立的服務連結角色不適用於成員 GuardDuty 帳戶。
您必須設定許可,IAM 主體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。為成功建立 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服務連結角色,您搭配 GuardDuty 使用的 IAM 身分必須擁有所需許可。如需授與必要的許可,請附加以下政策至此 使用者、群組或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
如需有關手動建立角色的詳細資訊,請參閱《IAM 使用者指南》**中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 編輯 EC2 惡意軟體防護的服務連結角色
EC2 的惡意軟體防護不允許您編輯`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 EC2 惡意軟體防護的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。
**重要**
若要刪除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`,您必須先在啟用 EC2 的所有區域中停用惡意軟體防護。
如果您嘗試刪除服務連結角色時未停用 EC2 的惡意軟體防護,刪除將會失敗。請確定您先在帳戶中停用 EC2 的惡意軟體防護。
當您選擇**停用**以停止 EC2 的惡意軟體防護服務時,`AWSServiceRoleForAmazonGuardDutyMalwareProtection`不會自動刪除 。如果您接著選擇**啟用**以再次啟動 EC2 的惡意軟體防護服務,GuardDuty 將開始使用現有的 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`。
**使用 IAM 手動刪除服務連結角色**
使用 IAM AWS 主控台、CLI 或 IAM API 來刪除`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援的 AWS 區域
Amazon GuardDuty 支援在所有提供 EC2 AWS 區域 惡意軟體防護的 中使用`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色。
如需目前可使用 GuardDuty 的區域清單,請參閱 *Amazon Web Services 一般參考* 中的 [Amazon GuardDuty endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。
**注意**
EC2 的惡意軟體防護目前在 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 中無法使用。