本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon GuardDuty 的服務連結角色
Amazon GuardDuty 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色 (SLR) 是直接連結至 GuardDuty 的一種特殊 IAM 角色類型。服務連結角色由 GuardDuty 預先定義,並包含 GuardDuty 代表您呼叫其他 AWS 服務所需的所有許可。
您可以使用服務連結角色設定 GuardDuty,而無需手動新增所需許可。GuardDuty 會定義其服務連結角色的許可,除非許可經另外定義,否則只有 GuardDuty 才能擔任該角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
GuardDuty 在所有提供 GuardDuty 的區域中支援使用服務連結角色。如需詳細資訊,請參閱[區域與端點](guardduty_regions.md)。
您必須先在所有已啟用 GuardDuty 的區域中將其停用,才能刪除 GuardDuty 服務連結角色。這可保護您的 GuardDuty 資源,避免您不小心移除資源的存取許可。
如需有關支援服務連結角色的其他服務的資訊,請參閱《IAM 使用者指南》**中的[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找在**服務連結角色**資料欄中顯示為**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
# GuardDuty 的服務連結角色許可
GuardDuty 使用名為 `AWSServiceRoleForAmazonGuardDuty` 的服務連結角色 (SLR)。SLR 允許 GuardDuty 執行以下任務。同時它還允許 GuardDuty 將屬於 EC2 執行個體的已擷取中繼資料包含在 GuardDuty 可能產生關於潛在威脅的調查結果中。`AWSServiceRoleForAmazonGuardDuty` 服務連結角色信任 `guardduty.amazonaws.com` 服務來擔任該角色。
許可政策可協助 GuardDuty 執行下列任務:
+ 使用 Amazon EC2 動作來管理和擷取 EC2 執行個體、映像和網路元件的相關資訊,例如 VPCs、子網路和傳輸閘道。
+ 當您使用 Amazon EC2 的自動代理程式啟用 GuardDuty 執行期監控時,請使用 AWS Systems Manager 動作來管理 Amazon EC2 執行個體上的 SSM 關聯。停用 GuardDuty 自動化代理程式組態時,GuardDuty 只會考慮具有包含標籤 (`GuardDutyManaged`:) 的 EC2 執行個體`true`。
+ 使用 AWS Organizations 動作來描述相關聯的帳戶和組織 ID。
+ 使用 Amazon S3 動作擷取有關 S3 儲存貯體和物件的資訊。
+ 使用 AWS Lambda 動作來擷取 Lambda 函數和標籤的相關資訊。
+ 使用 Amazon EKS 動作來管理和擷取有關 EKS 叢集的資訊,以及管理 EKS 叢集上的 [Amazon EKS 附加元件](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html)。EKS 動作也會擷取有關與 GuardDuty 相關聯之標籤的資訊。
+ 啟用 EC2 的惡意軟體防護[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)後,使用 IAM 建立 。
+ 使用 Amazon ECS 動作來管理和擷取 Amazon ECS 叢集的相關資訊,並使用 管理 Amazon ECS 帳戶設定`guarddutyActivate`。與 Amazon ECS 相關的動作也會擷取與 GuardDuty 相關聯的標籤資訊。
該角色使用名為 `AmazonGuardDutyServiceRolePolicy` 的下列 [AWS 受管政策](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)進行設定。
若要檢閱此政策的許可,請參閱《 *AWS 受管政策參考指南*》中的 [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)。
以下是附加到 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色的信任政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
如需`AmazonGuardDutyServiceRolePolicy`政策更新的詳細資訊,請參閱 [AWS 受管政策的 GuardDuty 更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。如需此政策變更的自動提醒,請訂閱 [文件歷史紀錄](doc-history.md)頁面上的 RSS 摘要。
## 建立 GuardDuty 的服務連結角色
當您第一次啟用 GuardDuty 或在先前未啟用 GuardDuty 的支援區域中啟用它時,`AWSServiceRoleForAmazonGuardDuty` 服務連結角色會自動建立。您也可以使用 IAM 主控台、 AWS CLI或 IAM API 手動建立服務連結角色。
**重要**
為 GuardDuty 委派管理員帳戶建立的服務連結角色不適用於 GuardDuty 成員帳戶。
您必須設定許可,IAM 主體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。為成功建立 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色,您搭配 GuardDuty 使用的 IAM 主體必須擁有所需許可。如需授與必要的許可,請附加以下政策至此 使用者、群組或角色:
**注意**
將下列範例中的範例*帳戶 ID* 取代為您的實際 AWS 帳戶 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
如需有關手動建立角色的詳細資訊,請參閱《IAM 使用者指南》**中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 編輯 GuardDuty 的服務連結角色
GuardDuty 不允許您編輯 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 GuardDuty 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。
**重要**
如果您已啟用 EC2 的惡意軟體防護,刪除 `AWSServiceRoleForAmazonGuardDuty`不會自動刪除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`。如果您想要刪除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`,請參閱[刪除 EC2 惡意軟體防護的服務連結角色](slr-permissions-malware-protection#delete-slr)。
您必須在已啟用 GuardDuty 的所有區域中將它停用,才能刪除 `AWSServiceRoleForAmazonGuardDuty`。如果未停用 GuardDuty 服務,當您嘗試刪除服務連結角色時,刪除就會失敗。如需詳細資訊,請參閱[暫停或停用 GuardDuty](guardduty_suspend-disable.md)。
當您停用 GuardDuty 時,`AWSServiceRoleForAmazonGuardDuty` 不會自動刪除。如果您再次啟用 GuardDuty,它會開始使用現有的 `AWSServiceRoleForAmazonGuardDuty`。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除`AWSServiceRoleForAmazonGuardDuty`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援的 AWS 區域
Amazon GuardDuty 支援在所有提供 GuardDuty AWS 區域 的 中使用`AWSServiceRoleForAmazonGuardDuty`服務連結角色。如需目前可使用 GuardDuty 的區域清單,請參閱 *Amazon Web Services 一般參考* 中的 [Amazon GuardDuty endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。
# EC2 惡意軟體防護的服務連結角色許可
EC2 的惡意軟體防護使用名為 的服務連結角色 (SLR)`AWSServiceRoleForAmazonGuardDutyMalwareProtection`。此 SLR 允許惡意軟體防護 EC2 執行無代理程式掃描,以偵測 GuardDuty 帳戶中的惡意軟體。這可讓 GuardDuty 在您的帳戶中建立 EBS 磁碟區快照,並與 GuardDuty 服務帳戶共用該快照。GuardDuty 評估快照後,會將擷取的 EC2 執行個體和容器工作負載中繼資料包含在 EC2 的惡意軟體防護調查結果中。`AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服務連結角色信任 `malware-protection.guardduty.amazonaws.com` 服務來擔任該角色。
此角色的許可政策可協助 EC2 的惡意軟體防護執行下列任務:
+ 使用 Amazon Elastic Compute Cloud (Amazon EC2) 動作來擷取 Amazon EC2 執行個體、磁碟區和快照的相關資訊。EC2 的惡意軟體防護也提供存取 Amazon EKS 和 Amazon ECS 叢集中繼資料的許可。
+ 為 `GuardDutyExcluded` 標籤未設定為 `true` 的 EBS 磁碟區建立快照。依預設,快照會以 `GuardDutyScanId` 標籤建立。請勿移除此標籤,否則 EC2 的惡意軟體防護將無法存取快照。
**重要**
當您將 `GuardDutyExcluded` 設定為 `true` 時,GuardDuty 服務將無法在未來存取這些快照。這是因為此服務連結角色中的其他陳述式會阻止 GuardDuty 對 `GuardDutyExcluded` 設定為 `true` 的快照執行任何操作。
+ 僅當 `GuardDutyScanId` 標籤存在且 `GuardDutyExcluded` 標籤未設定為 `true` 時,才允許共用和刪除快照。
**注意**
不允許 EC2 的惡意軟體防護將快照設為公有。
+ 存取客戶自管金鑰 (`GuardDutyExcluded` 標籤設定為 `true` 的金鑰除外),以呼叫 `CreateGrant` 來從與 GuardDuty 服務帳戶共用的加密快照建立和存取加密的 EBS 磁碟區。如需每個區域的 GuardDuty 服務帳戶清單,請參閱[GuardDuty 服務帳戶 AWS 區域](gdu-service-account-region-list.md)。
+ 存取客戶的 CloudWatch 日誌,以建立 EC2 日誌群組的惡意軟體防護,並將惡意軟體掃描事件日誌放在`/aws/guardduty/malware-scan-events`日誌群組下。
+ 允許客戶決定是否要將快照保留在偵測到惡意軟體的帳戶中。如果掃描偵測到惡意軟體,則服務連結角色會允許 GuardDuty 將兩個標籤新增至快照 `GuardDutyFindingDetected` 和 `GuardDutyExcluded`。
**注意**
`GuardDutyFindingDetected` 標記指定快照包含惡意軟體。
+ 判斷磁碟區是否使用 EBS 受管金鑰加密。GuardDuty 會執行 `DescribeKey` 動作來判斷您帳戶中 EBS 受管金鑰的 `key Id`。
+ 從 擷取使用 加密的 EBS 磁碟區的快照 AWS 受管金鑰, AWS 帳戶 並將其複製到 [GuardDuty 服務帳戶](gdu-service-account-region-list.md)。為此,我們使用 許可`GetSnapshotBlock`和 `ListSnapshotBlocks`。GuardDuty 接著會掃描服務帳戶中的快照。目前,並非所有 都 AWS 受管金鑰 提供惡意軟體防護 EC2 支援掃描使用 加密的 EBS 磁碟區 AWS 區域。如需詳細資訊,請參閱[區域特定功能的可用性](guardduty_regions.md#gd-regional-feature-availability)。
+ 允許 Amazon EC2 AWS KMS 代表惡意軟體防護 EC2 呼叫 ,以對客戶受管金鑰執行多個密碼編譯動作。共用使用客戶自管金鑰加密的快照時,需要執行 `kms:ReEncryptTo` 和 `kms:ReEncryptFrom` 等動作。僅可存取 `GuardDutyExcluded` 標籤未設定為 `true` 的金鑰。
該角色使用名為 `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 的下列 [AWS 受管政策](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)進行設定。
若要檢閱此政策的許可,請參閱《 *AWS 受管政策參考指南*》中的 [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)。
以下是連接至 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服務連結角色的信任政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## 為 EC2 的惡意軟體防護建立服務連結角色
當您第一次啟用 EC2 的惡意軟體防護,或在先前未啟用 EC2 的支援區域中啟用 EC2 的惡意軟體防護時,會自動建立`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色。您也可以使用 IAM 主控台、IAM CLI 或 IAM API 來手動建立 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服務連結角色。
**注意**
根據預設,如果您是初次使用 Amazon GuardDuty,則會自動啟用 EC2 的惡意軟體防護。
**重要**
為委派 GuardDuty 管理員帳戶建立的服務連結角色不適用於成員 GuardDuty 帳戶。
您必須設定許可,IAM 主體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。為成功建立 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服務連結角色,您搭配 GuardDuty 使用的 IAM 身分必須擁有所需許可。如需授與必要的許可,請附加以下政策至此 使用者、群組或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
如需有關手動建立角色的詳細資訊,請參閱《IAM 使用者指南》**中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 編輯 EC2 惡意軟體防護的服務連結角色
EC2 的惡意軟體防護不允許您編輯`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 EC2 惡意軟體防護的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。
**重要**
若要刪除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`,您必須先在啟用 EC2 的所有區域中停用惡意軟體防護。
如果您嘗試刪除服務連結角色時未停用 EC2 的惡意軟體防護,刪除將會失敗。請確定您先在帳戶中停用 EC2 的惡意軟體防護。
當您選擇**停用**以停止 EC2 的惡意軟體防護服務時,`AWSServiceRoleForAmazonGuardDutyMalwareProtection`不會自動刪除 。如果您接著選擇**啟用**以再次啟動 EC2 的惡意軟體防護服務,GuardDuty 將開始使用現有的 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`。
**使用 IAM 手動刪除服務連結角色**
使用 IAM AWS 主控台、CLI 或 IAM API 來刪除`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援的 AWS 區域
Amazon GuardDuty 支援在所有提供 EC2 AWS 區域 惡意軟體防護的 中使用`AWSServiceRoleForAmazonGuardDutyMalwareProtection`服務連結角色。
如需目前可使用 GuardDuty 的區域清單,請參閱 *Amazon Web Services 一般參考* 中的 [Amazon GuardDuty endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。
**注意**
EC2 的惡意軟體防護目前在 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 中無法使用。