本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Amazon 的托管政策 GuardDuty
要向用户、群组和角色添加权限,使用 Amazon 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略。
Amazon 服务维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 Amazon 托管策略。服务不会从 Amazon 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 Amazon 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess Amazon 托管策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动一项新功能时, Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的Amazon 托管式策略。
Amazon 托管策略:AmazonGuardDutyFullAccess
您可以将 AmazonGuardDutyFullAccess 策略附加到 IAM 身份。
此策略授予管理权限,允许用户完全访问所有 GuardDuty 操作。
权限详细信息
该策略包含以下权限。
-
GuardDuty— 允许用户完全访问所有 GuardDuty操作。 -
IAM— 允许用户创建 GuardDuty 服务相关角色。这允许 GuardDuty 管理员 GuardDuty 为成员帐户启用。 -
Organizations— 允许用户为 GuardDuty 组织指定委派管理员和管理成员。
在 AWSServiceRoleForAmazonGuardDutyMalwareProtection 上执行 iam:GetRole 操作的权限决定了账户中是否存在用于恶意软件防护的服务相关角色(SLR)。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
Amazon 托管策略:AmazonGuardDutyReadOnlyAccess
您可以将 AmazonGuardDutyReadOnlyAccess 策略附加到 IAM 身份。
此策略授予只读权限,允许用户查看您 GuardDuty 组织的 GuardDuty 调查结果和详细信息。
权限详细信息
该策略包含以下权限。
-
GuardDuty— 允许用户查看 GuardDuty 调查结果并执行以GetList、或开头的 API 操作Describe。 -
Organizations— 允许用户检索有关您的 GuardDuty 组织配置的信息,包括委派管理员帐户的详细信息。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
Amazon 托管策略:AmazonGuardDutyServiceRolePolicy
您不能将 AmazonGuardDutyServiceRolePolicy 附加到自己的 IAM 实体。此 Amazon 托管策略附加 GuardDuty 到允许代表您执行操作的服务相关角色。有关更多信息,请参阅 的服务相关角色权限 GuardDuty。
GuardDuty Amazon 托管策略的更新
查看 GuardDuty 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ GuardDuty 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AmazonGuardDutyReadOnlyAccess – 更新了现有策略 |
GuardDuty 为添加了新政策ListAccounts。organizations |
2023 年 11 月 16 日 |
|
AmazonGuardDutyFullAccess – 更新了现有策略 |
GuardDuty 为添加了新政策ListAccounts。organizations |
2023 年 11 月 16 日 |
AmazonGuardDutyServiceRolePolicy – 更新了现有策略 |
GuardDuty 添加了新的权限,允许 GuardDuty 为恶意软件防护创建服务相关角色。这将有助于 GuardDuty简化启用恶意软件防护的流程。 GuardDuty 现在可以执行以下 IAM 操作:
|
2023 年 2 月 21 日 |
|
AmazonGuardDutyFullAccess – 更新了现有策略 |
GuardDuty 已将的 ARN 更新为。 |
2022 年 7 月 26 日 |
|
AmazonGuardDutyFullAccess – 更新了现有策略 |
GuardDuty 添加了一个新功能 GuardDuty 现在可以执行 |
2022 年 7 月 26 日 |
|
AmazonGuardDutyServiceRolePolicy – 更新了现有策略 |
GuardDuty 添加了新的权限, GuardDuty 允许使用 Amazon EC2 联网操作来改善调查结果。 GuardDuty 现在可以执行以下 EC2 操作来获取有关您的 EC2 实例如何通信的信息。此信息用于提高调查发现准确性。
|
2021 年 8 月 3 日 |
|
GuardDuty 开始跟踪更改 |
GuardDuty 开始跟踪其 Amazon 托管策略的更改。 |
2021 年 8 月 3 日 |