本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的服务相关角色权限 GuardDuty
GuardDuty 使用名为的服务相关角色(SLR)。AWSServiceRoleForAmazonGuardDutySLR GuardDuty 允许执行以下任务。还允许 GuardDuty 将检索到的属于该 EC2 实例的元数据包含在 GuardDuty 可能生成有关潜在威胁的调查发现中。AWSServiceRoleForAmazonGuardDuty 服务相关角色信任 guardduty.amazonaws.com 服务来代入角色。
这些权限策略有助于 GuardDuty 执行以下任务:
-
使用 Amazon EC2 操作管理和检索有关您的 EC2 实例、映像和联网组件(例如 VPCs子网和中转网关)的信息。
-
使用 Amazon Organizations 操作描述关联账户和组织 ID。
-
使用 Amazon S3 操作检索有关 S3 存储桶和对象的信息。
-
启用恶意软件防护的恶意软件防护的服务相关角色权限 EC2后,使用 IAM 创建。 EC2
该角色使用以下 Amazon 托管策略(名为 AmazonGuardDutyServiceRolePolicy)配置。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments" "organizations:ListAccounts", "organizations:DescribeAccount", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } } ] }
下面是附加到 AWSServiceRoleForAmazonGuardDuty 服务相关角色的信任策略:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
有关 AmazonGuardDutyServiceRolePolicy 策略更新的详细信息,请参阅 GuardDuty Amazon 托管策略的更新。要获得有关此策略更改的自动提醒,请订阅 文档历史记录 页面上的 RSS 源。
为创建服务相关角色 GuardDuty
在AWSServiceRoleForAmazonGuardDuty您首次启用时,或者在以前未启用 GuardDuty 此功能的受支持区域 GuardDuty 中启用它时,将自动创建。您还可以使用 IAM 控制台、或 IAM API,来手动创建服务相关角色。 Amazon CLI
重要
为 GuardDuty 委托管理员账户创建的服务相关角色不适用于成员 GuardDuty 账户。
您必须配置权限,允许 IAM 主体(如用户、组或角色)创建、编辑或删除服务相关角色。为了成功创建AWSServiceRoleForAmazonGuardDuty服务相关角色,您使用的 IAM 主体必须 GuardDuty 具有所需的权限。要授予所需的权限,请将以下策略附加到此 用户、组或角色:
注意
将以下示例account ID中的示例替换为您的实际 Amazon Web Services 账户 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
有关手动创建角色的更多信息,请参阅 IAM 用户指南中的创建服务相关角色。
为编辑服务相关角色 GuardDuty
GuardDuty 不允许编辑AWSServiceRoleForAmazonGuardDuty服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除的服务相关角色 GuardDuty
如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。
重要
如果您启用了恶意软件防护 EC2,删除AWSServiceRoleForAmazonGuardDuty不会自动删除AWSServiceRoleForAmazonGuardDutyMalwareProtection。如果要删除AWSServiceRoleForAmazonGuardDutyMalwareProtection,请参阅删除恶意软件防护的 EC2服务相关角色。
要删除,您必须先 GuardDuty 在启用该功能的所有区域中进行禁用AWSServiceRoleForAmazonGuardDuty。如果在尝试删除 GuardDuty 服务相关角色时未禁用服务,删除会失败。有关更多信息,请参阅 暂停或禁用 GuardDuty。
当您禁用时 GuardDuty,AWSServiceRoleForAmazonGuardDuty不会自动删除。如果您 GuardDuty 再次启用,将开始使用现有的AWSServiceRoleForAmazonGuardDuty。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 Amazon CLI、或 IAM API 删除AWSServiceRoleForAmazonGuardDuty服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
支持 Amazon Web Services 区域
Amazon GuardDuty 支持在所有可用 Amazon Web Services 区域 的地方 GuardDuty 使用AWSServiceRoleForAmazonGuardDuty服务相关角色。有关当前可用区域的列表,请参阅中的 Amazon GuardDuty 终端节点和配额Amazon Web Services 一般参考。 GuardDuty