将服务相关角色用于 Amazon GuardDuty - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于 Amazon GuardDuty

Amazon GuardDuty 使用Amazon Identity and Access Management(IAM)服务相关角色. 服务相关角色是一种与 GuardDuty 直接关联的独特类型的 IAM 角色。GuardDuty 预定义服务相关角色,并包含 GuardDuty 调用其他Amazon服务。

您可以使用服务相关角色轻松设置 GuardDuty,因为您不必手动添加所需的权限。GuardDuty 定义其服务相关角色的权限,除非另外定义,否则,仅 GuardDuty 可以担任该角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。

GuardDuty 支持在提供 GuardDuty 的所有区域中使用服务相关角色。有关更多信息,请参阅区域和终端节点

您必须首先在启用了的所有区域中禁用 GuardDuty 的 GuardDuty 服务相关角色,然后才能删除 GuardDuty 服务相关角色。这会保护 GuardDuty 资源,因为您不会无意中删除这些资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅Amazon使用 IAM 的服务中的IAM 用户指南并寻找具有中的服务相关角色column. 选择 Yes 与查看该服务的服务相关角色文档的链接。

GuardDuty 的服务相关角色权限

GuardDuty 使用名为的服务相关角色。AWSServiceRoleForAmazonGuardDuty. 此服务相关角色允许 GuardDuty 检索Amazon环境中涉及潜在可疑活动。它还允许 GuardDuty 将检索到的 EC2 实例元数据包含在 GuardDuty 生成的关于潜在可疑活动的调查结果中。AWSServiceRoleForAmazonGuardDuty 服务相关角色信任 guardduty.amazonaws.com 服务来代入角色。

角色的权限策略允许 GuardDuty 执行以下任务:

  • 使用 Amazon EC2 操作检索有关 EC2 实例和映像的信息。

  • 使用 Amazon EC2 操作检索有关 EC2 网络组件(如 VPC、子网和传输网关)的信息。

  • 使用 Amazon S3 操作检索有关 S3 存储桶和数据元的信息。

  • 使用Amazon Organizations操作来描述关联帐户。

该角色配置为以下Amazon管理的策略,名为AWSServiceRoleForAmazonGuardDuty.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments" "organizations:ListAccounts", "organizations:DescribeAccount", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", ], "Resource": "*" } ] }

下面是附加到 AWSServiceRoleForAmazonGuardDuty 服务相关角色的信任策略:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

为 GuardDuty 创建服务相关角色

这些区域有:AWSServiceRoleForAmazonGuardDuty在您首次启用 GuardDuty 时,或者在之前未启用 GuardDuty 的受支持的区域中启用 GuardDuty 时,将自动创建服务相关角色。您也可以创建AWSServiceRoleForAmazonGuardDuty使用 IAM 控制台、IAM CLI 或 IAM API 手动执行服务相关角色。

重要

为 GuardDuty 委派管理员账户创建的服务相关角色不应用到成员 GuardDuty 账户。

您必须配置权限以允许 IAM 实体(例如,用户、组或角色)创建、编辑或删除服务相关角色。对于AWSServiceRoleForAmazonGuardDuty要成功创建服务相关角色,您将 GuardDuty 用于的 IAM 身份必须具有所需的权限。要授予所需的权限,必须将以下策略附加到此 IAM 用户、组或角色:

注意

将以下示例中的示例账户 ID 替换为您的实际Amazon账户 ID。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::1234567890123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }

有关手动创建角色的更多信息,请参阅创建服务相关角色中的IAM 用户指南.

编辑 GuardDuty 的服务相关角色

GuardDuty 不允许您编辑AWSServiceRoleForAmazonGuardDuty服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 GuardDuty 的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。

重要

要删除,您必须先在启用了的所有区域中禁用 GuardDuty。AWSServiceRoleForAmazonGuardDuty.

如果在您尝试删除服务相关角色时未禁用 GuardDuty 服务,删除将失败。有关更多信息,请参阅暂停或禁用

当您禁用 “GuardDuty” 时,AWSServiceRoleForAmazonGuardDuty不会自动删除。如果您之后再次启用 GuardDuty,它将开始使用现有的AWSServiceRoleForAmazonGuardDuty.

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除AWSServiceRoleForAmazonGuardDuty服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色