Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Service-linked autorizzazioni di ruolo per GuardDuty
GuardDuty utilizza il ruolo collegato al servizio (SLR) denominato. `AWSServiceRoleForAmazonGuardDuty` La SLR consente di GuardDuty eseguire le seguenti attività. Consente inoltre di GuardDuty includere i metadati recuperati appartenenti all'istanza EC2 nei risultati che GuardDuty possono generare sulla potenziale minaccia. Ai fini dell'assunzione del ruolo `AWSServiceRoleForAmazonGuardDuty`, il ruolo collegato ai servizi `guardduty.amazonaws.com`considera attendibile il servizio.
Le politiche di autorizzazione aiutano a GuardDuty svolgere le seguenti attività:
+ Usa le azioni di Amazon EC2 per gestire e recuperare informazioni sulle tue istanze EC2, immagini e componenti di rete come VPC, sottoreti e gateway di transito.
+ Usa AWS Systems Manager le azioni per gestire le associazioni SSM sulle istanze Amazon EC2 quando GuardDuty abiliti il monitoraggio del runtime con agente automatizzato per Amazon EC2. Quando la configurazione GuardDuty automatizzata degli agenti è disabilitata, GuardDuty considera solo le istanze EC2 che hanno un tag di inclusione (:). `GuardDutyManaged` `true`
+ Utilizza AWS Organizations le azioni per descrivere gli account e l'ID dell'organizzazione associati.
+ Utilizzare le operazioni di Amazon S3 per recuperare informazioni su bucket e oggetti S3.
+ Usa AWS Lambda le azioni per recuperare informazioni sulle funzioni e sui tag Lambda.
+ Utilizzare le operazioni di Amazon EKS per gestire e recuperare informazioni sui cluster EKS e gestire i [Componenti aggiuntivi di Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html) su questi cluster. Le azioni EKS recuperano anche le informazioni sui tag associati a. GuardDuty
+ Usa IAM per creare il Malware Protection for EC2 [Service-linked autorizzazioni di ruolo per Malware Protection for EC2](slr-permissions-malware-protection.md) dopo che è stata abilitata.
+ Utilizza le azioni Amazon ECS per gestire e recuperare informazioni sui cluster Amazon ECS, recuperare informazioni sulle attività e le definizioni delle attività e gestire le impostazioni dell'account Amazon ECS con. `guarddutyActivate` Le azioni relative ad Amazon ECS recuperano anche le informazioni sui tag associati a. GuardDuty
Il ruolo è configurato con le seguenti [policy gestite da AWS](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol), denominate `AmazonGuardDutyServiceRolePolicy`.
Per esaminare le autorizzazioni relative a questa politica, consulta la *AWS Managed* Policy [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)Reference Guide.
Di seguito è riportata la policy di attendibilità associata al ruolo collegato ai servizi `AWSServiceRoleForAmazonGuardDuty`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Per i dettagli sugli aggiornamenti della `AmazonGuardDutyServiceRolePolicy` politica, consulta[GuardDuty aggiornamenti alle politiche gestite AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Per ricevere avvisi automatici sulle modifiche a questa politica, iscriviti al feed RSS presente nella [Cronologia dei documenti](doc-history.md) pagina.
## Creazione di un ruolo collegato al servizio per GuardDuty
Il ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio viene creato automaticamente quando lo si abilita GuardDuty per la prima volta o si abilita GuardDuty in una regione supportata in cui in precedenza non era abilitato. Puoi anche creare il ruolo collegato al servizio manualmente utilizzando la console IAM, l'API IAM o l'API AWS CLI IAM.
**Importante**
Il ruolo collegato al servizio creato per l'account amministratore GuardDuty delegato non si applica agli account dei membri. GuardDuty
Per consentire a un principale IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. `AWSServiceRoleForAmazonGuardDuty`Affinché il ruolo collegato al servizio venga creato correttamente, il principale IAM con cui lo utilizzi deve disporre delle autorizzazioni GuardDuty richieste. Per concedere le autorizzazioni richieste, collega la seguente policy gestita a questo utente, gruppo o ruolo .
**Nota**
Sostituisci l'esempio riportato {{account ID}} nell'esempio seguente con il tuo ID effettivo. Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::{{123456789012}}:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::{{123456789012}}:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
## Modifica di un ruolo collegato al servizio per GuardDuty
GuardDuty non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonGuardDuty` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per GuardDuty
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
**Importante**
Se hai abilitato Malware Protection for EC2, l'eliminazione non comporta l'eliminazione automatica`AWSServiceRoleForAmazonGuardDuty`. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Se desideri eliminare`AWSServiceRoleForAmazonGuardDutyMalwareProtection`, consulta [Eliminazione di un ruolo collegato al servizio per Malware Protection for EC2](slr-permissions-malware-protection#delete-slr).
Devi prima disabilitarlo GuardDuty in tutte le regioni in cui è abilitato per eliminare il. `AWSServiceRoleForAmazonGuardDuty` Se il GuardDuty servizio non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione non riesce. Per ulteriori informazioni, consulta [Sospensione o disabilitazione GuardDuty](guardduty_suspend-disable.md).
Quando si disattiva GuardDuty, `AWSServiceRoleForAmazonGuardDuty` non viene eliminato automaticamente. Se lo abiliti GuardDuty nuovamente, inizierà a utilizzare l'esistente`AWSServiceRoleForAmazonGuardDuty`.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l'API IAM per eliminare il ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Supportato Regioni AWS
Amazon GuardDuty supporta l'utilizzo del ruolo `AWSServiceRoleForAmazonGuardDuty` collegato al servizio Regioni AWS ovunque GuardDuty sia disponibile. Per un elenco delle regioni in cui GuardDuty è attualmente disponibile, consulta gli [ GuardDuty endpoint e le quote di Amazon](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) nel. *Riferimenti generali di Amazon Web Services*