Amazon GuardDuty の AWS マネージドポリシー - Amazon GuardDuty

Amazon GuardDuty の AWS マネージドポリシー

ユーザー、グループ、ロールに許可を追加するには、自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスは、AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに許可が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーから許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。

さらに、AWS は、複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は、新たなオペレーションとリソース用に、読み取り専用の許可を追加します。職務機能ポリシーのリストと説明については、「IAM ユーザーガイド」の「ジョブ機能の AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AmazonGuardDutyFullAccess

AmazonGuardDutyFullAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーにより、すべての GuardDuty アクションに対するフルアクセスをユーザーに許可する管理者許可を付与します。

許可の詳細

このポリシーには、次の許可が含まれています。

  • GuardDuty — すべての GuardDuty アクションに対するフルアクセスをユーザーに許可します。

  • IAM — GuardDuty サービスにリンクされたロールの作成をユーザーに許可します。これにより、GuardDuty 管理者はメンバーアカウントで GuardDuty を有効にできます。

  • Organizations — GuardDuty Organization の委任された管理者やマネージドメンバーを指定できるようになります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }

AWS マネージドポリシー: AmazonGuardDutyReadOnlyAccess

AmazonGuardDutyReadOnlyAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーは、ユーザーが GuardDuty の検出結果と GuardDuty 組織の詳細を表示できるようにするための読み取り専用アクセスを許可します。

許可の詳細

このポリシーには、次の許可が含まれています。

  • GuardDuty — ユーザーが GuardDuty の検出結果を表示し、GetList、または Describe で始まる API オペレーションを実行できるようにします。

  • Organizations — ユーザーは委任された管理者のアカウントの詳細を含む GuardDuty organization の構成に関する情報を取得できるようになります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }

AWS マネージドポリシー: AWSServiceRoleForAmazonGuardDuty

IAM エンティティに AWSServiceRoleForAmazonGuardDuty をアタッチすることはできません。この AWS マネージドポリシーは、ユーザーに代わって GuardDuty を許可するサービスにリンクされたロールにアタッチされます。詳細については、「サービスにリンクされたロールの使用」を参照してください。

GuardDuty は AWS マネージドポリシーを更新します。

GuardDuty の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動アラートについては、GuardDuty の [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

AmazonGuardDutyFullAccess – 既存ポリシーへの更新。

GuardDuty が iam:GetRole の ARN を *AWSServiceRoleForAmazonGuardDutyMalwareProtection に更新しました。

2022 年 7 月 26 日

AmazonGuardDutyFullAccess – 既存ポリシーへの更新。

GuardDuty Malware Protection サービスの iam:CreateServiceLinkedRole を使用したサービスリンクロールの作成を許可するため、GuardDuty では、新しい AWSServiceName が追加されました。

GuardDuty で、AWSServiceRole の情報を得るための iam:GetRole アクションを実行できるようになりました。

2022 年 7 月 26 日

AWSServiceRoleForAmazonGuardDuty - 既存のポリシーへの更新

GuardDuty は、GuardDuty が Amazon EC2 ネットワークアクションを使用して検出結果を改善できるようにするための新しい許可を追加しました。

GuardDuty は次の EC2 アクションを実行して、EC2 インスタンスの通信方法に関する情報を取得できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

2021 年 8 月 3 日

GuardDuty が変更のトラッキングを開始しました

GuardDuty が、AWS マネージドポリシーの変更の追跡を開始しました。

2021 年 8 月 3 日