AWS Amazon の マネージドポリシー GuardDuty

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「 ユーザーガイド」のAWS 「 管理ポリシー」を参照してください。 IAM

AWS サービスは、 AWS マネージドポリシーを維持および更新します。 AWS マネージドポリシーのアクセス許可は変更できません。サービスは、新しい機能をサポートするために、 AWS マネージドポリシーに追加のアクセス許可を追加することがあります。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは、新機能の起動時または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、 ReadOnlyAccess AWS マネージドポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ関数ポリシーのリストと説明については、「 ユーザーガイド」のAWS 「ジョブ関数のマネージドポリシー」を参照してください。 IAM

Version ポリシー要素は、このポリシーを処理するために使用される言語構文ルールを指定します。次のポリシーには、 がIAMサポートする最新バージョンが含まれています。詳細については、IAMJSON「ポリシー要素: バージョン 」を参照してください。

AWS マネージドポリシー：AmazonGuardDutyFullAccess

ID IAM にAmazonGuardDutyFullAccessポリシーをアタッチできます。

このポリシーは、ユーザーにすべての GuardDuty アクションへのフルアクセスを許可する管理アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• GuardDuty – ユーザーにすべての GuardDutyアクションへのフルアクセスを許可します。

• IAM:

  • ユーザーが GuardDuty サービスにリンクされたロールを作成できるようにします。

  • 管理者アカウントがメンバーアカウント GuardDuty に対して を有効にすることを許可します。

  • このロール GuardDuty を使用して GuardDuty Malware Protection for S3 機能を有効にするロールを に渡すことをユーザーに許可します。これは、Malware Protection for S3 を GuardDuty サービス内または個別に有効にする方法に関係なく異なります。

• Organizations – ユーザーは、委任された管理者を指定し、 GuardDuty 組織のメンバーを管理できます。

でiam:GetRoleアクションを実行するアクセス許可は、Malware Protection for のサービスにリンクされたロール (SLR) がアカウントEC2に存在するかどうかAWSServiceRoleForAmazonGuardDutyMalwareProtectionを確立します。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS マネージドポリシー：AmazonGuardDutyReadOnlyAccess

ID IAM にAmazonGuardDutyReadOnlyAccessポリシーをアタッチできます。

このポリシーは、ユーザーが GuardDuty 組織 GuardDuty の結果と詳細を表示できるようにする読み取り専用アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• GuardDuty – ユーザーが GuardDuty 結果を表示しList、Get、、または で始まるAPIオペレーションを実行できるようにしますDescribe。

• Organizations – 委任された管理者アカウントの詳細など、ユーザーが GuardDuty 組織設定に関する情報を取得できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー：AmazonGuardDutyServiceRolePolicy

IAM エンティティAmazonGuardDutyServiceRolePolicyにアタッチすることはできません。この AWS 管理ポリシーは、 がユーザーに代わって GuardDuty アクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「のサービスにリンクされたロールのアクセス許可 GuardDuty」を参照してください。

GuardDuty AWS マネージドポリシーの更新

このサービスがこれらの変更の追跡を開始 GuardDuty してからの AWS の管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 GuardDuty ドキュメント履歴ページのRSSフィードにサブスクライブします。

変更	説明	日付
AmazonGuardDutyServiceRolePolicy - 既存ポリシーへの更新	アクセスec2:DescribeVpcs許可を追加しました。これにより GuardDuty 、 の取得などのVPC更新を追跡できますVPCCIDR。	2024 年 8 月 22 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新	Malware Protection for S3 を有効にするときにIAMロールを GuardDutyに渡すことができるアクセス許可を追加しました。 { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }	2024 年 6 月 10 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新。	Amazon の自動エージェントで GuardDuty ランタイムモニタリングを有効にする場合は、 AWS Systems Manager アクションを使用して Amazon EC2インスタンスのSSM関連付けを管理しますEC2。 GuardDuty 自動エージェント設定が無効になっている場合、 GuardDuty は包含タグ (GuardDutyManaged:) を持つEC2インスタンスのみを考慮しますtrue。	2024 年 3 月 26 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新。	GuardDuty は、共有 Amazon VPCアカウントの組織 ID を取得し、Amazon VPCエンドポイントポリシーを組織 ID で設定organization:DescribeOrganizationするための新しいアクセス許可を追加しました。	2024 年 2 月 9 日
AmazonGuardDutyMalwareProtectionServiceRolePolicy – 既存ポリシーへの更新。	Malware Protection for EC2 には、 AWS マネージドキーからEBS AWS アカウント ボリュームのスナップショット ( を使用して暗号化) を取得し、マルウェアスキャンを開始する前に GuardDuty サービスアカウントにコピーGetSnapshotBlockListSnapshotBlocksするための と の 2 つのアクセス許可が追加されました。	2024 年 1 月 25 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新	Amazon ECSアカウント設定の追加、guarddutyActivateAmazon ECSクラスターに対するリストと説明オペレーションの実行 GuardDuty を許可する新しいアクセス許可を追加しました。	2023 年 11 月 26 日
AmazonGuardDutyReadOnlyAccess – 既存ポリシーへの更新	GuardDuty に の新しいポリシーを追加しましたorganizationsListAccounts。	2023 年 11 月 16 日
AmazonGuardDutyFullAccess – 既存ポリシーへの更新	GuardDuty に の新しいポリシーを追加しましたorganizationsListAccounts。	2023 年 11 月 16 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新	GuardDuty に、今後の GuardDutyEKSランタイムモニタリング機能をサポートする新しいアクセス許可が追加されました。	2023 年 3 月 8 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新	GuardDuty は、 の Malware Protection のサービスにリンクされたロールを作成 GuardDuty するための新しいアクセス許可を追加しました。 EC2これにより、 の Malware Protection を有効にするプロセスを合理化できます GuardDutyEC2。 GuardDuty は次のIAMアクションを実行できるようになりました。 { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }	2023 年 2 月 21 日
AmazonGuardDutyFullAccess – 既存ポリシーへの更新	GuardDuty ARNは を iam:GetRoleに更新しました*AWSServiceRoleForAmazonGuardDutyMalwareProtection。	2022 年 7 月 26 日
AmazonGuardDutyFullAccess – 既存ポリシーへの更新	GuardDuty に、 iam:CreateServiceLinkedRole for GuardDuty Malware Protection for EC2 Service を使用してサービスにリンクされたロールを作成AWSServiceNameできるようにする新しい が追加されました。 GuardDuty は iam:GetRoleアクションを実行して、 の情報を取得できるようになりましたAWSServiceRole。	2022 年 7 月 26 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新	GuardDuty Amazon EC2ネットワークアクションを使用して検出結果を改善することを GuardDuty に許可する新しいアクセス許可を追加しました。 GuardDuty では、EC2インスタンスの通信方法に関する情報を取得するために、次のEC2アクションを実行できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。 ec2:DescribeVpcEndpoints ec2:DescribeSubnets ec2:DescribeVpcPeeringConnections ec2:DescribeTransitGatewayAttachments	2021 年 8 月 3 日
GuardDuty 変更の追跡を開始しました	GuardDuty は、 AWS マネージドポリシーの変更の追跡を開始しました。	2021 年 8 月 3 日