翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon の マネージドポリシー GuardDuty
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「IAM ユーザーガイド」の「 AWS 管理ポリシー」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS マネージドポリシーにアクセス許可を追加することがあります。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは、新機能の起動時または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。
さらに、 は、複数の サービスにまたがる職務機能の マネージドポリシー AWS をサポートします。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。
AWS マネージドポリシー: AmazonGuardDutyFullAccess
AmazonGuardDutyFullAccess
ポリシーは IAM ID にアタッチできます。
このポリシーは、ユーザーにすべての GuardDuty アクションへのフルアクセスを許可する管理アクセス許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
GuardDuty
– すべての GuardDutyアクションへのフルアクセスをユーザーに許可します。 -
IAM
:-
GuardDuty サービスにリンクされたロールの作成をユーザーに許可します。
-
管理者アカウントがメンバーアカウント GuardDuty に対して を有効にすることを許可します。
-
ユーザーが、このロール GuardDuty を使用して GuardDuty Malware Protection for S3 機能を有効にするロールを に渡すことを許可します。これは、 GuardDuty サービス内で、または個別に S3 の Malware Protection を有効にする方法とは関係ありません。
-
-
Organizations
– ユーザーが委任された管理者を指定し、 GuardDuty 組織のメンバーを管理できるようにします。
でiam:GetRole
アクションを実行するアクセス許可は、Malware Protection for EC2 のサービスにリンクされたロール (SLR) がアカウントに存在するかどうかAWSServiceRoleForAmazonGuardDutyMalwareProtection
を確立します。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS マネージドポリシー: AmazonGuardDutyReadOnlyAccess
AmazonGuardDutyReadOnlyAccess
ポリシーは IAM ID にアタッチできます。
このポリシーは、ユーザーが GuardDuty 組織 GuardDuty の結果と詳細を表示できるようにする読み取り専用アクセス許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
GuardDuty
– ユーザーが GuardDuty 結果を表示し、Get
、、List
または で始まる API オペレーションを実行できるようにしますDescribe
。 -
Organizations
– 委任された管理者アカウントの詳細など、 GuardDuty 組織設定に関する情報の取得をユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
AWS マネージドポリシー: AmazonGuardDutyServiceRolePolicy
IAM エンティティに AmazonGuardDutyServiceRolePolicy
をアタッチすることはできません。この AWS 管理ポリシーは、 がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロール GuardDuty にアタッチされます。詳細については、「のサービスにリンクされたロールのアクセス許可 GuardDuty」を参照してください。
GuardDuty AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始した GuardDuty 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 GuardDuty ドキュメント履歴ページの RSS フィードをサブスクライブしてください。
変更 | 説明 | 日付 |
---|---|---|
AmazonGuardDutyFullAccess - 既存ポリシーへの更新 |
Malware Protection for S3 を有効にするときに IAM ロールを GuardDuty に渡すことができるアクセス許可を追加しました。
|
2024 年 6 月 10 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新。 |
Amazon EC2 の自動エージェントで Runtime Monitoring を有効にする場合は、 AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの GuardDuty SSM 関連付けを管理します。 GuardDuty 自動エージェント設定が無効になっている場合、包含タグ ( |
2024 年 3 月 26 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新。 |
GuardDuty は、共有 Amazon VPC アカウントの組織 ID を取得し、組織 ID で Amazon VPC エンドポイントポリシーを設定 |
2024 年 2 月 9 日 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy – 既存ポリシーへの更新。 |
Malware Protection for EC2 に 2 つのアクセス許可が追加されました。 |
2024 年 1 月 25 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
が |
2023 年 11 月 26 日 |
AmazonGuardDutyReadOnlyAccess – 既存ポリシーへの更新 |
GuardDuty は、 の新しいポリシーorganizations を に追加しましたListAccounts 。 |
2023 年 11 月 16 日 |
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty は、 の新しいポリシーorganizations を に追加しましたListAccounts 。 |
2023 年 11 月 16 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty は、今後の GuardDuty EKS Runtime Monitoring 機能をサポートする新しいアクセス許可を追加しました。 |
2023 年 3 月 8 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty は、 GuardDuty が Malware Protection for EC2 のサービスにリンクされたロールを作成できるようにする新しいアクセス許可を追加しました。これにより、 GuardDutyEC2 の Malware Protection を有効にするプロセスを合理化できます。 GuardDuty では、次の IAM アクションを実行できるようになりました。
|
2023 年 2 月 21 日 |
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty が の ARN を |
2022 年 7 月 26 日 |
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty は、EC2 サービス GuardDuty で |
2022 年 7 月 26 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty は、Amazon EC2 ネットワークアクションを使用して検出結果を改善 GuardDuty できるようにする新しいアクセス許可を追加しました。 GuardDuty では、次の EC2 アクションを実行して、EC2 インスタンスの通信方法に関する情報を取得できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。
|
2021 年 8 月 3 日 |
GuardDuty が変更の追跡を開始しました |
GuardDuty が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 8 月 3 日 |