AWS Amazon 管理ポリシー GuardDuty - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon 管理ポリシー GuardDuty

ユーザー、グループ、ロールにアクセス権限を追加するには、 AWS 自分でポリシーを作成するよりも管理ポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに始めるには、 AWS 管理ポリシーをご利用ください。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、IAM ユーザーガイドのAWS 管理ポリシー」を参照してください。

AWS AWS サービスは管理ポリシーを維持および更新します。 AWS 管理ポリシーの権限は変更できません。新しい機能をサポートするために、 AWS サービスによって管理ポリシーに権限が追加されることがあります。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。新しい機能がリリースされたとき、または新しい操作が可能になったときに、 AWS サービスが管理ポリシーを更新する可能性が最も高くなります。 AWS サービスは管理ポリシーから権限を削除しないため、ポリシーを更新しても既存の権限が損なわれることはありません。

さらに、 AWS 複数のサービスにまたがるジョブ機能の管理ポリシーもサポートされます。たとえば、ReadOnlyAccess AWS AWS 管理ポリシーはすべてのサービスとリソースへの読み取り専用アクセスを提供します。サービスが新しい機能を起動すると、 AWS 新しい操作やリソースに対する読み取り専用権限が追加されます。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

AWS 管理ポリシー:AmazonGuardDutyFullAccess

AmazonGuardDutyFullAccess ポリシーは IAM ID にアタッチできます。

このポリシーは、 GuardDuty ユーザーにすべてのアクションへのフルアクセスを許可する管理権限を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • GuardDuty— GuardDuty ユーザーにすべてのアクションへのフルアクセスを許可します。

  • IAM— GuardDuty ユーザーがサービスにリンクされたロールを作成できるようにします。これにより、 GuardDuty GuardDuty 管理者はメンバーアカウントを有効にできます。

  • Organizations— ユーザーは委任管理者を指定し、組織のメンバーを管理できます。 GuardDuty

AWSServiceRoleForAmazonGuardDutyMalwareProtectioniam:GetRole アクションを実行するアクセス権限によって、Malware Protection のサービスにリンクされたロール (SLR) がアカウントに存在するかどうかが明らかになります。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }

AWS 管理ポリシー:AmazonGuardDutyReadOnlyAccess

AmazonGuardDutyReadOnlyAccess ポリシーは IAM ID にアタッチできます。

このポリシーは、 GuardDuty GuardDuty ユーザーが組織の調査結果と詳細を閲覧できる読み取り専用権限を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • GuardDuty— GuardDuty ユーザは結果を表示したり、GetListDescribeまたはで始まる API 操作を実行したりできます。

  • Organizations— 委任された管理者アカウントの詳細など、 GuardDuty 組織の設定に関する情報をユーザーが取得できるようにします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }

AWS 管理ポリシー:AmazonGuardDutyServiceRolePolicy

IAM エンティティに AmazonGuardDutyServiceRolePolicy をアタッチすることはできません。 AWS この管理ポリシーは、 GuardDuty ユーザーに代わってアクションを実行できるサービスにリンクされたロールにアタッチされます。詳細については、「サービスにリンクされたロールの権限 GuardDuty」を参照してください。

GuardDuty AWS 管理ポリシーの更新

AWS GuardDuty このサービスが変更の追跡を開始してからの管理ポリシーの更新に関する詳細が表示されます。このページへの変更に関する自動通知を受け取るには、 GuardDuty ドキュメント履歴ページの RSS フィードを購読してください。

変更 説明 日付

AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新。

Amazon EC2 GuardDuty の自動エージェントでランタイムモニタリングを有効にする場合は、 AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの SSM アソシエーションを管理します。 GuardDuty 自動エージェント設定が無効な場合は、包含タグ (:) GuardDutyManaged の付いた EC2 GuardDuty インスタンスのみが考慮されます。true

2024 年 3 月 26 日

AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新。

GuardDuty 共有の Amazon VPC アカウントの組織 ID を取得し、組織 ID organization:DescribeOrganization を使用して Amazon VPC エンドポイントポリシーを設定する新しい権限を追加しました。

2024 年 2 月 9 日

AmazonGuardDutyMalwareProtectionServiceRoleポリシー — 既存のポリシーに更新します。

Malware Protection に 2 つの権限が追加されました。1 つは、マルウェアスキャンを開始する前に、(を使用して暗号化された AWS マネージドキー) EBS AWS アカウント ボリュームのスナップショットを取得し、 GuardDuty サービスアカウントにコピーすることです。GetSnapshotBlock ListSnapshotBlocks

2024 年 1 月 25 日

AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新

guarddutyActivateAmazon ECS GuardDuty アカウント設定を追加し、Amazon ECS クラスターのリスト操作と説明操作を実行できるようにする新しい権限を追加しました。

2023 年 11 月 26 日

AmazonGuardDutyReadOnlyAccess – 既存ポリシーへの更新

GuardDuty organizationsに新しいポリシーを追加しました。ListAccounts

2023 年 11 月 16 日

AmazonGuardDutyFullAccess – 既存ポリシーへの更新

GuardDuty organizationsto の新しいポリシーを追加しましたListAccounts

2023 年 11 月 16 日

AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新

GuardDuty 近日公開予定の GuardDuty EKS ランタイム監視機能をサポートする新しい権限を追加しました。

2023 年 3 月 8 日

AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新

GuardDuty GuardDuty マルウェア対策のサービスにリンクされたロールを作成できる新しい権限を追加しました。これにより、 GuardDutyマルウェア対策を有効にするプロセスを効率化できます。

GuardDuty 次の IAM アクションを実行できるようになりました。

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }
2023 年 2 月 21 日

AmazonGuardDutyFullAccess – 既存ポリシーへの更新

GuardDuty の ARN iam:GetRole *AWSServiceRoleForAmazonGuardDutyMalwareProtection がに更新されました。

2022 年 7 月 26 日

AmazonGuardDutyFullAccess – 既存ポリシーへの更新

GuardDuty AWSServiceNameiam:CreateServiceLinkedRole GuardDuty マルウェア対策サービスを使用してサービスにリンクされたロールを作成できるようにする新しい機能が追加されました。

GuardDuty iam:GetRoleの情報を取得するアクションを実行できるようになりました。AWSServiceRole

2022 年 7 月 26 日

AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新

GuardDuty 結果を改善するために Amazon EC2 GuardDuty ネットワークアクションを使用できるようにする新しい権限を追加しました。

GuardDuty 次の EC2 アクションを実行して、EC2 インスタンスの通信状況に関する情報を取得できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeTransitGatewayAttachments

2021 年 8 月 3 日

GuardDuty 変更の追跡を開始しました。

GuardDuty AWS 管理ポリシーの変更の追跡を開始しました。

2021 年 8 月 3 日