Malware Protection のためのサービスにリンクされたロールの許可 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection のためのサービスにリンクされたロールの許可

Malware Protection は、AWSServiceRoleForAmazonGuardDutyMalwareProtection というサービスにリンクされたロール (SLR) を使用します。この SLR により、Malware Protection はエージェントレススキャンを実行して、アカウント内のマルウェアを検出できます。 GuardDuty これにより、 GuardDuty アカウントに EBS ボリュームスナップショットを作成し、そのスナップショットをサービスアカウントと共有できます。 GuardDuty GuardDuty スナップショットを評価すると、取得した EC2 インスタンスとコンテナワークロードのメタデータがマルウェア対策の結果に含まれます。AWSServiceRoleForAmazonGuardDutyMalwareProtection サービスにリンクされたロールは、ロールを継承するために malware-protection.guardduty.amazonaws.com のサービスを信頼します。

このロールの権限ポリシーは、Malware Protection が以下のタスクを実行するのに役立ちます。

  • Amazon Elastic Compute Cloud (Amazon EC2) アクションを使用して、Amazon EC2 インスタンス、ボリューム、スナップショットに関する情報を取得します。Malware Protection は、Amazon EKS と Amazon ECS クラスターのメタデータにアクセスする許可も与えます。

  • GuardDutyExcluded タグが true に設定されていない EBS ボリュームのスナップショットを作成してください。デフォルトでは、GuardDutyScanId タグを持つスナップショットが作成されます。このタグを削除しないでください。削除すると、Malware Protection がスナップショットにアクセスできなくなります。

    重要

    GuardDutyExcludedをに設定するとtrue、 GuardDutyサービスはfuture これらのスナップショットにアクセスできなくなります。これは、このサービスにリンクされたロール内の他のステートメントでは、 GuardDuty がに設定されているスナップショットに対してアクションを実行できないためです。GuardDutyExcluded true

  • スナップショットの共有と削除を許可するのは、GuardDutyScanId タグが存在し、GuardDutyExcluded タグが true に設定されていない場合のみです。

    注記

    Malware Protection がスナップショットを公開することを許可しません。

  • GuardDutyExcludedタグがに設定されているものを除き、顧客管理キーにアクセスしてtrue、サービスアカウントと共有される暗号化されたスナップショットから暗号化された EBS ボリュームを呼び出しCreateGrant、作成し、アクセスします。 GuardDuty GuardDuty 各リージョンのサービスアカウントのリストについては、を参照してくださいGuardDuty 以下のサービスアカウント AWS リージョン

  • CloudWatch 顧客のログにアクセスしてマルウェア対策ロググループを作成し、そのロググループの下にマルウェアスキャンイベントログを配置します。/aws/guardduty/malware-scan-events

  • マルウェアが検出されたスナップショットを自分のアカウントに保持するかどうかをお客様が決定できるようにします。スキャンによってマルウェアが検出された場合、 GuardDuty サービスにリンクされたロールはスナップショットに 2 つのタグ (と) を追加できます。GuardDutyFindingDetected GuardDutyExcluded

    注記

    GuardDutyFindingDetected タグは、スナップショットにマルウェアが含まれていると指定します。

  • ボリュームが EBS 管理キーで暗号化されているかどうかを確認します。 GuardDuty アカウント内の EBS DescribeKey key Id 管理キーを特定するアクションを実行します。

  • を使用して暗号化された EBS AWS アカウント ボリュームのスナップショットをから取得し AWS マネージドキー、にコピーします。GuardDuty サービスアカウントこのためには、GetSnapshotBlock権限とを使用します。ListSnapshotBlocks GuardDuty 次に、サービスアカウントのスナップショットをスキャンします。現在のところ、で暗号化された EBS ボリュームのスキャンに対するマルウェア対策サポートは、 AWS マネージドキー 一部のでは利用できない場合があります。 AWS リージョン詳細については、「リージョン固有機能の可用性」を参照してください。

  • Amazon EC2 AWS KMS がマルウェア対策に代わって呼び出して、お客様が管理するキーに対して複数の暗号化アクションを実行できるようにします。kms:ReEncryptTokms:ReEncryptFrom のようなアクションは、カスタマーマネージドキーで暗号化されたスナップショットを共有するために必要です。GuardDutyExcluded タグが true に設定されていないキーだけがアクセス可能です。

ロールは、AmazonGuardDutyMalwareProtectionServiceRolePolicy と名付けられた次の AWS マネージドポリシーで構成されます。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }

AWSServiceRoleForAmazonGuardDutyMalwareProtection サービスにリンクされたロールにアタッチされている信頼ポリシーは次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Malware Protection のサービスにリンクされたロールの作成

Malware Protection を初めて有効にするか、以前に有効にしていなかったサポート対象リージョンで Malware Protection を有効にした場合は、AWSServiceRoleForAmazonGuardDutyMalwareProtection のサービスにリンクされたロールが自動的に生成されます。IAM コンソール、IAM CLI、あるいは IAM API を使って、AWSServiceRoleForAmazonGuardDutyMalwareProtection サービスにリンクされたロールを手動で作成することもできます。

注記

デフォルトでは、Amazon を初めて使用する場合 GuardDuty、マルウェア対策は自動的に有効になります。

重要

GuardDuty 委任された管理者アカウント用に作成されたサービスにリンクされたロールは、メンバーアカウントには適用されません。 GuardDuty

サービスにリンクされたロールの作成、編集、削除をIAM プリンシパル (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。AWSServiceRoleForAmazonGuardDutyMalwareProtectionサービスにリンクされたロールを正常に作成するには、 GuardDuty 使用する IAM ID に必要な権限が必要です。必要なアクセス許可を付与するには、次のポリシーをこの ユーザー、グループ、またはロールにアタッチします。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }

IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「サービスにリンクされたロールを作成する」を参照してください。

Malware Protection のサービスにリンクされたロールの編集

Malware Protection では、AWSServiceRoleForAmazonGuardDutyMalwareProtection サービスにリンクされたロールを編集できません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

Malware Protection のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

重要

AWSServiceRoleForAmazonGuardDutyMalwareProtection を削除するためには、有効になっているすべてのリージョンで、最初に Malware Protection を削除する必要があります。

サービスにリンクされたロールを削除しようとしたときに Malware Protection サービスが無効になっていない場合、削除は失敗します。詳細については、「 GuardDuty起動型の不正プログラム検索を有効または無効にするには」を参照してください。

[無効] を選択して Malware Protection サービスを停止しても、AWSServiceRoleForAmazonGuardDutyMalwareProtection は自動的に削除されません。次に [有効化] GuardDuty を選択してマルウェア対策サービスを再開すると、既存のものの使用が開始されます。AWSServiceRoleForAmazonGuardDutyMalwareProtection

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または IAM API を使用して、AWSServiceRoleForAmazonGuardDutyMalwareProtectionサービスにリンクされたロールを削除します。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの削除」を参照してください。

サポートされています。 AWS リージョン

Amazonは、 GuardDuty AWSServiceRoleForAmazonGuardDutyMalwareProtection AWS リージョン マルウェア対策が利用可能なすべての場所でサービスにリンクされたロールの使用をサポートしています。

現在利用可能なリージョンのリストについては、の GuardDuty 「Amazon GuardDuty エンドポイントとクォータ」を参照してください。Amazon Web Services 全般のリファレンス

注記

マルウェア対策は現在 AWS GovCloud (米国東部) と AWS GovCloud (米国西部) ではご利用いただけません。