のサービスにリンクされたロールのアクセス許可 GuardDuty - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスにリンクされたロールのアクセス許可 GuardDuty

GuardDuty は、 という名前のサービスにリンクされたロール (SLR) を使用しますAWSServiceRoleForAmazonGuardDuty。SLR では GuardDuty 、次のタスクを実行できます。また GuardDuty 、 は、潜在的な脅威について生成 GuardDuty する可能性のある検出結果に、EC2インスタンスに属する取得されたメタデータを含めることもできます。AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは、ロールを継承するために guardduty.amazonaws.com のサービスを信頼します。

アクセス許可ポリシーは、以下のタスク GuardDuty を実行するのに役立ちます。

  • Amazon EC2アクションを使用して、、サブネット、トランジットゲートウェイなどのEC2インスタンスVPCs、イメージ、ネットワークコンポーネントに関する情報を管理および取得します。

  • Amazon の自動エージェントで GuardDuty Runtime Monitoring を有効にする場合は、 AWS Systems Manager アクションを使用して Amazon EC2インスタンスのSSM関連付けを管理しますEC2。 GuardDuty 自動エージェント設定が無効になっている場合、包含タグ (GuardDutyManagedtrue) を持つEC2インスタンスのみ GuardDuty を考慮します。

  • AWS Organizations アクションを使用して、関連するアカウントと組織 ID を記述します。

  • Amazon S3 アクションを使用して S3 バケットとオブジェクトに関する情報を取得します。

  • AWS Lambda アクションを使用して、Lambda 関数とタグに関する情報を取得します。

  • Amazon EKSアクションを使用して、EKSクラスターに関する情報を管理および取得し、EKSクラスターの Amazon EKS アドオンを管理します。EKS アクションは、 に関連付けられているタグに関する情報も取得します GuardDuty。

  • の Malware Protection が有効になったMalware Protection for のサービスにリンクされたロールのアクセス許可 EC2らEC2、 IAMを使用して を作成します。

  • Amazon ECSアクションを使用して、Amazon ECSクラスターに関する情報を管理および取得し、 で Amazon ECSアカウント設定を管理しますguarddutyActivate。Amazon に関連するアクションは、 に関連付けられたタグに関する情報ECSも取得します GuardDuty。

ロールは、AmazonGuardDutyServiceRolePolicy と名付けられた次の AWS マネージドポリシーで構成されます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }

AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールにアタッチされている信頼ポリシーは次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

AmazonGuardDutyServiceRolePolicy ポリシーへの更新詳細については、GuardDuty AWS 管理ポリシーの更新 を参照してください。このポリシーの変更に関する自動アラートを受け取るには、 ドキュメント履歴 ページのRSSフィードをサブスクライブします。

のサービスにリンクされたロールの作成 GuardDuty

AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは、 GuardDuty を初めて有効にするか、以前に有効にしていなかったサポートされているリージョン GuardDuty で を有効にすると自動的に作成されます。IAM コンソール、、 AWS CLIまたは を使用して、サービスにリンクされたロールを手動で作成することもできますIAMAPI。

重要

GuardDuty 委任管理者アカウント用に作成されたサービスにリンクされたロールは、メンバー GuardDuty アカウントには適用されません。

IAM プリンシパル (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを正常に作成するには、 GuardDuty で使用するIAMプリンシパルに必要なアクセス許可が必要です。必要なアクセス許可を付与するには、次のポリシーをこの ユーザー、グループ、またはロールにアタッチします。

注記

サンプルの交換 account ID 実際の AWS アカウント ID の を次の例に示します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }

ロールの手動作成の詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの作成IAM」を参照してください。

のサービスにリンクされたロールの編集 GuardDuty

GuardDuty では、AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

のサービスにリンクされたロールの削除 GuardDuty

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

重要

の Malware Protection を有効にしている場合EC2、 を削除しても は自動的に削除AWSServiceRoleForAmazonGuardDutyされませんAWSServiceRoleForAmazonGuardDutyMalwareProtection。を削除する場合はAWSServiceRoleForAmazonGuardDutyMalwareProtection、「 の Malware Protection のサービスにリンクされたロールの削除EC2」を参照してください。

を削除するには GuardDuty 、まず、 が有効になっているすべてのリージョンで を無効にする必要がありますAWSServiceRoleForAmazonGuardDuty。 GuardDuty サービスにリンクされたロールを削除しようとしたときにサービスが無効になっていない場合、削除は失敗します。詳細については、「一時停止または無効化 GuardDuty」を参照してください。

を無効にすると GuardDuty、 は自動的に削除AWSServiceRoleForAmazonGuardDutyされません。 GuardDuty を再度有効にすると、既存の の使用が開始されますAWSServiceRoleForAmazonGuardDuty

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、、または を使用して AWS CLI、AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールIAMAPIを削除します。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。

サポート対象 AWS リージョン

Amazon は、 AWS リージョン GuardDuty が利用可能なすべての で、AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールの使用 GuardDuty をサポートしています。 GuardDuty が現在利用可能なリージョンのリストについては、「」の「Amazon GuardDuty エンドポイントとクォータ」を参照してくださいAmazon Web Services 全般のリファレンス