翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスにリンクされたロールの権限 GuardDuty
GuardDuty という名前のサービスにリンクされたロール (SLR) を使用します。AWSServiceRoleForAmazonGuardDutySLR GuardDuty では以下のタスクを実行できます。また GuardDuty 、EC2 インスタンスに属する取得済みのメタデータを、 GuardDuty 潜在的な脅威に関して生成される可能性のある調査結果に含めることもできます。AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは、ロールを継承するために guardduty.amazonaws.com のサービスを信頼します。
GuardDuty アクセス権限ポリシーは次のタスクを実行するのに役立ちます。
-
Amazon EC2 アクションを使用して、EC2 インスタンス、イメージ、および VPC、サブネット、トランジットゲートウェイ、セキュリティグループなどのネットワークコンポーネントに関する情報を管理および取得します。
-
Amazon EC2 GuardDuty の自動エージェントでランタイムモニタリングを有効にする場合は、 AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの SSM アソシエーションを管理します。 GuardDuty 自動エージェント設定が無効な場合は、包含タグ (:)
GuardDutyManagedの付いた EC2 GuardDuty インスタンスのみが考慮されます。true -
AWS Organizations アクションを使用して、関連するアカウントと組織 ID を記述します。
-
Amazon S3 アクションを使用して S3 バケットとオブジェクトに関する情報を取得します。
-
AWS Lambda アクションを使用して Lambda 関数とタグに関する情報を取得します。
-
Amazon EKS アクションを使用して、EKS クラスターに関する情報を管理および取得し、EKS クラスター上の Amazon EKS アドオンを管理します。EKS アクションは、関連するタグに関する情報も取得します。 GuardDuty
-
Malware Protection が有効になった後、IAM を使用して、Malware Protection のためのサービスにリンクされたロールの許可 を作成します。
-
Amazon ECS アクションを使用して、Amazon ECS クラスターの管理や情報を取得し、
guarddutyActivateで、Amazon ECS アカウント設定を管理します。Amazon ECS に関連するアクションは、関連するタグに関する情報も取得します。 GuardDuty
ロールは、AmazonGuardDutyServiceRolePolicy と名付けられた次の AWS マネージドポリシーで構成されます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールにアタッチされている信頼ポリシーは次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
サービスにリンクされたロールの作成 GuardDuty
AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールは、初めて有効にしたとき、 GuardDuty GuardDuty または以前は有効にしていなかったサポート対象地域で有効にしたときに、自動的に作成されます。サービスにリンクされたロールは、IAM コンソール、、または IAM API を使用して手動で作成することもできます。 AWS CLI
重要
GuardDuty 委任された管理者アカウント用に作成されたサービスにリンクされたロールは、メンバーアカウントには適用されません。 GuardDuty
サービスにリンクされたロールの作成、編集、削除をIAM プリンシパル (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールを正常に作成するには、 GuardDuty 使用する IAM プリンシパルに必要な権限が必要です。必要なアクセス許可を付与するには、次のポリシーをこの ユーザー、グループ、またはロールにアタッチします。
注記
次の例のサンプルアカウント ID AWS を実際のアカウント ID に置き換えてください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「サービスにリンクされたロールを作成する」を参照してください。
のサービスにリンクされたロールを編集します。 GuardDuty
GuardDuty AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールは編集できません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
のサービスにリンクされたロールを削除する GuardDuty
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
重要
Malware Protection を有効にしている場合、AWSServiceRoleForAmazonGuardDuty を削除しても AWSServiceRoleForAmazonGuardDutyMalwareProtection は自動的に削除されません。AWSServiceRoleForAmazonGuardDutyMalwareProtection を削除するには、「Malware Protection のサービスにリンクされたロールの削除」を参照してください。
を削除するには、まず、 GuardDuty そのロールが有効になっているすべてのリージョンで無効にする必要があります。AWSServiceRoleForAmazonGuardDuty GuardDuty サービスにリンクされたロールを削除しようとしても、サービスが無効になっていなければ、削除は失敗します。詳細については、「サスペンドまたはディセーブル化 GuardDuty」を参照してください。
無効にしても GuardDuty、AWSServiceRoleForAmazonGuardDutyは自動的には削除されません。 GuardDuty 再度有効にすると、既存のものが使用され始めますAWSServiceRoleForAmazonGuardDuty。
サービスにリンクされたロールを IAM で手動削除するには
IAM コンソール、 AWS CLI、または IAM API を使用して、AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイドの「サービスリンクロールの削除」を参照してください。
サポートされています。 AWS リージョン
Amazon GuardDuty では、AWSServiceRoleForAmazonGuardDuty AWS リージョン GuardDuty 利用可能なすべての場所でサービスにリンクされたロールの使用をサポートしています。現在利用可能なリージョンのリストについては、の GuardDuty 「Amazon GuardDuty エンドポイントとクォータ」を参照してください。Amazon Web Services 全般のリファレンス
