翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のサービスにリンクされたロールのアクセス許可 GuardDuty
GuardDuty は、 という名前のサービスにリンクされたロール (SLR) を使用しますAWSServiceRoleForAmazonGuardDuty。SLR では GuardDuty 、 は次のタスクを実行できます。また GuardDuty 、 は、EC2 インスタンスに属する取得されたメタデータを、潜在的な脅威について生成する GuardDuty 可能性のある検出結果に含めることもできます。AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは、ロールを継承するために guardduty.amazonaws.com のサービスを信頼します。
アクセス許可ポリシーは、以下のタスク GuardDuty を実行するのに役立ちます。
-
Amazon EC2 アクションを使用して、VPC、サブネット、トランジットゲートウェイなどの EC2 VPCs インスタンス、イメージ、ネットワークコンポーネントに関する情報を管理および取得します。
-
Amazon EC2 の自動エージェントで Runtime Monitoring を有効にする場合は、 AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの GuardDuty SSM 関連付けを管理します。 GuardDuty 自動エージェント設定が無効になっている場合、包含タグ (
GuardDutyManaged:true) を持つ EC2 インスタンスのみ GuardDuty を考慮します。 -
AWS Organizations アクションを使用して、関連するアカウントと組織 ID を記述します。
-
Amazon S3 アクションを使用して S3 バケットとオブジェクトに関する情報を取得します。
-
AWS Lambda アクションを使用して、Lambda 関数とタグに関する情報を取得します。
-
Amazon EKS アクションを使用して、EKS クラスターに関する情報を管理および取得し、EKS クラスター上の Amazon EKS アドオンを管理します。EKS アクションは、 に関連付けられたタグに関する情報も取得します GuardDuty。
-
Malware Protection for EC2 が有効になったMalware Protection for EC2 のサービスにリンクされたロールのアクセス許可ら、IAM を使用して を作成します。
-
Amazon ECS アクションを使用して、Amazon ECS クラスターの管理や情報を取得し、
guarddutyActivateで、Amazon ECS アカウント設定を管理します。Amazon ECS に関連するアクションは、 に関連付けられたタグに関する情報も取得します GuardDuty。
ロールは、AmazonGuardDutyServiceRolePolicy と名付けられた次の AWS マネージドポリシーで構成されます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールにアタッチされている信頼ポリシーは次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AmazonGuardDutyServiceRolePolicy ポリシーへの更新詳細については、GuardDuty AWS 管理ポリシーの更新 を参照してください。このポリシーの変更に関する自動アラートについては、 ドキュメント履歴 ページの RSS フィードをサブスクライブしてください。
のサービスにリンクされたロールの作成 GuardDuty
AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは、 GuardDuty を初めて有効にするか、以前に有効にしていなかったサポートされているリージョン GuardDuty で有効にすると、自動的に作成されます。IAM コンソール、、または IAM API を使用して AWS CLI、サービスにリンクされたロールを手動で作成することもできます。
重要
GuardDuty 委任管理者アカウント用に作成されたサービスにリンクされたロールは、メンバー GuardDuty アカウントには適用されません。
サービスにリンクされたロールの作成、編集、削除をIAM プリンシパル (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを正常に作成するには、 GuardDuty で使用する IAM プリンシパルに必要なアクセス許可が必要です。必要なアクセス許可を付与するには、次のポリシーをこの ユーザー、グループ、またはロールにアタッチします。
注記
次の例のサンプルアカウント ID を実際の AWS アカウント ID に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「サービスにリンクされたロールを作成する」を参照してください。
のサービスにリンクされたロールの編集 GuardDuty
GuardDuty では、AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。
のサービスにリンクされたロールの削除 GuardDuty
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
重要
Malware Protection for EC2 を有効にしている場合、 を削除しても は自動的に削除AWSServiceRoleForAmazonGuardDutyされませんAWSServiceRoleForAmazonGuardDutyMalwareProtection。を削除する場合はAWSServiceRoleForAmazonGuardDutyMalwareProtection、「Malware Protection for EC2 のサービスにリンクされたロールの削除」を参照してください。
を削除するには、まず、有効になっているすべてのリージョン GuardDuty で を無効にする必要がありますAWSServiceRoleForAmazonGuardDuty。 GuardDuty サービスにリンクされたロールを削除しようとしたときにサービスが無効になっていない場合、削除は失敗します。詳細については、「一時停止または無効化 GuardDuty」を参照してください。
を無効にすると GuardDuty、 は自動的に削除AWSServiceRoleForAmazonGuardDutyされません。 GuardDuty を再度有効にすると、既存の の使用が開始されますAWSServiceRoleForAmazonGuardDuty。
サービスにリンクされたロールを IAM で手動削除するには
IAM コンソール、 AWS CLI、または IAM API を使用して、AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイドのサービスにリンクされたロールの削除を参照してください。
サポート対象 AWS リージョン
Amazon は、 AWS リージョン GuardDuty が利用可能なすべての で、AWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールの使用 GuardDuty をサポートしています。 GuardDuty が現在利用可能なリージョンのリストについては、「」の「Amazon GuardDuty エンドポイントとクォータ」を参照してくださいAmazon Web Services 全般のリファレンス。
