Amazon GuardDuty のアクション、リソース、および条件キー
Amazon GuardDuty (サービスプレフィックス: guardduty
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon GuardDuty で定義されるアクション
IAM ポリシーステートメントの Action
エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AcceptAdministratorInvitation | GuardDuty メンバーアカウントになるための招待を受け入れるアクセス許可を付与します | 書き込み | |||
AcceptInvitation | GuardDuty メンバーアカウントになるための招待を受け入れるアクセス許可を付与します | Write | |||
ArchiveFindings | GuardDuty の結果をアーカイブする許可を付与 | Write | |||
CreateDetector | ディテクターを作成する許可を付与 | Write | |||
CreateFilter | GuardDuty フィルターを作成する許可を付与。フィルターは、結果のフィルタリングに使用される結果の属性と条件を定義します | Write | |||
CreateIPSet | IPSet を作成する許可を付与 | 書き込み |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
CreateMalwareProtectionPlan | 新しい Malware Protection プランを作成する許可を付与する | 書き込み | |||
CreateMembers | GuardDuty メンバーアカウントを作成する許可を付与。メンバーの作成に使用したアカウントが GuardDuty 管理者アカウントになります | Write | |||
CreatePublishingDestination | 発行先を作成する許可を付与 | Write |
s3:GetObject s3:ListBucket |
||
CreateSampleFindings | サンプル結果を作成する許可を付与。 | Write | |||
CreateThreatIntelSet | GuardDuty ThreatIntelSet を作成する許可を付与。ThreatIntelSet は、GuardDuty が結果を生成するために使用する既知の悪意のある IP アドレスで構成されます | Write | |||
DeclineInvitations | GuardDuty メンバーアカウントになるための招待を拒否する許可を付与 | Write | |||
DeleteDetector | GuardDuty ディテクターを削除する許可を付与 | Write | |||
DeleteFilter | GuardDuty フィルターを削除する許可を付与 | Write | |||
DeleteIPSet | GuardDuty IPSets を削除する許可を付与 | Write | |||
DeleteInvitations | GuardDuty メンバーアカウントになるための招待を削除する許可を付与 | 書き込み | |||
DeleteMalwareProtectionPlan | Malware Protection プランを削除する許可を付与する | 書き込み | |||
DeleteMembers | GuardDuty メンバーアカウントを削除する許可を付与 | Write | |||
DeletePublishingDestination | 発行先を削除する許可を付与 | Write | |||
DeleteThreatIntelSet | GuardDuty ThreatIntelSets を削除する許可を付与 | 書き込み | |||
DescribeMalwareScans | マルウェアスキャンの詳細を削除する許可を付与します | 読み取り | |||
DescribeOrganizationConfiguration | GuardDuty ディテクターに関連付けられた委任管理者に関する詳細を取得する許可を付与 | Read | |||
DescribePublishingDestination | 発行先の詳細を取得する許可を付与 | Read | |||
DisableOrganizationAdminAccount | GuardDuty の組織の委任管理者を無効にする許可を付与 | 書き込み | |||
DisassociateFromAdministratorAccount | GuardDuty メンバーアカウントと GuardDuty マスターアカウントの関連付けを解除する許可を付与する | 書き込み | |||
DisassociateFromMasterAccount | GuardDuty メンバーアカウントと GuardDuty マスターアカウントの関連付けを解除する許可を付与する | 書き込み | |||
DisassociateMembers | GuardDuty メンバーアカウントの管理者 GuardDuty アカウントとの関連付けを解除する許可を付与する | 書き込み | |||
EnableOrganizationAdminAccount | GuardDuty の組織の委任管理者を有効にする許可を付与 | 書き込み | |||
GetAdministratorAccount | メンバーアカウントに関連付けられている GuardDuty 管理者アカウントの詳細を取得する許可を付与する | 読み取り | |||
GetCoverageStatistics | リージョン内で指定した GuardDuty アカウントについて、Amazon GuardDuty のカバレッジ状況の統計を一覧表示するための許可を付与 | 読み取り | |||
GetDetector | GuardDuty ディテクターを取得する許可を付与 | Read | |||
GetFilter | GuardDuty フィルターを取得する許可を付与 | Read | |||
GetFindings | GuardDuty の結果を取得する許可を付与 | Read | |||
GetFindingsStatistics | GuardDuty の結果統計のリストを取得する許可を付与 | 読み取り | |||
GetIPSet | GuardDuty IPSets を取得する許可を付与 | 読み取り | |||
GetInvitationsCount | 指定されたアカウントに送信されたすべての GuardDuty 招待の件数を取得する許可を付与。このアカウントには、承認された招待は含まれません | 読み取り | |||
GetMalwareProtectionPlan | Malware Protection プランの詳細を取得する許可を付与する | 読み取り | |||
GetMalwareScanSettings | マルウェアスキャン設定を取得する許可を付与 | 読み取り | |||
GetMasterAccount | メンバーアカウントに関連付けられている GuardDuty 管理者アカウントの詳細を取得する許可を付与する | 読み取り | |||
GetMemberDetectors | メンバーアカウントディテクターで有効になっているデータソースを記述する許可を付与 | 読み取り | |||
GetMembers | 管理者アカウントに関連付けられたメンバーアカウントを取得する許可を付与する | 読み取り | |||
GetOrganizationStatistics | リージョンのメンバーアカウントの GuardDuty 保護プランの適用範囲統計を取得する許可を付与 | 読み取り | |||
GetRemainingFreeTrialDays | 無料試用期間に使用された各データソースの残り日数を提供するアクセス許可を付与 | 読み取り | |||
GetThreatIntelSet | GuardDuty ThreatIntelSets を取得する許可を付与 | Read | |||
GetUsageStatistics | 指定されたディテクター ID について、過去 30 日間の Amazon GuardDuty の使用状況の統計を一覧表示する許可を付与 | Read | |||
InviteMembers | 他の AWS アカウントを招待して GuardDuty を有効にし、GuardDuty メンバーアカウントにする許可を付与する | 書き込み | |||
ListCoverage | リソース内の特定のアカウントについて、すべてのリソースの詳細を一覧表示する許可を付与 | リスト | |||
ListDetectors | GuardDuty ディテクターのリストを取得する許可を付与 | リスト | |||
ListFilters | GuardDuty フィルターのリストを取得する許可を付与 | リスト | |||
ListFindings | GuardDuty の結果のリストを取得する許可を付与 | リスト | |||
ListIPSets | GuardDuty IPSets のリストを取得する許可を付与 | リスト | |||
ListInvitations | AWS アカウント に送信されたすべての GuardDuty メンバーシップ招待のリストを取得する許可を付与する | リスト | |||
ListMalwareProtectionPlans | Malware Protection プランのリストを取得する許可を付与する | リスト | |||
ListMembers | 管理者アカウントに関連付けられている GuardDuty メンバーアカウントのリストを取得する許可を付与する | リスト | |||
ListOrganizationAdminAccounts | GuardDuty の組織の委任管理者に関する詳細を一覧表示する許可を付与 | リスト | |||
ListPublishingDestinations | 発行先のリストを取得する許可を付与 | リスト | |||
ListTagsForResource | GuardDuty リソースに関連付けられたタグのリストを取得する許可を付与 | Read | |||
ListThreatIntelSets | GuardDuty ThreatIntelSets のリストを取得する許可を付与 | リスト | |||
SendSecurityTelemetry | リージョン内の特定の GuardDuty アカウントに対するセキュリティテレメトリを送信する許可を付与 | 書き込み | |||
StartMalwareScan | 新しいマルウェアスキャンを開始する許可を付与 | 書き込み | |||
StartMonitoringMembers | GuardDuty 管理者アカウントに GuardDuty メンバーアカウントからの調査結果をモニタリングする許可を付与 | Write | |||
StopMonitoringMembers | メンバーアカウントからの結果のモニタリングを無効にする許可を付与 | Write | |||
TagResource | GuardDuty リソースにタグを追加する許可を付与 | タグ付け | |||
UnarchiveFindings | GuardDuty の結果を解凍する許可を付与 | Write | |||
UntagResource | GuardDuty リソースからタグを削除する許可を付与 | タグ付け | |||
UpdateDetector | GuardDuty ディテクターを更新する許可を付与 | Write | |||
UpdateFilter | GuardDuty フィルターを更新する許可を付与 | Write | |||
UpdateFindingsFeedback | GuardDuty の結果を有用または無用としてマークするように、結果のフィードバックを更新する許可を付与 | Write | |||
UpdateIPSet | GuardDuty IPSets を更新する許可を付与 | 書き込み |
iam:DeleteRolePolicy iam:PutRolePolicy |
||
UpdateMalwareProtectionPlan | Malware Protection プランを更新する許可を付与する | 書き込み | |||
UpdateMalwareScanSettings | マルウェアスキャン設定を更新する許可を付与 | 書き込み | |||
UpdateMemberDetectors | メンバーアカウントディテクターで有効になっているデータソースを更新する許可を付与 | Write | |||
UpdateOrganizationConfiguration | GuardDuty ディテクターに関連付けられた委任管理者設定を更新する許可を付与 | Write | |||
UpdatePublishingDestination | 発行先を更新する許可を付与 | Write |
s3:GetObject s3:ListBucket |
||
UpdateThreatIntelSet | GuardDuty ThreatIntelSets を更新する許可を付与 | Write |
iam:DeleteRolePolicy iam:PutRolePolicy |
Amazon GuardDuty で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
detector |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}
|
|
filter |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}
|
|
ipset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}
|
|
threatintelset |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}
|
|
publishingDestination |
arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}
|
|
malwareprotectionplan |
arn:${Partition}:guardduty:${Region}:${Account}:malware-protection-plan/${MalwareProtectionPlanId}
|
Amazon GuardDuty の条件キー
Amazon GuardDuty では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | タイプ |
---|---|---|
aws:RequestTag/${TagKey} | リクエスト内のタグキーと値のペアでアクセスをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエスト内のタグキーでアクセスをフィルタリングします | ArrayOfString |