Amazon GuardDuty のアクション、リソース、および条件キー - サービス認可リファレンス

Amazon GuardDuty のアクション、リソース、および条件キー

Amazon GuardDuty (サービスプレフィックス: guardduty) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon GuardDuty で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptAdministratorInvitation GuardDuty メンバーアカウントになるための招待を受け入れるアクセス許可を付与します 書き込み
AcceptInvitation GuardDuty メンバーアカウントになるための招待を受け入れるアクセス許可を付与します Write
ArchiveFindings GuardDuty の結果をアーカイブする許可を付与 Write
CreateDetector ディテクターを作成する許可を付与 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFilter GuardDuty フィルターを作成する許可を付与。フィルターは、結果のフィルタリングに使用される結果の属性と条件を定義します Write

filter*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIPSet IPSet を作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

iam:DeleteRolePolicy

iam:PutRolePolicy

CreateMalwareProtectionPlan 新しい Malware Protection プランを作成する許可を付与する 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMembers GuardDuty メンバーアカウントを作成する許可を付与。メンバーの作成に使用したアカウントが GuardDuty 管理者アカウントになります Write
CreatePublishingDestination 発行先を作成する許可を付与 Write

s3:GetObject

s3:ListBucket

CreateSampleFindings サンプル結果を作成する許可を付与。 Write
CreateThreatIntelSet GuardDuty ThreatIntelSet を作成する許可を付与。ThreatIntelSet は、GuardDuty が結果を生成するために使用する既知の悪意のある IP アドレスで構成されます Write

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineInvitations GuardDuty メンバーアカウントになるための招待を拒否する許可を付与 Write
DeleteDetector GuardDuty ディテクターを削除する許可を付与 Write

detector*

DeleteFilter GuardDuty フィルターを削除する許可を付与 Write

filter*

DeleteIPSet GuardDuty IPSets を削除する許可を付与 Write

ipset*

DeleteInvitations GuardDuty メンバーアカウントになるための招待を削除する許可を付与 書き込み
DeleteMalwareProtectionPlan Malware Protection プランを削除する許可を付与する 書き込み

malwareprotectionplan*

DeleteMembers GuardDuty メンバーアカウントを削除する許可を付与 Write
DeletePublishingDestination 発行先を削除する許可を付与 Write

publishingDestination*

DeleteThreatIntelSet GuardDuty ThreatIntelSets を削除する許可を付与 書き込み

threatintelset*

DescribeMalwareScans マルウェアスキャンの詳細を削除する許可を付与します 読み取り
DescribeOrganizationConfiguration GuardDuty ディテクターに関連付けられた委任管理者に関する詳細を取得する許可を付与 Read
DescribePublishingDestination 発行先の詳細を取得する許可を付与 Read

publishingDestination*

DisableOrganizationAdminAccount GuardDuty の組織の委任管理者を無効にする許可を付与 書き込み
DisassociateFromAdministratorAccount GuardDuty メンバーアカウントと GuardDuty マスターアカウントの関連付けを解除する許可を付与する 書き込み
DisassociateFromMasterAccount GuardDuty メンバーアカウントと GuardDuty マスターアカウントの関連付けを解除する許可を付与する 書き込み
DisassociateMembers GuardDuty メンバーアカウントの管理者 GuardDuty アカウントとの関連付けを解除する許可を付与する 書き込み
EnableOrganizationAdminAccount GuardDuty の組織の委任管理者を有効にする許可を付与 書き込み
GetAdministratorAccount メンバーアカウントに関連付けられている GuardDuty 管理者アカウントの詳細を取得する許可を付与する 読み取り
GetCoverageStatistics リージョン内で指定した GuardDuty アカウントについて、Amazon GuardDuty のカバレッジ状況の統計を一覧表示するための許可を付与 読み取り

detector*

GetDetector GuardDuty ディテクターを取得する許可を付与 Read

detector*

GetFilter GuardDuty フィルターを取得する許可を付与 Read

filter*

GetFindings GuardDuty の結果を取得する許可を付与 Read
GetFindingsStatistics GuardDuty の結果統計のリストを取得する許可を付与 読み取り
GetIPSet GuardDuty IPSets を取得する許可を付与 読み取り

ipset*

GetInvitationsCount 指定されたアカウントに送信されたすべての GuardDuty 招待の件数を取得する許可を付与。このアカウントには、承認された招待は含まれません 読み取り
GetMalwareProtectionPlan Malware Protection プランの詳細を取得する許可を付与する 読み取り

malwareprotectionplan*

GetMalwareScanSettings マルウェアスキャン設定を取得する許可を付与 読み取り
GetMasterAccount メンバーアカウントに関連付けられている GuardDuty 管理者アカウントの詳細を取得する許可を付与する 読み取り
GetMemberDetectors メンバーアカウントディテクターで有効になっているデータソースを記述する許可を付与 読み取り
GetMembers 管理者アカウントに関連付けられたメンバーアカウントを取得する許可を付与する 読み取り
GetOrganizationStatistics リージョンのメンバーアカウントの GuardDuty 保護プランの適用範囲統計を取得する許可を付与 読み取り
GetRemainingFreeTrialDays 無料試用期間に使用された各データソースの残り日数を提供するアクセス許可を付与 読み取り
GetThreatIntelSet GuardDuty ThreatIntelSets を取得する許可を付与 Read

threatintelset*

GetUsageStatistics 指定されたディテクター ID について、過去 30 日間の Amazon GuardDuty の使用状況の統計を一覧表示する許可を付与 Read
InviteMembers 他の AWS アカウントを招待して GuardDuty を有効にし、GuardDuty メンバーアカウントにする許可を付与する 書き込み
ListCoverage リソース内の特定のアカウントについて、すべてのリソースの詳細を一覧表示する許可を付与 リスト

detector*

ListDetectors GuardDuty ディテクターのリストを取得する許可を付与 リスト
ListFilters GuardDuty フィルターのリストを取得する許可を付与 リスト
ListFindings GuardDuty の結果のリストを取得する許可を付与 リスト
ListIPSets GuardDuty IPSets のリストを取得する許可を付与 リスト
ListInvitations AWS アカウント に送信されたすべての GuardDuty メンバーシップ招待のリストを取得する許可を付与する リスト
ListMalwareProtectionPlans Malware Protection プランのリストを取得する許可を付与する リスト
ListMembers 管理者アカウントに関連付けられている GuardDuty メンバーアカウントのリストを取得する許可を付与する リスト
ListOrganizationAdminAccounts GuardDuty の組織の委任管理者に関する詳細を一覧表示する許可を付与 リスト
ListPublishingDestinations 発行先のリストを取得する許可を付与 リスト
ListTagsForResource GuardDuty リソースに関連付けられたタグのリストを取得する許可を付与 Read

detector

filter

ipset

malwareprotectionplan

threatintelset

ListThreatIntelSets GuardDuty ThreatIntelSets のリストを取得する許可を付与 リスト
SendSecurityTelemetry リージョン内の特定の GuardDuty アカウントに対するセキュリティテレメトリを送信する許可を付与 書き込み
StartMalwareScan 新しいマルウェアスキャンを開始する許可を付与 書き込み
StartMonitoringMembers GuardDuty 管理者アカウントに GuardDuty メンバーアカウントからの調査結果をモニタリングする許可を付与 Write
StopMonitoringMembers メンバーアカウントからの結果のモニタリングを無効にする許可を付与 Write
TagResource GuardDuty リソースにタグを追加する許可を付与 タグ付け

detector

filter

ipset

malwareprotectionplan

threatintelset

aws:RequestTag/${TagKey}

aws:TagKeys

UnarchiveFindings GuardDuty の結果を解凍する許可を付与 Write
UntagResource GuardDuty リソースからタグを削除する許可を付与 タグ付け

detector

filter

ipset

malwareprotectionplan

threatintelset

aws:TagKeys

UpdateDetector GuardDuty ディテクターを更新する許可を付与 Write

detector*

UpdateFilter GuardDuty フィルターを更新する許可を付与 Write

filter*

UpdateFindingsFeedback GuardDuty の結果を有用または無用としてマークするように、結果のフィードバックを更新する許可を付与 Write
UpdateIPSet GuardDuty IPSets を更新する許可を付与 書き込み

ipset*

iam:DeleteRolePolicy

iam:PutRolePolicy

UpdateMalwareProtectionPlan Malware Protection プランを更新する許可を付与する 書き込み

malwareprotectionplan*

UpdateMalwareScanSettings マルウェアスキャン設定を更新する許可を付与 書き込み
UpdateMemberDetectors メンバーアカウントディテクターで有効になっているデータソースを更新する許可を付与 Write
UpdateOrganizationConfiguration GuardDuty ディテクターに関連付けられた委任管理者設定を更新する許可を付与 Write
UpdatePublishingDestination 発行先を更新する許可を付与 Write

publishingDestination*

s3:GetObject

s3:ListBucket

UpdateThreatIntelSet GuardDuty ThreatIntelSets を更新する許可を付与 Write

threatintelset*

iam:DeleteRolePolicy

iam:PutRolePolicy

Amazon GuardDuty で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
detector arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}

aws:ResourceTag/${TagKey}

filter arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/filter/${FilterName}

aws:ResourceTag/${TagKey}

ipset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/ipset/${IPSetId}

aws:ResourceTag/${TagKey}

threatintelset arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/threatintelset/${ThreatIntelSetId}

aws:ResourceTag/${TagKey}

publishingDestination arn:${Partition}:guardduty:${Region}:${Account}:detector/${DetectorId}/publishingDestination/${PublishingDestinationId}
malwareprotectionplan arn:${Partition}:guardduty:${Region}:${Account}:malware-protection-plan/${MalwareProtectionPlanId}

aws:ResourceTag/${TagKey}

Amazon GuardDuty の条件キー

Amazon GuardDuty では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーでアクセスをフィルタリングします ArrayOfString