翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Detective のための Identity and Access Management
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Detective リソースの使用を*承認する* (許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [対象者](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Amazon Detective で IAM が機能する仕組み](security_iam_service-with-iam.md)
+ [Amazon Detective のアイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)
+ [AWS Amazon Detective の マネージドポリシー](security-iam-awsmanpol.md)
+ [Detective のサービスリンクロールの使用](using-service-linked-roles.md)
+ [Amazon Detective アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)
## 対象者
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon Detective アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon Detective で IAM が機能する仕組み](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon Detective のアイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証は、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon Detective で IAM が機能する仕組み
デフォルトでは、ユーザーおよびロールには、Amazon Detective リソースを作成または変更する許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。Detective 管理者は、必要な指定されたリソースに対して特定の API オペレーションを実行するアクセス許可を IAM ユーザーとロールに付与する AWS Identity and Access Management (IAM) ポリシーを持っている必要があります。続いて、管理者はそれらのアクセス許可が必要なプリンシパルに、そのポリシーをアタッチしなければなりません。
Detective は IAM アイデンティティベースのポリシーを使用して、次のタイプのユーザーおよびアクションについての許可を付与します。
+ **管理者アカウント** — 管理者アカウントは、アカウントのデータを使用する動作グラフの所有者です。管理者アカウントは、動作グラフにデータを提供するよう、メンバーアカウントを招待することができます。管理者アカウントは、動作グラフを使用して、それらのアカウントに関連付けられた検出結果とリソースのトリアージと調査を行うこともできます。
管理者アカウントでないユーザーが異なるタイプのタスクを実行できるようにするポリシーを設定できます。例えば、管理者アカウントのユーザーは、メンバーアカウントを管理するための許可しか付与されていない場合があります。別のユーザーは、調査のために動作グラフを使用するための許可しか付与されていない場合があります。
+ **メンバーアカウント** — メンバーアカウントは、動作グラフにデータを提供するように招待されるアカウントです。メンバーアカウントは招待に応答します。招待を承諾した後、メンバーアカウントは動作グラフから自分のアカウントを削除できます。
Detective およびその他の が IAM と AWS のサービス 連携する方法の概要を把握するには、*「IAM ユーザーガイド*」の[「JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)」を参照してください。
## Detective のアイデンティティベースのポリシー
IAM アイデンティティベースポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Detective は、特定のアクション、リソース、および条件キーをサポートしています。
JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
ポリシーステートメントには、`Action` 要素または `NotAction` 要素を含める必要があります。`Action` 要素は、ポリシーによって許可されるアクションをリストします。`NotAction` 要素は、許可されていないアクションをリストします。
Detective のために定義されたアクションには、Detective を使用して実行できるタスクが反映されます。Detective のポリシーアクションには、プレフィックス `detective:` が付いています。
例えば、`CreateMembers` API 操作を使用してメンバーアカウントを動作グラフに招待するための許可を付与するには、`detective:CreateMembers` アクションをポリシーに含めます。
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。例えば、メンバーアカウントの場合、ポリシーには、招待の管理に関連する一連のアクションが含まれます。
```
"Action": [
"detective:ListInvitations",
"detective:AcceptInvitation",
"detective:RejectInvitation",
"detective:DisassociateMembership
]
```
複数のアクションを指定するために、ワイルドカード (\$1) を使用することもできます。例えば、動作グラフで使用されるデータを管理するには、Detective の管理者アカウントが次のタスクを実行できる必要があります。
+ メンバーアカウントのリストを表示する (`ListMembers`)。
+ 選択したメンバーアカウントに関する情報を取得する (`GetMembers`)。
+ メンバーアカウントを動作グラフに招待する (`CreateMembers`)。
+ 動作グラフからメンバーを削除する (`DeleteMembers`)。
これらのアクションを個別にリストする代わりに、`Members` という単語で終わるすべてのアクションへのアクセス権を付与できます。それについてのポリシーには、次のアクションが含まれます。
```
"Action": "detective:*Members"
```
Detective アクションのリストを確認するには、*「サービス認可リファレンス*」の[「Amazon Detective で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs)」と AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
Detective の場合、リソースタイプは動作グラフのみです。Detective の動作グラフのリソースの ARN は次のとおりです。
```
arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}
```
例えば、動作グラフには以下の値があります。
+ 動作グラフのリージョンは `us-east-1` です。
+ 管理者アカウント ID のアカウント ID は `111122223333` です。
+ 動作グラフのグラフ ID は `027c7c4610ea4aacaf0b883093cab899` です。
`Resource` ステートメントでこの動作グラフを識別するには、次の ARN を使用します。
```
"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
```
`Resource` ステートメントで複数のリソースを指定するには、コンマを使用してそれらを区切ります。
```
"Resource": [
"resource1",
"resource2"
]
```
たとえば、同じ AWS アカウントを複数の動作グラフのメンバーアカウントに招待できます。そのメンバーアカウントのポリシーでは、`Resource` ステートメントは、招待された動作グラフをリストします。
```
"Resource": [
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
```
動作グラフの作成、動作グラフの一覧表示、動作グラフの招待の一覧表示など、Detective のいくつかのアクションは、特定の動作グラフでは実行されません。これらのアクションについては、`Resource` ステートメントはワイルドカード (\$1) を使用する必要があります。
```
"Resource": "*"
```
管理者アカウントのアクションについては、Detective は、リクエストを実行するユーザーが、影響を受ける動作グラフの管理者アカウントに属していることを毎回確認します。メンバーアカウントのアクションについては、Detective は、リクエストを実行するユーザーが、メンバーアカウントに属していることを毎回確認します。IAM ポリシーが動作グラフへのアクセス権を付与しても、ユーザーが正しいアカウントに属していない場合、ユーザーはアクションを実行できません。
特定の動作グラフで実行されるすべてのアクションについて、IAM ポリシーにはグラフ ARN が含まれている必要があります。グラフ ARN は後で追加できます。例えば、アカウントが最初に Detective を有効にする際に、初期 IAM ポリシーは、グラフ ARN のワイルドカードを使用して、すべての Detective アクションに対するアクセスを提供します。これにより、ユーザーはすぐにメンバーアカウントの管理を開始し、動作グラフで調査を実施できます。動作グラフを作成したら、ポリシーを更新してグラフ ARN を追加できます。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Detective は独自の一連の条件キーを定義しません。グローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
条件キーを使用できるアクションとリソースについては、[Amazon Detective で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions)を参照してください。
### 例
Detective アイデンティティベースのポリシーの例を表示するには、[Amazon Detective のアイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md) を参照してください。
## Detective リソースベースのポリシー (サポートされていません)
Detective では、 リソースベースのポリシーはサポートされていません。
## Detective の動作グラフのタグに基づく承認
各動作グラフには、タグ値を割り当てることができます。条件ステートメントでこれらのタグ値を使用して、動作グラフへのアクセスを管理できます。
タグ値についての条件ステートメントは、次の形式を使用します。
```
{"StringEquals"{"aws:ResourceTag/": ""}}
```
例えば、次のコードを使用して、`Department` タグの値が `Finance` の場合にアクションを許可または拒否します。
```
{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}
```
リソースタグ値を使用するポリシーの例については、[管理者アカウント: タグ値に基づくアクセスの制限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-graph-tags) を参照してください。
## Detective IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Detective での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Detective では、一時認証情報の使用をサポートしています。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
サービスにリンクされた Detective のロールの作成または管理の詳細については、「[Detective のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
### サービスロール (サポートされていません)
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Detective は、サービスロールをサポートしていません。
# Amazon Detective のアイデンティティベースポリシーの例
デフォルトでは、IAM ユーザーおよびロールには、Detective リソースを作成または変更する許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。
IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。その後、管理者はそれらの許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Detective コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [ユーザー自身のアクセス許可を表示することをユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [管理者アカウント: 動作グラフでのメンバーアカウントの管理](#security_iam_id-based-policy-examples-admin-account-mgmt)
+ [管理者アカウント: 調査のための動作グラフの使用](#security_iam_id-based-policy-examples-admin-investigate)
+ [メンバーアカウント: 動作グラフの招待とメンバーシップの管理](#security_iam_id-based-policy-examples-member-account)
+ [管理者アカウント: タグ値に基づくアクセスの制限](#security_iam_id-based-policy-examples-graph-tags)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、ユーザーのアカウントで誰かが Detective リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Detective コンソールの使用
Amazon Detective コンソールを使用するには、ユーザーまたはロールが、関連するアクションであって、API の対応するアクションに一致するアクションにアクセスできる必要があります。
Detective を有効にして動作グラフの管理者アカウントになるには、ユーザーまたはロールに `CreateGraph` アクションについての許可を付与する必要があります。
Detective コンソールを使用して管理者アカウントのアクションを実行するには、ユーザーまたはロールに `ListGraphs` アクションについての許可を付与する必要があります。これにより、アカウントが管理者アカウントである動作グラフを取得するための許可が付与されます。また、特定の管理者アカウントのアクションを実行するための許可を付与する必要があります。
管理者アカウントの最も基本的なアクションは、動作グラフでメンバーアカウントのリストを表示したり、調査のために動作グラフを使用したりすることです。
+ 動作グラフでメンバーアカウントのリストを表示するには、プリンシパルに `ListMembers` アクションについての許可が付与されている必要があります。
+ 動作グラフで調査を実施するには、プリンシパルに `SearchGraph` アクションについての許可が付与されている必要があります。
Detective コンソールを使用してメンバーアカウントのアクションを実行するには、ユーザーまたはロールに `ListInvitations` アクションについての許可を付与する必要があります。これにより、動作グラフの招待を表示するための許可が付与されます。その後、特定のメンバーアカウントのアクションについての許可を付与できます。
## ユーザー自身のアクセス許可を表示することをユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 管理者アカウント: 動作グラフでのメンバーアカウントの管理
このサンプルポリシーは、動作グラフで使用されるメンバーアカウントの管理のみを担当する管理者アカウントのユーザー向けのものです。また、このポリシーは、ユーザーが使用量に関する情報を表示したり、Detective を無効化したりすることを許可します。このポリシーは、動作グラフを調査に使用するための許可を付与しません。
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:CreateGraph","detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## 管理者アカウント: 調査のための動作グラフの使用
このサンプルポリシーは、調査のみに動作グラフを使用する管理者アカウントのユーザー向けのものです。動作グラフでメンバーアカウントのリストを表示したり、編集したりすることはできません。
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## メンバーアカウント: 動作グラフの招待とメンバーシップの管理
このサンプルポリシーは、メンバーアカウントに属するユーザー向けのものです。この例では、メンバーアカウントは 2 つの動作グラフに属しています。ポリシーは、招待に応答したり、動作グラフからメンバーアカウントを削除したりするための許可を付与します。
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"],
"Resource":[
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
},
{
"Effect":"Allow",
"Action":["detective:ListInvitations"],
"Resource":"*"
}
]
}
```
------
## 管理者アカウント: タグ値に基づくアクセスの制限
次のポリシーは、動作グラフの `SecurityDomain` タグがユーザーの `SecurityDomain` タグと一致する場合に、ユーザーが調査のために動作グラフを使用することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:SearchGraph"
],
"Resource": "arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain"
}
}
},
{
"Effect": "Allow",
"Action": [
"detective:ListGraphs"
],
"Resource": "*"
}
]
}
```
------
次のポリシーは、動作グラフの `SecurityDomain` タグの値が `Finance` である場合に、ユーザーが調査のために動作グラフを使用できないようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[ {
"Effect":"Deny",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"}
}
} ]
}
```
------
# AWS Amazon Detective の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS 管理ポリシー: AmazonDetectiveFullAccess
`AmazonDetectiveFullAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、プリンシパルにすべての Amazon Detective アクションへのフルアクセスを許可する管理者許可を付与します。ユーザーは、アカウントで Detective を有効にする前に、このポリシーをプリンシパルにアタッチできます。Detective Python スクリプトを実行して動作グラフを作成および管理するために使用されるロールにアタッチする必要もあります。
これらの許可が付与されているプリンシパルは、メンバーアカウントを管理し、動作グラフにタグを追加し、調査に Detective を使用できます。また、GuardDuty の検出結果をアーカイブすることもできます。このポリシーは、Detective コンソールが にあるアカウントのアカウント名を表示するために必要なアクセス許可を提供します AWS Organizations。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `detective` – プリンシパルに Detective のすべてのアクションへのフルアクセスを許可します。
+ `organizations` – プリンシパルが組織内のアカウントに関する AWS Organizations の情報から取得することを許可します。アカウントが組織に属している場合、これらのアクセス許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。
+ `guardduty` – プリンシパルが Detective 内から GuardDuty の検出結果を取得してアーカイブすることを許可します。
+ `securityhub` – プリンシパルが Detective 内から Security Hub CSPM の検出結果を取得できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS 管理ポリシー: AmazonDetectiveMemberAccess
IAM エンティティに、`AmazonDetectiveMemberAccess` ポリシーをアタッチできます。
このポリシーは、Amazon Detective へのメンバーアクセスと、コンソールへのスコープ付きアクセスを提供します。
このポリシーにより、以下のことが可能になります。
+ Detective グラフメンバーシップへの招待を表示し、招待を承諾または拒否できます。
+ Detective でのアクティビティがこのサービスの使用コストにどのように影響するかについて、**[使用状況]** ページで確認できます。
+ メンバーシップからの脱退をグラフで確認できます。
このポリシーは、Detective コンソールへのスコープ付きアクセスを可能にする読み取り専用アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `detective` — メンバーが Detective にアクセスできるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS 管理ポリシー: AmazonDetectiveInvestigatorAccess
IAM エンティティに `AmazonDetectiveInvestigatorAccess` ポリシーをアタッチできます。
このポリシーは、調査員に Detective サービスへのアクセスと、Detective コンソール UI の依存関係へのスコープ付きアクセスを提供します。このポリシーによって、Detective で Detective 調査を有効にする権限が IAM ユーザーと IAM ロールに付与されます。セキュリティ指標に関する分析と洞察を提供する調査レポートを使用して、検出結果などの侵害の指標を特定できます。このレポートは、Detective の行動分析と機械学習を使用して確定された重要度別にランク付けされています。このレポートを使用すると、リソースの修復の優先順位を付けることができます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `detective` — プリンシパルが Detective アクションにアクセスすることを許可し、Detective の調査を有効にするとともに、検出結果グループの概要を有効化できます。
+ `guardduty` – プリンシパルが Detective 内から GuardDuty の検出結果を取得してアーカイブすることを許可します。
+ `securityhub` – プリンシパルが Detective 内から Security Hub CSPM の検出結果を取得できるようにします。
+ `organizations` – プリンシパルが組織内のアカウントに関する情報を取得できるようにします AWS Organizations。アカウントが組織に属している場合、これらの許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonDetectiveOrganizationsAccess
IAM エンティティに `AmazonDetectiveOrganizationsAccess` ポリシーをアタッチできます。
このポリシーは、組織内で Amazon Detective を有効化および管理するためのアクセス許可を付与します。Detective を組織全体で有効にし、Detective の委任された管理者アカウントを決定できます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `detective` – プリンシパルに Detective のアクションへのアクセスを許可します。
+ `iam`— Detective が`EnableOrganizationAdminAccount` を呼び出したときに、サービスリンクロールが作成されるように指定します。
+ `organizations` – プリンシパルが組織内のアカウントに関する情報を取得できるようにします AWS Organizations。アカウントが組織に属している場合、これらの許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。 AWS サービスの統合を有効にし、指定されたメンバーアカウントの委任管理者としての登録と登録解除を許可し、プリンシパルが Amazon Detective、Amazon GuardDuty、Amazon Macie、 などの他のセキュリティサービスで委任管理者アカウントを取得できるようにします AWS Security Hub CSPM。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 管理ポリシー: AmazonDetectiveServiceLinkedRole
IAM エンティティに `AmazonDetectiveServiceLinkedRole` ポリシーをアタッチすることはできません。このポリシーは、ユーザーに代わって Detective がアクションを実行することを許可する、サービスリンクロールにアタッチされます。詳細については、「[Detective のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
このポリシーは、サービスリンクロールが組織のアカウント情報を取得できるようにする管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `organizations` - 組織のアカウント情報を取得します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## AWS 管理ポリシーに対する Detective の更新
このサービスがこれらの変更の追跡を開始してからの Detective の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、「[ ドキュメン履歴ページ](doc-history.md)」ページで RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) - 既存のポリシーの更新 | Detective の調査と検出結果グループの概要アクションを `AmazonDetectiveInvestigatorAccess` ポリシーに追加しました。 これらのアクションにより、Detective 調査の開始、取得、更新が可能になり、Detective 内から検出結果グループの概要を取得できます。 | 2023 年 11 月 26 日 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) と [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) — 既存のポリシーに対する更新 | Detective が Security Hub CSPM `GetFindings`アクションを `AmazonDetectiveFullAccess`および `AmazonDetectiveInvestigatorAccess`ポリシーに追加しました。 これらのアクションにより、Detective 内から Security Hub CSPM の検出結果を取得できます。 | 2023 年 5 月 16 日 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) - 新しいポリシー | Detective に `AmazonDetectiveOrganizationsAccess` ポリシーが追加されました。 このポリシーは、組織内で Detective を有効化および管理するためのアクセス許可を付与します。 | 2023 年 3 月 2 日 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess) - 新しいポリシー | Detective に `AmazonDetectiveMemberAccess` ポリシーが追加されました。 このポリシーは、メンバーが、Detective にアクセスできるようにするとともにコンソール UI の依存関係にスコープ付きでアクセスできるようにします。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) – 既存ポリシーの更新 | Detective の `AmazonDetectiveFullAccess` ポリシーに GuardDuty `GetFindings` アクションが追加されました。 これらのアクションにより、Detective 内から、GuardDuty からの検出結果を取得できます。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) - 新しいポリシー | Detective に `AmazonDetectiveInvestigatorAccess` ポリシーが追加されました。 このポリシーにより、プリンシパルは Detective で調査を行うことができます。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy) - 新しいポリシー | Detective で、サービスリンクロールに新しいポリシーが追加されました。 このポリシーは、サービスリンクロールが組織内のアカウントに関する情報を取得することを許可します。 | 2021 年 12 月 16 日 |
| Detective は変化を追跡し始めました | Detective は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 5 月 10 日 |
# Detective のサービスリンクロールの使用
Amazon Detective は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Detective に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Detective によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスリンクロールを使用すると、必要な設定を手動で追加する必要がないため、 Detective の設定が簡単になります。Detective は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Detective のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、Detective リソースへの意図しないアクセスによる許可の削除が防止され、 リソースは保護されます。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」で「**サービスリンクロール**」列が「**はい**」になっているサービスを検索してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「**はい**」のリンクをクリックします。
## Detective のサービスリンクロールにおけるアクセス許可
Detective は、**AWSServiceRoleForDetective** という名前のサービスにリンクされたロールを使用します – Detective がユーザーに代わって AWS Organizations 情報にアクセスできるようにします。
サービスリンクロール AWSServiceRoleForDetective は、このロールを引き受ける次のサービスを信頼します。
+ `detective.amazonaws.com`
サービスリンクロール AWSServiceRoleForDetective は、マネージドポリシー [`AmazonDetectiveServiceLinkedRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy) を使用します。
`AmazonDetectiveServiceLinkedRolePolicy` ポリシーの更新の詳細については、[「Amazon Detective updates to AWS managed policies](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates)」を参照してください。このポリシーの変更に関する自動アラートについては、[Detective ドキュメント履歴](https://docs.aws.amazon.com//detective/latest/userguide/doc-history.html)ページの RSS フィードにサブスクライブしてください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、*「IAM User Guide」*(IAM ユーザーガイド) の[「Service-linked role permissions」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)(サービスリンクロールのアクセス権限) を参照してください。
## Detective のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で組織の Detective 管理者アカウントを指定すると、Detective によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。組織の Detective 管理者アカウントを指定すると、Detective により、サービスリンクロールが再び自動的に作成されます。
## Detective のサービスリンクロールの編集
Detective で、サービスリンクロール AWSServiceRoleForDetective を編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「*サービスリンクロールの編集*」を参照してください。
## Detective のサービスリンクロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除する際に、Detective のサービスでこのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。
**AWSServiceRoleForDetective が使用している Detective リソースを削除するには**
1. Detective 管理者アカウントを削除します。「[組織の Detective 管理者の指定](accounts-designate-admin.md)」を参照してください。
1. Detective 管理者アカウントを指定した各リージョンでこのプロセスを繰り返します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForDetective サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
## Detective のサービスリンクロールをサポートするリージョン
Detective は、Detective サービスが利用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# Amazon Detective アイデンティティとアクセスのトラブルシューティング
次の情報は、Detective と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。 AWS Identity and Access Management(IAM) の使用時にアクセス拒否の問題や同様の問題が発生した場合は、[「IAM ユーザーガイド」の「IAM のトラブルシューティング](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html)」トピックを参照してください。 **
## Detective でアクションを実行する権限がない
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。担当の管理者はお客様のユーザー名とパスワードを発行した人です。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、動作グラフのメンバーアカウントになるための招待を受け入れようとしたが、`detective:AcceptInvitation` 許可がない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: detective:AcceptInvitation on resource: arn:aws:detective:us-east-1:444455556666:graph:567856785678
```
この場合、Mateo は、`detective:AcceptInvitation` アクションを使用して `arn:aws:detective:us-east-1:444455556666:graph:567856785678` リソースにアクセスできるように、管理者にポリシーの更新を依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Detective にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Detective でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## AWS アカウント外のユーザーに Detective リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Detective がこれらの機能をサポートしているかどうかを確認するには、[Amazon Detective で IAM が機能する仕組み](security_iam_service-with-iam.md) を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。