翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon GuardDuty の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS 管理ポリシー」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。
Version ポリシー要素は、このポリシーを処理するために使用される言語構文ルールを指定します。次のポリシーには、IAM でサポートされている現在のバージョンが含まれています。ポリシー要素の詳細については、「IAM JSON ポリシーエレメント: バージョン」を参照してください。
AWS 管理ポリシー: AmazonGuardDutyFullAccess_v2 (推奨)
AmazonGuardDutyFullAccess_v2 ポリシーを IAM アイデンティティにアタッチできます。AmazonGuardDutyFullAccess_v2 と の間ではAmazonGuardDutyFullAccess、セキュリティを強化し、管理アクションを GuardDuty サービスプリンシパルに制限AmazonGuardDutyFullAccess_v2するため、GuardDuty はアタッチを推奨します。このポリシーでは、ユーザーがすべての GuardDuty アクションを実行し、必要なリソースにアクセスするためのフルアクセスが引き続き許可されます。
アクセス許可の詳細
AmazonGuardDutyFullAccess_v2 ポリシーには、次のアクセス許可が含まれます。
-
GuardDuty— すべての GuardDuty アクションに対するフルアクセスをユーザーに許可します。 -
IAM:-
ユーザーに GuardDuty サービスにリンクされたロールの作成を許可します。
-
GuardDuty の IAM ロールとそのポリシーの表示と管理を許可します。
-
ユーザーは、GuardDuty Malware Protection for S3 機能を有効にするために使用するロールを GuardDuty に渡すことができます。これは、Malware Protection for S3 を GuardDuty サービス内で有効にするか個別に有効にするかとは関係ありません。
-
AWSServiceRoleForAmazonGuardDutyMalwareProtectionでiam:GetRoleアクションを実行するアクセス許可によって、Malware Protection for EC2 のサービスリンクロール (SLR) がアカウントに存在するかどうかが明らかになります。
-
-
Organizations:-
ユーザーに GuardDuty の組織構造とアカウントの読み取り (表示) を許可します。
-
ユーザーが委任管理者を指定し、GuardDuty 組織のメンバーを管理できるようにします。
-
{ "Version": "2012-10-17", "Statement": [{ "Sid": "GuardDutyFullAccess", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateGuardDutyServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyOrganizationsAdminAccess", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "GuardDutyIamRoleAccess", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "PassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS 管理ポリシー: AmazonGuardDutyFullAccess
AmazonGuardDutyFullAccess ポリシーは IAM アイデンティティにアタッチできます。
重要
GuardDuty サービスプリンシパルに対するセキュリティを強化し、アクセス許可を制限するには、 を使用することをお勧めしますAWS 管理ポリシー: AmazonGuardDutyFullAccess_v2 (推奨)。
このポリシーは、すべての GuardDuty アクションとリソースを実行するためのフルアクセスをユーザーに許可する管理アクセス許可を付与します。
アクセス許可の詳細
このポリシーには、次の許可が含まれています。
-
GuardDuty— すべての GuardDuty アクションに対するフルアクセスをユーザーに許可します。 -
IAM:-
GuardDuty サービスリンクロールの作成をユーザーに許可します。
-
管理者アカウントはメンバーアカウントに対して GuardDuty を有効にできます。
-
ユーザーは、GuardDuty Malware Protection for S3 機能を有効にするために使用するロールを GuardDuty に渡すことができます。これは、Malware Protection for S3 を GuardDuty サービス内で有効にするか個別に有効にするかとは関係ありません。
-
-
Organizations— GuardDuty Organization の委任された管理者やマネージドメンバーを指定できるようになります。
AWSServiceRoleForAmazonGuardDutyMalwareProtection で iam:GetRole アクションを実行するアクセス許可によって、Malware Protection for EC2 のサービスリンクロール (SLR) がアカウントに存在するかどうかが明らかになります。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS 管理ポリシー: AmazonGuardDutyReadOnlyAccess
AmazonGuardDutyReadOnlyAccess ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが GuardDuty の検出結果と GuardDuty 組織の詳細を表示できるようにするための読み取り専用アクセスを許可します。
許可の詳細
このポリシーには、次の許可が含まれています。
-
GuardDuty— ユーザーが GuardDuty の検出結果を表示し、Get、List、またはDescribeで始まる API オペレーションを実行できるようにします。 -
Organizations— ユーザーは委任された管理者のアカウントの詳細を含む GuardDuty organization の構成に関する情報を取得できるようになります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
AWS 管理ポリシー: AmazonGuardDutyServiceRolePolicy
IAM エンティティに AmazonGuardDutyServiceRolePolicy をアタッチすることはできません。この AWS 管理ポリシーは、GuardDuty がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「GuardDuty のためのサービスにリンクされたロールの許可」を参照してください。
GuardDuty による AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始してからの GuardDuty の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、GuardDuty の [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonGuardDutyFullAccess_v2 – は新しいポリシーを追加しました。 |
新しいAmazonGuardDutyFullAccess_v2ポリシーを追加しました。これは、IAM ロールとポリシー、および AWS Organizations 統合に基づいて管理アクションを GuardDuty サービスプリンシパルに制限することで、アクセス許可によってセキュリティが強化されるため、推奨されます。 |
2025 年 6 月 4 日 |
|
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新 |
|
2024 年 8 月 22 日 |
|
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新 |
Malware Protection for S3 を有効にするときに IAM ロールを GuardDuty に渡すことができるアクセス許可を追加しました。
|
2024 年 6 月 10 日 |
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新。 |
Amazon EC2 の自動エージェントで GuardDuty Runtime Monitoring を有効にする場合、 AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの SSM 関連付けを管理します。GuardDuty 自動エージェント設定が無効になっている場合、GuardDuty は包含タグ ( |
2024 年 3 月 26 日 |
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新。 |
GuardDuty に新しいアクセス許可 |
2024 年 2 月 9 日 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy – 既存のポリシーへの更新。 |
Malware Protection for EC2 に 2 つのアクセス許可が追加されました。 |
2024 年 1 月 25 日 |
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新 |
新たな許可を追加したことで、GuardDuty による |
2023 年 11 月 26 日 |
|
AmazonGuardDutyReadOnlyAccess – 既存ポリシーへの更新 |
GuardDuty は新しいポリシー organizations を ListAccounts に追加しました。 |
2023 年 11 月 16 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty は新しいポリシー organizations を ListAccounts に追加しました。 |
2023 年 11 月 16 日 |
|
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty に、近日公開予定の GuardDuty EKS Runtime Monitoring 機能をサポートする新しい許可を追加されました。 |
2023 年 3 月 8 日 |
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新 |
Malware Protection for EC2 のサービスリンクロールを作成できるようにする新しい許可を GuardDuty に追加しました。これにより、GuardDuty は Malware Protection for EC2 を有効にするプロセスを効率化できます。 GuardDuty は次の IAM アクションを実行できるようになりました。
|
2023 年 2 月 21 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty が |
2022 年 7 月 26 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty に新しい GuardDuty で、 |
2022 年 7 月 26 日 |
|
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty は、GuardDuty が Amazon EC2 ネットワークアクションを使用して検出結果を改善できるようにするための新しい許可を追加しました。 GuardDuty は次の EC2 アクションを実行して、EC2 インスタンスの通信方法に関する情報を取得できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。
|
2021 年 8 月 3 日 |
|
GuardDuty が変更のトラッキングを開始しました |
GuardDuty は、 AWS 管理ポリシーの変更の追跡を開始しました。 |
2021 年 8 月 3 日 |
