Amazon GuardDuty の AWS マネージドポリシー
ユーザー、グループ、ロールに許可を追加するには、自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAMユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS のサービスはAWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスはAWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。
さらに、AWS は複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーではすべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。
Version ポリシー要素は、このポリシーを処理するために使用される言語構文ルールを指定します。次のポリシーには、IAM でサポートされている現在のバージョンが含まれています。ポリシー要素の詳細については、「IAM JSON ポリシーエレメント: バージョン」を参照してください。
AWS 管理ポリシー: AmazonGuardDutyFullAccess_v2 (推奨)
AmazonGuardDutyFullAccess_v2 ポリシーは IAM アイデンティティにアタッチできます。このポリシーにより、ユーザーは、すべての GuardDuty アクションを実行し、必要なリソースにアクセスするための完全なアクセス許可を持つことができます。AmazonGuardDutyFullAccess_v2 と AmazonGuardDutyFullAccess の間では、GuardDuty を強化し、管理アクションを GuardDuty サービスプリンシパルに制限するため、AmazonGuardDutyFullAccess_v2 をアタッチすることをお勧めします。
許可の詳細
AmazonGuardDutyFullAccess_v2 ポリシーには以下のアクセス許可が含まれています。
-
GuardDuty— すべての GuardDuty アクションに対するフルアクセスをユーザーに許可します。 -
IAM:-
GuardDuty サービスリンクロールの作成をユーザーに許可します。
-
GuardDuty の IAM ロールとそのポリシーの表示と管理を許可します。
-
ユーザーは、GuardDuty Malware Protection for S3 機能を有効にするために使用するロールを GuardDuty に渡すことができます。これは、Malware Protection for S3 を GuardDuty サービス内で有効にするか個別に有効にするかとは関係ありません。
-
AWSServiceRoleForAmazonGuardDutyMalwareProtectionでiam:GetRoleアクションを実行するアクセス許可によって、Malware Protection for EC2 のサービスリンクロール (SLR) がアカウントに存在するかどうかが明らかになります。
-
-
Organizations:-
ユーザーに GuardDuty の組織構造とアカウントの読み取り (表示) を許可します。
-
GuardDuty Organization の委任された管理者やマネージドメンバーを指定できるようになります。
-
このポリシーの許可を確認するには、「AWSマネージドポリシーリファレンスガイド」の「AmazonGuardDutyFullAccess_v2」を参照してください。
AWS マネージドポリシー: AmazonGuardDutyFullAccess
AmazonGuardDutyFullAccess ポリシーは IAM アイデンティティにアタッチできます。
重要
GuardDuty サービスプリンシパルに対するセキュリティを強化し、アクセス許可を制限するには、AWS 管理ポリシー: AmazonGuardDutyFullAccess_v2 (推奨) を使用することをお勧めします。
このポリシーにより、ユーザーにすべての GuardDuty アクションとリソースを実行するためのフルアクセスを許可する管理者許可を付与します。
許可の詳細
このポリシーには、次の許可が含まれています。
-
GuardDuty— すべての GuardDuty アクションに対するフルアクセスをユーザーに許可します。 -
IAM:-
GuardDuty サービスリンクロールの作成をユーザーに許可します。
-
管理者アカウントはメンバーアカウントに対して GuardDuty を有効にできます。
-
ユーザーは、GuardDuty Malware Protection for S3 機能を有効にするために使用するロールを GuardDuty に渡すことができます。これは、Malware Protection for S3 を GuardDuty サービス内で有効にするか個別に有効にするかとは関係ありません。
-
-
Organizations— GuardDuty Organization の委任された管理者やマネージドメンバーを指定できるようになります。
AWSServiceRoleForAmazonGuardDutyMalwareProtection で iam:GetRole アクションを実行するアクセス許可によって、Malware Protection for EC2 のサービスリンクロール (SLR) がアカウントに存在するかどうかが明らかになります。
このポリシーの許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonGuardDutyFullAccess」を参照してください。
AWS マネージドポリシー: AmazonGuardDutyReadOnlyAccess
AmazonGuardDutyReadOnlyAccess ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが GuardDuty の検出結果と GuardDuty 組織の詳細を表示できるようにするための読み取り専用アクセスを許可します。
許可の詳細
このポリシーには、次の許可が含まれています。
-
GuardDuty— ユーザーが GuardDuty の検出結果を表示し、Get、List、またはDescribeで始まる API オペレーションを実行できるようにします。 -
Organizations— ユーザーは委任された管理者のアカウントの詳細を含む GuardDuty organization の構成に関する情報を取得できるようになります。
このポリシーの許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonGuardDutyReadOnlyAccess」を参照してください。
AWS マネージドポリシー: AmazonGuardDutyServiceRolePolicy
IAM エンティティに AmazonGuardDutyServiceRolePolicy をアタッチすることはできません。この AWS マネージドポリシーは、ユーザーに代わって GuardDuty を許可するサービスにリンクされたロールにアタッチされます。詳細については、「GuardDuty のためのサービスにリンクされたロールの許可」を参照してください。
GuardDuty は AWS マネージドポリシーを更新します。
GuardDuty の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動アラートについては、GuardDuty の [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonGuardDutyFullAccess_v2 – は新しいポリシーを追加しました。 |
新しい AmazonGuardDutyFullAccess_v2 ポリシーを追加しました。このアクセス許可は、IAM ロールとポリシー、および AWS Organizations 統合に基づいて管理アクションを GuardDuty サービスプリンシパルに制限することでセキュリティを強化するために推奨されます。 |
2025 年 6 月 4 日 |
|
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新 |
|
2024 年 8 月 22 日 |
|
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新 |
Malware Protection for S3 を有効にするときに IAM ロールを GuardDuty に渡すことができるアクセス許可を追加しました。
|
2024 年 6 月 10 日 |
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新。 |
Amazon EC2 の自動エージェントによる GuardDuty Runtime Monitoring を有効にする場合、AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの SSM 関連付けを管理します。GuardDuty 自動エージェント設定が無効になっている場合、GuardDuty は包含タグ ( |
2024 年 3 月 26 日 |
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新。 |
GuardDuty に新しいアクセス許可 |
2024 年 2 月 9 日 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy – 既存のポリシーへの更新。 |
Malware Protection for EC2 に |
2024 年 1 月 25 日 |
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新 |
新たな許可を追加したことで、GuardDuty による |
2023 年 11 月 26 日 |
|
AmazonGuardDutyReadOnlyAccess – 既存ポリシーへの更新 |
GuardDuty は新しいポリシー organizations を ListAccounts に追加しました。 |
2023 年 11 月 16 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty は新しいポリシー organizations を ListAccounts に追加しました。 |
2023 年 11 月 16 日 |
|
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty に、近日公開予定の GuardDuty EKS Runtime Monitoring 機能をサポートする新しい許可を追加されました。 |
2023 年 3 月 8 日 |
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新 |
Malware Protection for EC2 のサービスリンクロールを作成できるようにする新しい許可を GuardDuty に追加しました。これにより、GuardDuty は Malware Protection for EC2 を有効にするプロセスを効率化できます。 GuardDuty は次の IAM アクションを実行できるようになりました。
|
2023 年 2 月 21 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty が |
2022 年 7 月 26 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty に新しい GuardDuty で、 |
2022 年 7 月 26 日 |
|
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty は、GuardDuty が Amazon EC2 ネットワークアクションを使用して検出結果を改善できるようにするための新しい許可を追加しました。 GuardDuty は次の EC2 アクションを実行して、EC2 インスタンスの通信方法に関する情報を取得できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。
|
2021 年 8 月 3 日 |
|
GuardDuty が変更のトラッキングを開始しました |
GuardDuty が、AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 8 月 3 日 |
