サービスにリンクされたロールの使用
AWS Security Incident Response のサービスにリンクされたロール
内容
サービスリンクロールのサポート: あり
サービスにリンクされたロールは、AWS のサービスにリンクされているサービスロールの一種です。サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。サービスにリンクされたロールは、AWS アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Security Incident Response の設定が簡単になります。このサービスリンクロールのアクセス許可は AWS Security Incident Response で定義します。特に定義されている場合を除き、AWS Security Incident Response のみがそのロールを引き受けることができます。定義された権限には、信頼ポリシーと権限ポリシーに含まれており、その権限ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照し、サービスリンクロール列内ではいと表記されたサービスを確認してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「はい」のリンクをクリックします。
AWS SLR: AWSServiceRoleForSecurityIncidentResponse
AWS Security Incident Response は、AWSServiceRoleForSecurityIncidentResponse という名前のサービスにリンクされたロール (SLR) および AWS Security Incident Response ポリシーを使用して、サブスクライブされているアカウントを識別し、ケースを作成し、関連リソースにタグを付けます。
アクセス許可
AWSServiceRoleForSecurityIncidentResponse サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
triage.security-ir.amazonaws.com
このロールには、AWSSecurityIncidentResponseServiceRolePolicy という名前の AWS マネージドポリシーが添付されます。サービスはロールを使用して、次のリソースに対してアクションを実行します。
AWS Organizations: サービスで使用するメンバーシップアカウントをサービスが検索できるようにします。
CreateCase: メンバーシップアカウントに代わってサービスがサービスケースを作成できるようにします。
ListCases: セキュリティ調査の目的で、サービスの AI エージェントがケースを閲覧できるようにします。
UpdateCase: サービスの AI エージェントがケースのメタデータを更新できるようにします。
CreateCaseComment: サービスの AI エージェントが結果を症例コメントとして投稿できるようにします。
ListComments: サービスの AI エージェントが自動調査を実行するために必要なケースコメントを閲覧できるようにします。
TagResource: サービスの一部として設定されたサービスタグリソースを許可します。
ロールの管理
サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、または AWS API で AWS Security Incident Response にオンボードすると、サービスにリンクされたロールが自動的に作成されます。
注記
委任管理者アカウントを使用してメンバーシップを作成した場合は、AWS Organizations 管理アカウントでサービスにリンクされたロールを手動で作成する必要があります。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。サービスにオンボードすると、サービスにリンクされたロールが再度作成されます。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクされたロールのアクセス許可」を参照してください。
AWS SLR: AWSServiceRoleForSecurityIncidentResponse_Triage
AWS Security Incident Response は、AWSServiceRoleForSecurityIncidentResponse_Triage という名前のサービスにリンクされたロール (SLR) および AWS Security Incident Response ポリシーを使用して、セキュリティの脅威について環境を継続的にモニタリングし、セキュリティサービスを調整してアラートノイズを減らし、情報を収集して潜在的なインシデントを調査します。
アクセス許可
AWSServiceRoleForSecurityIncidentResponse_Triage サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
triage.security-ir.amazonaws.com
このロールには、AWS マネージドポリシー AWSSecurityIncidentResponseTriageServiceRolePolicy が添付されます。サービスはロールを使用して、次のリソースに対してアクションを実行します。
イベント: Amazon EventBridge マネージドルールの作成をサービスに許可します。このルールは、アカウントからサービスにイベントを配信するために AWS アカウントで必要なインフラストラクチャです。このアクションは、
triage.security-ir.amazonaws.comによって管理されるすべての AWS リソースで実行されます。Amazon GuardDuty: サービスがセキュリティサービスを調整してアラートノイズを減らし、情報を収集して潜在的なインシデントを調査できるようにします。このアクションは任意の AWS リソースで実行されます。
AWS Security Hub CSPM: サービスがセキュリティサービスを調整してアラートノイズを減らし、情報を収集して潜在的なインシデントを調査できるようにします。このアクションは任意の AWS リソースで実行されます。
ロールの管理
サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、または AWS API で AWS Security Incident Response にオンボードすると、サービスにリンクされたロールが自動的に作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。サービスにオンボードすると、サービスにリンクされたロールが再度作成されます。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクされたロールのアクセス許可」を参照してください。
AWS Security Incident Response のサービスリンクロールをサポートするリージョン
AWS Security Incident Response は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。
米国東部 (オハイオ)
米国西部 (オレゴン)
米国東部 (バージニア)
欧州 (フランクフルト)
欧州 (アイルランド)
欧州 (ロンドン)
欧州 (ミラノ)
欧州 (パリ)
欧州 (スペイン)
欧州 (ストックホルム)
欧州 (チューリッヒ)
アジアパシフィック (香港)
アジアパシフィック (ハイデラバード)
アジアパシフィック (ジャカルタ)
アジアパシフィック (メルボルン)
アジアパシフィック (ムンバイ)
アジアパシフィック (ソウル)
アジアパシフィック (シンガポール)
アジアパシフィック (シドニー)
アジアパシフィック (東京)
カナダ (中部)
中東 (バーレーン)
中東 (アラブ首長国連邦)
南米 (サンパウロ)
アフリカ (ケープタウン)
