# サービスにリンクされたロールの使用
***AWS Security Incident Response のサービスにリンクされたロール***
**Topics**
+ [AWS SLR: AWSServiceRoleForSecurityIncidentResponse](#AWSServiceRoleForSecurityIncidentResponse)
+ [AWS SLR: AWSServiceRoleForSecurityIncidentResponse\$1Triage](#AWSServiceRoleForSecurityIncidentResponse_Triage)
+ [AWS Security Incident Response のサービスリンクロールをサポートするリージョン](#sir-slr-regions)
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、AWS のサービスにリンクされているサービスロールの一種です。サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。サービスにリンクされたロールは、AWS アカウント内に表示され、サービスによって所有されます。AWS Identity and Access Management 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Security Incident Response の設定が簡単になります。このサービスリンクロールのアクセス許可は AWS Security Incident Response で定義します。特に定義されている場合を除き、AWS Security Incident Response のみがそのロールを引き受けることができます。定義された権限には、信頼ポリシーと権限ポリシーに含まれており、その権限ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、サービスリンクロール列内で **はい** と表記されたサービスを確認してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「はい」のリンクをクリックします。
## AWS SLR: AWSServiceRoleForSecurityIncidentResponse
AWS Security Incident Response は、AWSServiceRoleForSecurityIncidentResponse という名前のサービスにリンクされたロール (SLR) および AWS Security Incident Response ポリシーを使用して、サブスクライブされているアカウントを識別し、ケースを作成し、関連リソースにタグを付けます。
### アクセス許可
AWSServiceRoleForSecurityIncidentResponse サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
+ `triage.security-ir.amazonaws.com`
このロールには、[AWSSecurityIncidentResponseServiceRolePolicy](aws-managed-policies.md#AWSSecurityIncidentResponseServiceRolePolicy) という名前の AWS マネージドポリシーが添付されます。サービスはロールを使用して、次のリソースに対してアクションを実行します。
+ *AWS Organizations:* サービスで使用するメンバーシップアカウントをサービスが検索できるようにします。
+ *CreateCase:* メンバーシップアカウントに代わってサービスがサービスケースを作成できるようにします。
+ *ListCases:* セキュリティ調査の目的で、サービスの AI エージェントがケースを閲覧できるようにします。
+ *UpdateCase:* サービスの AI エージェントがケースのメタデータを更新できるようにします。
+ *CreateCaseComment:* サービスの AI エージェントが結果を症例コメントとして投稿できるようにします。
+ *ListComments:* サービスの AI エージェントが自動調査を実行するために必要なケースコメントを閲覧できるようにします。
+ *TagResource:* サービスの一部として設定されたサービスタグリソースを許可します。
### ロールの管理
サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、または AWS API で AWS Security Incident Response にオンボードすると、サービスにリンクされたロールが自動的に作成されます。
**注記**
委任管理者アカウントを使用してメンバーシップを作成した場合は、AWS Organizations 管理アカウントでサービスにリンクされたロールを手動で作成する必要があります。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。サービスにオンボードすると、サービスにリンクされたロールが再度作成されます。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## AWS SLR: AWSServiceRoleForSecurityIncidentResponse\$1Triage
AWS Security Incident Response は、AWSServiceRoleForSecurityIncidentResponse\$1Triage という名前のサービスにリンクされたロール (SLR) および AWS Security Incident Response ポリシーを使用して、セキュリティの脅威について環境を継続的にモニタリングし、セキュリティサービスを調整してアラートノイズを減らし、情報を収集して潜在的なインシデントを調査します。
### アクセス許可
AWSServiceRoleForSecurityIncidentResponse\$1Triage サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `triage.security-ir.amazonaws.com`
このロールには、AWS マネージドポリシー [AWSSecurityIncidentResponseTriageServiceRolePolicy](aws-managed-policies.md#AWSSecurityIncidentResponseTriageServiceRolePolicy) が添付されます。サービスはロールを使用して、次のリソースに対してアクションを実行します。
+ *イベント:* Amazon EventBridge マネージドルールの作成をサービスに許可します。このルールは、アカウントからサービスにイベントを配信するために AWS アカウントで必要なインフラストラクチャです。このアクションは、`triage.security-ir.amazonaws.com` によって管理されるすべての AWS リソースで実行されます。
+ *Amazon GuardDuty:* サービスがセキュリティサービスを調整してアラートノイズを減らし、潜在的なインシデントを調査するための情報を収集したり、GuardDuty マルウェアスキャンを開始したりすることが可能になります。
+ *AWS Security Hub CSPM:* サービスが有効化されている標準規格や製品統合の一覧表示、組織メンバーや管理者アカウントの一覧表示、アラートノイズを減らし、潜在的なインシデントを調査するための情報収集を行うことが可能になります。
+ *AWS Identity and Access Management:* サービスが `AWSServiceRoleForAmazonGuardDutyMalwareProtection` サービスにリンクされたロールのロール情報を取得して、GuardDuty MalwareProtection が設定されているかどうかを確認できるようにします。
+ *AWS Security Incident Response:* サービスがケースを作成および更新し、`SecurityIncidentResponseManaged=true` でタグ付けされたリソースに制限されたリソースにタグ付けできるようにします。サービスがメンバーシップ情報 (GetMembership、ListMemberships) を読み取ることを許可します。
### ロールの管理
サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、または AWS API で AWS Security Incident Response にオンボードすると、サービスにリンクされたロールが自動的に作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。サービスにオンボードすると、サービスにリンクされたロールが再度作成されます。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## AWS Security Incident Response のサービスリンクロールをサポートするリージョン
AWS Security Incident Response は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。
+ 米国東部 (オハイオ)
+ 米国西部 (オレゴン)
+ 米国東部 (バージニア)
+ 欧州 (フランクフルト)
+ 欧州 (アイルランド)
+ 欧州 (ロンドン)
+ 欧州 (ミラノ)
+ 欧州 (パリ)
+ 欧州 (スペイン)
+ 欧州 (ストックホルム)
+ 欧州 (チューリッヒ)
+ アジアパシフィック (香港)
+ アジアパシフィック (ハイデラバード)
+ アジアパシフィック (ジャカルタ)
+ アジアパシフィック (メルボルン)
+ アジアパシフィック (ムンバイ)
+ アジアパシフィック (ソウル)
+ アジアパシフィック (シンガポール)
+ アジアパシフィック (シドニー)
+ アジアパシフィック (東京)
+ カナダ (中部)
+ 中東 (バーレーン)
+ 中東 (アラブ首長国連邦)
+ 南米 (サンパウロ)
+ アフリカ (ケープタウン)