翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon の マネージドポリシー GuardDuty
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーIAM」を参照してください。
AWS サービスは、 AWS マネージドポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、 AWS マネージドポリシーに新しい機能をサポートするアクセス許可を追加することがあります。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは、新機能の起動時または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が中断されることはありません。
さらに、 は、複数の サービスにまたがる職務機能の マネージドポリシー AWS をサポートします。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。職務機能ポリシーのリストと説明については、「 ユーザーガイドAWS 」の「職務機能用の 管理ポリシーIAM」を参照してください。
AWS マネージドポリシー: AmazonGuardDutyFullAccess
IAM ID にAmazonGuardDutyFullAccessポリシーをアタッチできます。
このポリシーは、ユーザーにすべての GuardDuty アクションへのフルアクセスを許可する管理アクセス許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
GuardDuty– すべての GuardDutyアクションへのフルアクセスをユーザーに許可します。 -
IAM:-
GuardDuty サービスにリンクされたロールの作成をユーザーに許可します。
-
管理者アカウントがメンバーアカウント GuardDuty に対して を有効にすることを許可します。
-
S3 の GuardDuty Malware Protection 機能を有効にする GuardDuty ためにこのロールを使用する にロールを渡すことをユーザーに許可します。これは、 GuardDuty サービス内で、または個別に S3 の Malware Protection を有効にする方法とは関係ありません。
-
-
Organizations– 委任された管理者を指定し、 GuardDuty 組織のメンバーを管理できるようにします。
でiam:GetRoleアクションを実行するアクセス許可は、Malware Protection for のサービスにリンクされたロール (SLR) がアカウントEC2に存在するかどうかAWSServiceRoleForAmazonGuardDutyMalwareProtectionを確立します。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AmazonGuardDutyFullAccessSid1", "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleSid1", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "guardduty.amazonaws.com", "malware-protection.guardduty.amazonaws.com" ] } } }, { "Sid": "ActionsForOrganizationsSid1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "IamGetRoleSid1", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" }, { "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com" } } } ] }
AWS マネージドポリシー: AmazonGuardDutyReadOnlyAccess
IAM ID にAmazonGuardDutyReadOnlyAccessポリシーをアタッチできます。
このポリシーは、ユーザーが GuardDuty 組織 GuardDuty の結果と詳細を表示できるようにする読み取り専用アクセス許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
GuardDuty– ユーザーが GuardDuty 結果を表示し、Get、、Listまたは で始まるAPIオペレーションを実行できるようにしますDescribe。 -
Organizations– 委任された管理者アカウントの詳細など、 GuardDuty 組織設定に関する情報の取得をユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ] }
AWS マネージドポリシー: AmazonGuardDutyServiceRolePolicy
IAM エンティティAmazonGuardDutyServiceRolePolicyに をアタッチすることはできません。この AWS 管理ポリシーは、 がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロール GuardDuty にアタッチされます。詳細については、「のサービスにリンクされたロールのアクセス許可 GuardDuty」を参照してください。
GuardDuty AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始した GuardDuty 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートを受け取るには、 GuardDuty ドキュメント履歴ページのRSSフィードにサブスクライブします。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonGuardDutyFullAccess - 既存ポリシーへの更新 |
Malware Protection for S3 を有効にするときに IAMロールを GuardDuty に渡すことができるアクセス許可を追加しました。
|
2024 年 6 月 10 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新。 |
Amazon の自動エージェントで GuardDuty Runtime Monitoring を有効にする場合は、 AWS Systems Manager アクションを使用して Amazon EC2インスタンスのSSM関連付けを管理しますEC2。 GuardDuty 自動エージェント設定が無効になっている場合、包含タグ ( |
2024 年 3 月 26 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新。 |
GuardDuty は、共有 Amazon VPCアカウントの組織 ID を取得し、組織 ID で Amazon VPCエンドポイントポリシーを設定 |
2024 年 2 月 9 日 |
AmazonGuardDutyMalwareProtectionServiceRolePolicy – 既存ポリシーへの更新。 |
Malware Protection for EC2は、 からEBS AWS アカウント ボリュームのスナップショット ( を使用して暗号化 AWS マネージドキー) |
2024 年 1 月 25 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
が |
2023 年 11 月 26 日 |
|
AmazonGuardDutyReadOnlyAccess – 既存ポリシーへの更新 |
GuardDuty は、 の新しいポリシーorganizationsを に追加しましたListAccounts。 |
2023 年 11 月 16 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty は、 の新しいポリシーorganizationsを に追加しましたListAccounts。 |
2023 年 11 月 16 日 |
|
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty は、今後の GuardDuty EKS Runtime Monitoring 機能をサポートする新しいアクセス許可を追加しました。 |
2023 年 3 月 8 日 |
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty は、 GuardDuty が Malware Protection for のサービスにリンクされたロールを作成できるようにする新しいアクセス許可を追加しましたEC2。これにより、 GuardDuty の Malware Protection を有効にするプロセスを合理化できますEC2。 GuardDuty で次のIAMアクションを実行できるようになりました。
|
2023 年 2 月 21 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty は ARNの |
2022 年 7 月 26 日 |
|
AmazonGuardDutyFullAccess – 既存ポリシーへの更新 |
GuardDuty は、 for GuardDuty Malware Protection GuardDuty で |
2022 年 7 月 26 日 |
|
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新 |
GuardDuty は、 GuardDuty が Amazon EC2ネットワークアクションを使用して検出結果を改善できるようにする新しいアクセス許可を追加しました。 GuardDuty では、EC2インスタンスの通信方法に関する情報を取得するために、次のEC2アクションを実行できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。
|
2021 年 8 月 3 日 |
|
GuardDuty が変更の追跡を開始しました |
GuardDuty が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 8 月 3 日 |
