AmazonGuardDutyFullAccess AmazonGuardDutyReadOnlyAccess AmazonGuardDutyServiceRolePolicy ポリシーの更新

Amazon GuardDuty の AWS マネージドポリシー

ユーザー、グループ、ロールに許可を追加するには、自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウントで利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスは、AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。

さらに、AWS は、複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は、新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能ポリシーのリストと説明については、IAM ユーザーガイドのジョブ機能の AWS 管理ポリシーを参照してください。

Version ポリシー要素は、このポリシーを処理するために使用される言語構文ルールを指定します。次のポリシーには、IAM でサポートされている現在のバージョンが含まれています。ポリシー要素の詳細については、「IAM JSON ポリシーエレメント: バージョン」を参照してください。

AWS マネージドポリシー: AmazonGuardDutyFullAccess

AmazonGuardDutyFullAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーにより、すべての GuardDuty アクションに対するフルアクセスをユーザーに許可する管理者許可を付与します。

許可の詳細

このポリシーには、次の許可が含まれています。

GuardDuty — すべての GuardDuty アクションに対するフルアクセスをユーザーに許可します。
IAM:
- GuardDuty サービスリンクロールの作成をユーザーに許可します。
- 管理者アカウントはメンバーアカウントに対して GuardDuty を有効にできます。
- ユーザーは、GuardDuty Malware Protection for S3 機能を有効にするために使用するロールを GuardDuty に渡すことができます。これは、Malware Protection for S3 を GuardDuty サービス内で有効にするか個別に有効にするかとは関係ありません。
Organizations — GuardDuty Organization の委任された管理者やマネージドメンバーを指定できるようになります。

AWSServiceRoleForAmazonGuardDutyMalwareProtection で iam:GetRole アクションを実行するアクセス許可によって、Malware Protection for EC2 のサービスリンクロール (SLR) がアカウントに存在するかどうかが明らかになります。


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AWS マネージドポリシー: AmazonGuardDutyReadOnlyAccess

AmazonGuardDutyReadOnlyAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーは、ユーザーが GuardDuty の検出結果と GuardDuty 組織の詳細を表示できるようにするための読み取り専用アクセスを許可します。

許可の詳細

このポリシーには、次の許可が含まれています。

GuardDuty — ユーザーが GuardDuty の検出結果を表示し、Get、List、または Describe で始まる API オペレーションを実行できるようにします。
Organizations — ユーザーは委任された管理者のアカウントの詳細を含む GuardDuty organization の構成に関する情報を取得できるようになります。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:Describe*",
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AmazonGuardDutyServiceRolePolicy

IAM エンティティに AmazonGuardDutyServiceRolePolicy をアタッチすることはできません。この AWS マネージドポリシーは、ユーザーに代わって GuardDuty を許可するサービスにリンクされたロールにアタッチされます。詳細については、「GuardDuty のためのサービスにリンクされたロールの許可」を参照してください。

GuardDuty は AWS マネージドポリシーを更新します。

GuardDuty の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動アラートについては、GuardDuty の [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。

変更	説明	日付
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新	`ec2:DescribeVpcs` アクセス許可を追加しました。これにより、GuardDuty は VPC CIDR を取得するなど VPC の更新を追跡できます。	2024 年 8 月 22 日
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新	Malware Protection for S3 を有効にするときに IAM ロールを GuardDuty に渡すことができるアクセス許可を追加しました。 `{ "Sid": "AllowPassRoleToMalwareProtectionPlan", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam:::role/", "Condition": { "StringEquals": { "iam:PassedToService": "guardduty.amazonaws.com" } } }`	2024 年 6 月 10 日
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新。	Amazon EC2 の自動エージェントによる GuardDuty Runtime Monitoring を有効にする場合、AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの SSM 関連付けを管理します。GuardDuty 自動エージェント設定が無効になっている場合、GuardDuty は包含タグ (`GuardDutyManaged`:`true`) を持つ EC2 インスタンスのみを考慮します。	2024 年 3 月 26 日
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新。	GuardDuty に新しいアクセス許可 `organization:DescribeOrganization` を追加しました。共有 Amazon VPC アカウントの組織 ID を取得し、組織 ID で Amazon VPC エンドポイントポリシーを設定するのが目的です。	2024 年 2 月 9 日
AmazonGuardDutyMalwareProtectionServiceRolePolicy – 既存のポリシーへの更新。	Malware Protection for EC2 に `GetSnapshotBlock` と `ListSnapshotBlocks` の 2 つのアクセス許可を追加しました。マルウェアスキャンを開始する前に、AWS アカウントから EBS ボリューム (AWS マネージドキーを使用して暗号化) のスナップショットを取得して、GuardDuty サービスアカウントにコピーするのが目的です。	2024 年 1 月 25 日
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新	新たな許可を追加したことで、GuardDuty による `guarddutyActivate` Amazon ECS アカウント設定の追加が可能となり、Amazon ECS クラスターでリスト操作と説明操作を実行できるようになりました。	2023 年 11 月 26 日
AmazonGuardDutyReadOnlyAccess – 既存ポリシーへの更新	GuardDuty は新しいポリシー `organizations` を `ListAccounts` に追加しました。	2023 年 11 月 16 日
AmazonGuardDutyFullAccess – 既存ポリシーへの更新	GuardDuty は新しいポリシー `organizations` を `ListAccounts` に追加しました。	2023 年 11 月 16 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新	GuardDuty に、近日公開予定の GuardDuty EKS Runtime Monitoring 機能をサポートする新しい許可を追加されました。	2023 年 3 月 8 日
AmazonGuardDutyServiceRolePolicy - 既存のポリシーへの更新	Malware Protection for EC2 のサービスリンクロールを作成できるようにする新しい許可を GuardDuty に追加しました。これにより、GuardDuty は Malware Protection for EC2 を有効にするプロセスを効率化できます。 GuardDuty は次の IAM アクションを実行できるようになりました。 `{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }`	2023 年 2 月 21 日
AmazonGuardDutyFullAccess – 既存ポリシーへの更新	GuardDuty が `iam:GetRole` の ARN を `*AWSServiceRoleForAmazonGuardDutyMalwareProtection` に更新しました。	2022 年 7 月 26 日
AmazonGuardDutyFullAccess – 既存ポリシーへの更新	GuardDuty に新しい `AWSServiceName` を追加しました。GuardDuty Malware Protection for EC2 サービスの `iam:CreateServiceLinkedRole` を使用して、サービスリンクロールを作成できるようにするのが目的です。 GuardDuty で、`AWSServiceRole` の情報を得るための `iam:GetRole` アクションを実行できるようになりました。	2022 年 7 月 26 日
AmazonGuardDutyServiceRolePolicy – 既存ポリシーへの更新	GuardDuty は、GuardDuty が Amazon EC2 ネットワークアクションを使用して検出結果を改善できるようにするための新しい許可を追加しました。 GuardDuty は次の EC2 アクションを実行して、EC2 インスタンスの通信方法に関する情報を取得できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。 `ec2:DescribeVpcEndpoints` `ec2:DescribeSubnets` `ec2:DescribeVpcPeeringConnections` `ec2:DescribeTransitGatewayAttachments`	2021 年 8 月 3 日
GuardDuty が変更のトラッキングを開始しました	GuardDuty が、AWS マネージドポリシーの変更の追跡を開始しました。	2021 年 8 月 3 日

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Malware Protection for EC2 のためのサービスにリンクされたロールの許可

トラブルシューティング