翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Malware Protection for のサービスにリンクされたロールのアクセス許可 EC2
Malware Protection for は、 という名前のサービスにリンクされたロール (SLR) EC2を使用しますAWSServiceRoleForAmazonGuardDutyMalwareProtection。これによりSLR、 の Malware Protection EC2はエージェントレススキャンを実行して、 GuardDuty アカウント内のマルウェアを検出できます。これにより GuardDuty 、 アカウントでEBSボリュームスナップショットを作成し、そのスナップショットを GuardDuty サービスアカウントと共有できます。がスナップショット GuardDuty を評価すると、取得したEC2インスタンスとコンテナワークロードのメタデータが Malware Protection にEC2結果として含まれます。AWSServiceRoleForAmazonGuardDutyMalwareProtection サービスにリンクされたロールは、ロールを継承するために malware-protection.guardduty.amazonaws.com のサービスを信頼します。
このロールのアクセス許可ポリシーはEC2、 の Malware Protection が以下のタスクを実行するのに役立ちます。
-
Amazon Elastic Compute Cloud (Amazon EC2) アクションを使用して、Amazon EC2インスタンス、ボリューム、スナップショットに関する情報を取得します。Malware Protection for は、Amazon EKSおよび Amazon ECSクラスターメタデータにアクセスするためのアクセス許可EC2も提供します。
-
GuardDutyExcludedタグが に設定されていないEBSボリュームのスナップショットを作成しますtrue。デフォルトでは、GuardDutyScanIdタグを持つスナップショットが作成されます。このタグを削除しないでください。削除しないと、 の Malware Protection はスナップショットにアクセスEC2できません。重要
GuardDutyExcludedを に設定するとtrueGuardDuty、サービスは今後これらのスナップショットにアクセスできなくなります。これは、このサービスにリンクされたロールの他のステートメント GuardDuty は、 がGuardDutyExcludedに設定されているスナップショットに対して がアクションを実行できないためですtrue。 -
スナップショットの共有と削除を許可するのは、
GuardDutyScanIdタグが存在し、GuardDutyExcludedタグがtrueに設定されていない場合のみです。注記
Malware Protection for がスナップショットを公開EC2することを許可しません。
-
タグが
GuardDutyExcludedに設定されているキーを除き、カスタマーマネージドキーにアクセスして を呼び出しtrue、暗号化されたスナップショットから暗号化されたEBSボリュームCreateGrantを作成し、 GuardDuty サービスアカウントと共有します。各リージョン GuardDuty のサービスアカウントのリストについては、「」を参照してくださいGuardDuty による サービスアカウント AWS リージョン。 -
お客様の CloudWatch ログにアクセスして、EC2ロググループの Malware Protection を作成し、マルウェアスキャンイベントログを
/aws/guardduty/malware-scan-eventsロググループの下に配置します。 -
マルウェアが検出されたスナップショットを自分のアカウントに保持するかどうかをお客様が決定できるようにします。スキャンでマルウェアが検出された場合、サービスにリンクされたロールは、 GuardDuty と の 2 つのタグをスナップショットに追加できます
GuardDutyFindingDetectedGuardDutyExcluded。注記
GuardDutyFindingDetectedタグは、スナップショットにマルウェアが含まれていると指定します。 -
ボリュームが EBSマネージドキーで暗号化されているかどうかを確認します。 GuardDuty は
DescribeKeyアクションを実行して、アカウント内の EBSマネージドキーkey Idの を決定します。 -
を使用して暗号化されたEBSボリュームのスナップショットを から取得 AWS アカウント し AWS マネージドキー、 にコピーしますGuardDuty サービスアカウント。この目的のために、 アクセス許可
GetSnapshotBlockと を使用しますListSnapshotBlocks。 GuardDuty はサービスアカウントのスナップショットをスキャンします。現在、 で暗号化されたEBSボリュームのスキャンEC2をサポートする Malware Protection は、すべての で使用できない AWS マネージドキー 場合があります AWS リージョン。詳細については、「リージョン固有機能の可用性」を参照してください。 -
Amazon EC2が Malware Protection AWS KMS に代わって を呼び出しEC2、カスタマーマネージドキーに対して複数の暗号化アクションを実行できるようにします。
kms:ReEncryptToやkms:ReEncryptFromのようなアクションは、カスタマーマネージドキーで暗号化されたスナップショットを共有するために必要です。GuardDutyExcludedタグがtrueに設定されていないキーだけがアクセス可能です。
ロールは、AmazonGuardDutyMalwareProtectionServiceRolePolicy と名付けられた次の AWS マネージドポリシーで構成されます。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeAndListPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTasks", "ecs:DescribeTasks", "eks:DescribeCluster" ], "Resource": "*" }, { "Sid": "CreateSnapshotVolumeConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "CreateSnapshotConditionalStatement", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyScanId" } } }, { "Sid": "CreateTagsPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSnapshot" } } }, { "Sid": "AddTagsToSnapshotPermission", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyExcluded", "GuardDutyFindingDetected" ] } } }, { "Sid": "DeleteAndShareSnapshotPermission", "Effect": "Allow", "Action": [ "ec2:DeleteSnapshot", "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "PreventPublicAccessToSnapshotPermission", "Effect": "Deny", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringEquals": { "ec2:Add/group": "all" } } }, { "Sid": "CreateGrantPermission", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" }, "StringLike": { "kms:EncryptionContext:aws:ebs:id": "snap-*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Decrypt", "CreateGrant", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "RetireGrant", "DescribeKey" ] }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "ShareSnapshotKMSPermission", "Effect": "Allow", "Action": [ "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } }, { "Sid": "DescribeKeyPermission", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "GuardDutyLogGroupPermission", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*" }, { "Sid": "GuardDutyLogStreamPermission", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*" }, { "Sid": "EBSDirectAPIPermissions", "Effect": "Allow", "Action": [ "ebs:GetSnapshotBlock", "ebs:ListSnapshotBlocks" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/GuardDutyScanId": "*" }, "Null": { "aws:ResourceTag/GuardDutyExcluded": "true" } } } ] }
AWSServiceRoleForAmazonGuardDutyMalwareProtection サービスにリンクされたロールにアタッチされている信頼ポリシーは次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
の Malware Protection のサービスにリンクされたロールの作成 EC2
AWSServiceRoleForAmazonGuardDutyMalwareProtection サービスにリンクされたロールは、Malware Protection EC2 for を初めて有効にするか、以前に有効にしていなかったサポートされているリージョンEC2で Malware Protection for を有効にしたときに自動的に作成されます。IAM コンソール、、CLIまたは IAM を使用して、AWSServiceRoleForAmazonGuardDutyMalwareProtectionサービスにリンクされたロールを手動で作成することもできますIAMAPI。
注記
デフォルトでは、Amazon を初めて使用する場合 GuardDuty、 の Malware Protection EC2 は自動的に有効になります。
重要
委任 GuardDuty 管理者アカウント用に作成されたサービスにリンクされたロールは、メンバー GuardDuty アカウントには適用されません。
IAM プリンシパル (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。AWSServiceRoleForAmazonGuardDutyMalwareProtection サービスにリンクされたロールを正常に作成するには、 GuardDuty で使用する IAM ID に必要なアクセス許可が必要です。必要なアクセス許可を付与するには、次のポリシーをこの ユーザー、グループ、またはロールにアタッチします。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "malware-protection.guardduty.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection" } ] }
ロールの手動作成の詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの作成IAM」を参照してください。
の Malware Protection のサービスにリンクされたロールの編集 EC2
Malware Protection for EC2 では、AWSServiceRoleForAmazonGuardDutyMalwareProtectionサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
の Malware Protection のサービスにリンクされたロールの削除 EC2
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
重要
を削除するにはAWSServiceRoleForAmazonGuardDutyMalwareProtection、まず、有効になっているすべてのリージョンEC2で の Malware Protection を無効にする必要があります。
サービスにリンクされたロールを削除しようとしたときに Malware Protection for が無効EC2になっていない場合、削除は失敗します。詳細については、「 GuardDuty実行型マルウェアスキャンを有効または無効にするには」を参照してください。
Disable を選択して Malware Protection for EC2 Service を停止しても、 AWSServiceRoleForAmazonGuardDutyMalwareProtection は自動的に削除されません。次に、Enable を選択して Malware Protection for EC2 service を再度開始すると、 GuardDuty は既存の の使用を開始しますAWSServiceRoleForAmazonGuardDutyMalwareProtection。
を使用してサービスにリンクされたロールを手動で削除するには IAM
IAM コンソール、、または を使用して AWS CLI、AWSServiceRoleForAmazonGuardDutyMalwareProtectionサービスにリンクされたロールIAMAPIを削除します。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。
サポート対象 AWS リージョン
Amazon EC2は、Malware Protection for AWS リージョン が利用可能なすべての で、AWSServiceRoleForAmazonGuardDutyMalwareProtectionサービスにリンクされたロールの使用 GuardDuty をサポートしています。
GuardDuty が現在利用可能なリージョンのリストについては、「」の「Amazon GuardDuty エンドポイントとクォータ」を参照してくださいAmazon Web Services 全般のリファレンス。
注記
の Malware Protection EC2は現在、 AWS GovCloud (米国東部) および AWS GovCloud (米国西部) では利用できません。
