Amazon GuardDuty に関する IAM ポリシーのアクションを用途別にまとめてみた
Amazon GuardDuty の IAM ポリシーを検討しやすいように、機能または作業別に独自のカテゴリに整理する機会がありました。そのときの内容を自身の備忘録も兼ねてブログ化しました。
Amazon GuardDuty のアクション一覧
操作したい機能、または、作業ごとに独自のカテゴリに分けて掲載します。
アクション一覧は次のユーザーガイドのページに掲載されており、API へのリンクも掲載されていることから、併用して確認することをおすすめします。
GuardDuty 全体(Detector)関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListDetectors | ディテクターの一覧を取得 | - |
| 読み取り | GetDetector | ディテクターの設定を取得 | - |
| 書き込み | CreateDetector | ディテクターを作成 | - |
| 書き込み | UpdateDetector | ディテクターを更新 | - |
| 書き込み | DeleteDetector | ディテクターを削除 | - |
検出結果(Findings)関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListFindings | 検出結果の一覧を取得 | - |
| 読み取り | GetFindings | 検出結果を取得 | - |
| 読み取り | GetFindingsStatistics | 検出結果の統計結果を取得 | - |
| 書き込み | ArchiveFindings | 検出結果をアーカイブ | - |
| 書き込み | UnarchiveFindings | 検出結果のアーカイブを解除 | - |
| 書き込み | CreateSampleFindings | 検出結果のサンプルを生成 | - |
検出結果のフィードバック関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 書き込み | UpdateFindingsFeedback | 検出結果のフィードバックを許可 | - |
フィルター・抑制関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListFilters | フィルターの一覧を取得 | - |
| 読み取り | GetFilter | フィルターの設定を取得 | - |
| 書き込み | CreateFilter | フィルターを作成 | - |
| 書き込み | UpdateFilter | フィルターを更新 | - |
| 書き込み | DeleteFilter | フィルターを削除 | - |
マルウェア保護関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | DescribeMalwareScans | マルウェアスキャンの結果を取得 | - |
| 読み取り | GetMalwareScanSettings | マルウェアスキャンの設定を取得 | - |
| 書き込み | StartMalwareScan | マルウェアスキャンを開始 | - |
| 書き込み | UpdateMalwareScanSettings | マルウェアスキャンの設定を更新 | - |
EKS ランタイムモニタリング関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListCoverage | カバレッジの一覧を取得 | - |
| 読み取り | GetCoverageStatistics | カバレッジの統計を取得 | - |
| 書き込み | SendSecurityTelemetry | セキュリティテレメトリの送信 | おそらくランタイムイベントを送信するための権限と思われます |
信頼されている IP リスト関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListIPSets | 信頼されている IP リストの一覧を取得 | - |
| 読み取り | GetIPSet | 信頼されている IP リストの設定を取得 | - |
| 書き込み | CreateIPSet | 信頼されている IP リストを作成 | - |
| 書き込み | UpdateIPSet | 信頼されている IP リストを更新 | - |
| 書き込み | DeleteIPSet | 信頼されている IP リストを削除 | - |
脅威 IP リスト関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListThreatIntelSets | 脅威 IP リストの一覧を取得 | - |
| 読み取り | GetThreatIntelSet | 脅威 IP リストの設定を取得 | - |
| 書き込み | CreateThreatIntelSet | 脅威 IP リストを作成 | - |
| 書き込み | UpdateThreatIntelSet | 脅威 IP リストを更新 | - |
| 書き込み | DeleteThreatIntelSet | 脅威 IP リストを削除 | - |
S3 へのエクスポート関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListPublishingDestinations | エクスポート先の一覧を取得 | - |
| 読み取り | DescribePublishingDestination | エクスポート先を取得 | - |
| 書き込み | CreatePublishingDestination | エクスポート先を作成(設定) | - |
| 書き込み | UpdatePublishingDestination | エクスポート先を更新 | - |
| 書き込み | DeletePublishingDestination | エクスポート先を削除 | - |
メンバーアカウント関連
このカテゴリだけ、管理者アカウント側の操作とメンバーアカウント側の操作を示す列(実行主体)を追加しています。また、一部のアクションは非推奨とされており、代わりのアクションがあります。
| アクセスレベル | アクション | 実行主体 | 概要 | 補足 |
|---|---|---|---|---|
| リスト | ListMembers | 管理者 | 関連付け済みのメンバーアカウントの一覧を取得 | - |
| リスト | ListInvitations | メンバー | 招待されている一覧を取得 | - |
| 読み取り | GetMembers | 管理者 | メンバーアカウントの情報を取得 | - |
| 読み取り | GetMemberDetectors | 管理者 | メンバーアカウントの Detector の設定(各保護の有効化状態)を取得 | - |
| 読み取り | GetInvitationsCount | メンバー | 招待されている数を確認 | - |
| 読み取り | GetAdministratorAccount | メンバー | 関連付け済みの管理者アカウントの情報を取得 | - |
| 読み取り | GetMasterAccount | メンバー | 関連付け済みの管理者アカウントの情報を取得 | 非推奨 |
| 書き込み | CreateMembers | 管理者 | メンバーアカウントを作成 | - |
| 書き込み | InviteMembers | 管理者 | メンバーアカウントを招待 | - |
| 書き込み | DisassociateMembers | 管理者 | メンバーアカウントの関連付けを解除 | - |
| 書き込み | DeleteMembers | 管理者 | メンバーアカウントを削除 | - |
| 書き込み | StartMonitoringMembers | 管理者 | メンバーアカウントの保護を有効化 | - |
| 書き込み | UpdateMemberDetectors | 管理者 | メンバーアカウントの設定を更新 | - |
| 書き込み | StopMonitoringMembers | 管理者 | メンバーアカウントの保護を無効化 | - |
| 書き込み | AcceptAdministratorInvitation | メンバー | 招待を承認 | - |
| 書き込み | AcceptInvitation | メンバー | 招待を承認 | 非推奨 |
| 書き込み | DeclineInvitations | メンバー | 招待を拒否 | - |
| 書き込み | DeleteInvitations | メンバー | 招待を削除 | - |
| 書き込み | DisassociateFromAdministratorAccount | メンバー | 管理者カウントとの関連付けを解除 | - |
| 書き込み | DisassociateFromMasterAccount | メンバー | 管理者カウントとの関連付けを解除 | 非推奨 |
委任関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListOrganizationAdminAccounts | 委任の一覧を取得 | - |
| 書き込み | EnableOrganizationAdminAccount | 委任を有効 | - |
| 書き込み | DisableOrganizationAdminAccount | 委任を無効 | - |
AWS Organizations 連携の自動有効設定関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | DescribeOrganizationConfiguration | 自動有効化設定を取得 | - |
| 書き込み | UpdateOrganizationConfiguration | 自動有効化設定を更新 | - |
料金関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | GetRemainingFreeTrialDays | 無料試用期間の残り日数を取得 | - |
| 読み取り | GetUsageStatistics | GuardDuty の使用状況の統計を取得 | - |
タグ関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | ListTagsForResource | タグの一覧を取得 | - |
| タグ付け | TagResource | タグ追加 | - |
| タグ付け | UntagResource | タグ削除 | - |
さいごに
Amazon GuardDuty の IAM ポリシーを検討しやすいように、機能または作業別に独自のカテゴリに整理してみました。
以上、このブログがどなたかのご参考になれば幸いです。
![[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f1f1e80330aaa8917410e012de277155/263838c1009bccfef2d8a98f11615f2d/amazon-guardduty)
![[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-764c44f07bcd41184fe62a432ae120ab/512a4cdcd05a0ed3ddea950fdf619fa0/amazon-athena)
