[アップデート]GuardDutyに関するIAM PolicyのAmazonGuardDutyFullAccessとかが1年ぶりに更新されたので内容を確認してみた

GuardDutyのAWSマネージドポリシーが更新されたので確認してみました。

臼田佳祐

2023.11.24

こんにちは、臼田です。

みなさん、GuardDutyバリバリ使ってますか?(挨拶

今回はGuardDutyのRSSからやってきたGuardDutyに関する2つのマネージドポリシー(AmazonGuardDutyFullAccessPolicy / AmazonGuardDutyReadOnlyAccess)の更新について確認してみました。

RSSはこの辺にあるのでトラッキングしたい方は登録しましょう。

GuardDutyに関するアップデートはこちらにあります。

概要

アップデート文章は以下のとおりです。

Updated the AWS managed policies

GuardDuty added a new permission, organizations:ListAccounts to the AmazonGuardDutyFullAccessPolicy and AmazonGuardDutyReadOnlyAccess.

下記2つのAWSマネージドなIAM Policyについて、organizations:ListAccountsが追加されたとのことです。

GuardDutyにはAWS Organizationsと連携して検出を集約したり、一括で設定したりする管理機能があるため、GuardDutyの画面上で配下のAWSアカウントを確認することがあるので、そのための権限の追加ですね。

古いポリシーと比較してみた

では実際にそのポリシーを確認してみます。

AWSのマネジメントコンソールを開いて、IAMの画面でAmazonGuardDutyFullAccessPolicyを開いてみます。「ポリシーのバージョン」タブで見てみると、最新のバージョンがバージョン5で、以前のバージョン4は1年前の更新ですね。

001_guardduty_policy_update

中身を見てみましょう。行数を比較してみると、どうやら5行ぐらい増えていますね。ポリシーが1つ増えただけのはずでは…?

002_guardduty_policy_update

というわけで比較してみます。差分は以下のハイライトの箇所です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        }
    ]
}

増えている行の殆どはSidの追加でしたね。Sidは説明用のテキストみたいな扱いなので、実質的な変化はorganizations:ListAccountsの追加だけですね。

ちなみにAmazonGuardDutyReadOnlyAccessのポリシーの方は、Sidの追加はなく1行だけ増えていました。

まとめ

GuardDutyに関連するAWSマネージドポリシーの更新内容を確認してみました。ちょっとしたアップデートですが、使いやすくなるいいアップデートですね。

他にもマネージドポリシーでほしい権限があれば、リクエストしてみてはいかがでしょうか?

AWS

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

臼田佳祐

2024.04.16

Amazon GuardDuty EC2 Runtime Monitoring 서비스가 정식 출시 되었습니다!

KeumSangwon

2024.04.12

GuardDuty のマルウェアスキャンを実施した際に外部共有された EBS スナップショットが作成されたのはなぜでしょうか?

Funa

2024.04.11

GuardDuty Malware Protection はインターネットにアクセス可能な構成でなければ利用できないのか教えてください

片方 裕人

2024.04.09