[アップデート]GuardDutyに関するIAM PolicyのAmazonGuardDutyFullAccessとかが1年ぶりに更新されたので内容を確認してみた

こんにちは、臼田です。

みなさん、GuardDutyバリバリ使ってますか？(挨拶

今回はGuardDutyのRSSからやってきたGuardDutyに関する2つのマネージドポリシー(AmazonGuardDutyFullAccessPolicy / AmazonGuardDutyReadOnlyAccess)の更新について確認してみました。

RSSはこの辺にあるのでトラッキングしたい方は登録しましょう。

GuardDutyに関するアップデートはこちらにあります。

概要

アップデート文章は以下のとおりです。

Updated the AWS managed policies

GuardDuty added a new permission, organizations:ListAccounts to the AmazonGuardDutyFullAccessPolicy and AmazonGuardDutyReadOnlyAccess.

下記2つのAWSマネージドなIAM Policyについて、organizations:ListAccountsが追加されたとのことです。

GuardDutyにはAWS Organizationsと連携して検出を集約したり、一括で設定したりする管理機能があるため、GuardDutyの画面上で配下のAWSアカウントを確認することがあるので、そのための権限の追加ですね。

古いポリシーと比較してみた

では実際にそのポリシーを確認してみます。

AWSのマネジメントコンソールを開いて、IAMの画面でAmazonGuardDutyFullAccessPolicyを開いてみます。「ポリシーのバージョン」タブで見てみると、最新のバージョンがバージョン5で、以前のバージョン4は1年前の更新ですね。

中身を見てみましょう。行数を比較してみると、どうやら5行ぐらい増えていますね。ポリシーが1つ増えただけのはずでは…？

というわけで比較してみます。差分は以下のハイライトの箇所です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        }
    ]
}

増えている行の殆どはSidの追加でしたね。Sidは説明用のテキストみたいな扱いなので、実質的な変化はorganizations:ListAccountsの追加だけですね。

ちなみにAmazonGuardDutyReadOnlyAccessのポリシーの方は、Sidの追加はなく1行だけ増えていました。

まとめ

GuardDutyに関連するAWSマネージドポリシーの更新内容を確認してみました。ちょっとしたアップデートですが、使いやすくなるいいアップデートですね。

他にもマネージドポリシーでほしい権限があれば、リクエストしてみてはいかがでしょうか？