[アップデート] Amazon GuardDuty の新しい AWS 管理ポリシー 「AmazonGuardDutyFullAccess_v2」 の利用が今後推奨されます

[アップデート] Amazon GuardDuty の新しい AWS 管理ポリシー 「AmazonGuardDutyFullAccess_v2」 の利用が今後推奨されます

Clock Icon2025.06.07

こんにちは、クラウド事業本部の平木です!

ふと IAM ポリシー一覧を見ていたところ Amazon GuardDuty の新しい AWS 管理ポリシー「AmazonGuardDutyFullAccess_v2」が出来ていたことに気付き調べたところ今後この AWS 管理ポリシーの利用が推奨されるとのことでした。
このポリシーは、従来の「AmazonGuardDutyFullAccess」ポリシーの後継として、セキュリティの強化と権限の最適化を目的としているようです。

新しい AmazonGuardDutyFullAccess_v2 ポリシーと従来のポリシーとの違い、そして何が強化されたかを解説します。

https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol.html

AmazonGuardDutyFullAccess_v2 の概要

AmazonGuardDutyFullAccess_v2 は、GuardDuty サービスプリンシパルに対する管理アクションを制限することで、セキュリティを強化した新しい AWS 管理ポリシーです。
従来の AmazonGuardDutyFullAccess ポリシーよりも、この v2 ポリシーの使用を推奨しています。

主な特徴

  • GuardDuty サービスプリンシパルに対する管理アクションを制限
  • ユーザーは引き続きすべての GuardDuty アクションと必要なリソースへのフルアクセスが可能

具体的なポリシーの内容

現在(2025/06/07 時点)のポリシー内容です。
今後のアップデートで修正がある可能性はありますので最新のものは公式ドキュメントを参照ください。

AmazonGuardDutyFullAccess_v2(新版・推奨)

具体的なポリシー内容は展開してください
{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "GuardDutyFullAccess",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateGuardDutyServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GuardDutyOrganizationsAdminAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "GuardDutyIamRoleAccess",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "PassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

AmazonGuardDutyFullAccess(従来版)

具体的なポリシー内容は展開してください
{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AmazonGuardDutyFullAccessSid1",
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleSid1",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "guardduty.amazonaws.com",
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "ActionsForOrganizationsSid1",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IamGetRoleSid1",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        },
        {
            "Sid": "AllowPassRoleToMalwareProtectionPlan",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        }
    ]
}

主要な改善点

  • 条件演算子をStringLikeからStringEqualsに変更し、より厳密な制限を実施
  • Organizations 権限を読み取り専用と管理権限に分離
  • Organizations 管理権限に GuardDuty 関連サービスのみアクセス可能な条件を追加

詳細な比較分析

主要な違いの概要

項目 AmazonGuardDutyFullAccess(従来版) AmazonGuardDutyFullAccess_v2(新版) 改善点
ステートメント数 5 つ 6 つ Organizations 権限の分離により構造化
条件演算子 StringLike StringEquals より厳密な制限でセキュリティ向上
Organizations 権限 単一ステートメント 読み取り専用と管理権限に分離 権限の明確化と最小権限の原則
サービスプリンシパル制限 なし Organizations 管理権限に条件追加 意図しない権限昇格の防止
セキュリティレベル 標準 強化 より安全な権限管理

Q&A

AmazonGuardDutyFullAccess は今後無くなるのか

今のところ(2025/06/07 時点)そのような案内も公式ドキュメントの記載もありません。

ただ直近ですとDynamoDBFullAccessのように古いものはアタッチできなくなることもあるため、
今後の利用は v2 を利用いただいたほうがセキュリティ的にも良さそうです。

AWS managed policies for Amazon DynamoDB - Amazon DynamoDB

AmazonGuardDutyFullAccess はもう使えないのか

検証してみたところ現在(2025/06/07 時点)は使用できます。

k-hiraki-screenshot_01_2025_06_07_060112

ただ前述通り、廃止される可能性はあるため新規利用は v2 のほうが良さそうです。

最後に

今回は新しく追加された AmazonGuardDutyFullAccess_v2 の詳細について記載しました。

新しいバージョンの AWS 管理ポリシーはなかなか命名規則が定まらないこともありましたが、
今後はサフィックスに _v2 で固定されると嬉しいですね。

この記事がどなたかの役に立つと嬉しいです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.