[アップデート] Amazon GuardDuty の新しい AWS 管理ポリシー 「AmazonGuardDutyFullAccess_v2」 の利用が今後推奨されます
こんにちは、クラウド事業本部の平木です!
ふと IAM ポリシー一覧を見ていたところ Amazon GuardDuty の新しい AWS 管理ポリシー「AmazonGuardDutyFullAccess_v2」が出来ていたことに気付き調べたところ今後この AWS 管理ポリシーの利用が推奨されるとのことでした。
このポリシーは、従来の「AmazonGuardDutyFullAccess」ポリシーの後継として、セキュリティの強化と権限の最適化を目的としているようです。
新しい AmazonGuardDutyFullAccess_v2 ポリシーと従来のポリシーとの違い、そして何が強化されたかを解説します。
AmazonGuardDutyFullAccess_v2 の概要
AmazonGuardDutyFullAccess_v2 は、GuardDuty サービスプリンシパルに対する管理アクションを制限することで、セキュリティを強化した新しい AWS 管理ポリシーです。
従来の AmazonGuardDutyFullAccess ポリシーよりも、この v2 ポリシーの使用を推奨しています。
主な特徴
- GuardDuty サービスプリンシパルに対する管理アクションを制限
- ユーザーは引き続きすべての GuardDuty アクションと必要なリソースへのフルアクセスが可能
具体的なポリシーの内容
現在(2025/06/07 時点)のポリシー内容です。
今後のアップデートで修正がある可能性はありますので最新のものは公式ドキュメントを参照ください。
AmazonGuardDutyFullAccess_v2(新版・推奨)
具体的なポリシー内容は展開してください
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "GuardDutyFullAccess",
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Sid": "CreateGuardDutyServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Sid": "GuardDutyOrganizationsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyOrganizationsAdminAccess",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Sid": "GuardDutyIamRoleAccess",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
},
{
"Sid": "PassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
}
]
}
AmazonGuardDutyFullAccess(従来版)
具体的なポリシー内容は展開してください
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AmazonGuardDutyFullAccessSid1",
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Sid": "CreateServiceLinkedRoleSid1",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"guardduty.amazonaws.com",
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Sid": "ActionsForOrganizationsSid1",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "IamGetRoleSid1",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
},
{
"Sid": "AllowPassRoleToMalwareProtectionPlan",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
}
]
}
主要な改善点
- 条件演算子を
StringLike
からStringEquals
に変更し、より厳密な制限を実施 - Organizations 権限を読み取り専用と管理権限に分離
- Organizations 管理権限に GuardDuty 関連サービスのみアクセス可能な条件を追加
詳細な比較分析
主要な違いの概要
項目 | AmazonGuardDutyFullAccess(従来版) | AmazonGuardDutyFullAccess_v2(新版) | 改善点 |
---|---|---|---|
ステートメント数 | 5 つ | 6 つ | Organizations 権限の分離により構造化 |
条件演算子 | StringLike |
StringEquals |
より厳密な制限でセキュリティ向上 |
Organizations 権限 | 単一ステートメント | 読み取り専用と管理権限に分離 | 権限の明確化と最小権限の原則 |
サービスプリンシパル制限 | なし | Organizations 管理権限に条件追加 | 意図しない権限昇格の防止 |
セキュリティレベル | 標準 | 強化 | より安全な権限管理 |
Q&A
AmazonGuardDutyFullAccess は今後無くなるのか
今のところ(2025/06/07 時点)そのような案内も公式ドキュメントの記載もありません。
ただ直近ですとDynamoDBFullAccessのように古いものはアタッチできなくなることもあるため、
今後の利用は v2 を利用いただいたほうがセキュリティ的にも良さそうです。
AWS managed policies for Amazon DynamoDB - Amazon DynamoDB
AmazonGuardDutyFullAccess はもう使えないのか
検証してみたところ現在(2025/06/07 時点)は使用できます。
ただ前述通り、廃止される可能性はあるため新規利用は v2 のほうが良さそうです。
最後に
今回は新しく追加された AmazonGuardDutyFullAccess_v2 の詳細について記載しました。
新しいバージョンの AWS 管理ポリシーはなかなか命名規則が定まらないこともありましたが、
今後はサフィックスに _v2
で固定されると嬉しいですね。
この記事がどなたかの役に立つと嬉しいです。