Amazon GuardDuty の IAM ポリシーを検討しやすいように、機能または作業別に独自のカテゴリに整理する機会がありました。そのときの内容を自身の備忘録も兼ねてブログ化しました。
Amazon GuardDuty のアクション一覧
操作したい機能、または、作業ごとに独自のカテゴリに分けて掲載します。
アクション一覧は次のユーザーガイドのページに掲載されており、API へのリンクも掲載されていることから、併用して確認することをおすすめします。
GuardDuty 全体(Detector)関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListDetectors | ディテクターの一覧を取得 | - |
| 読み取り | GetDetector | ディテクターの設定を取得 | - |
| 書き込み | CreateDetector | ディテクターを作成 | - |
| 書き込み | UpdateDetector | ディテクターを更新 | - |
| 書き込み | DeleteDetector | ディテクターを削除 | - |
検出結果(Findings)関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListFindings | 検出結果の一覧を取得 | - |
| 読み取り | GetFindings | 検出結果を取得 | - |
| 読み取り | GetFindingsStatistics | 検出結果の統計結果を取得 | - |
| 書き込み | ArchiveFindings | 検出結果をアーカイブ | - |
| 書き込み | UnarchiveFindings | 検出結果のアーカイブを解除 | - |
| 書き込み | CreateSampleFindings | 検出結果のサンプルを生成 | - |
検出結果のフィードバック関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 書き込み | UpdateFindingsFeedback | 検出結果のフィードバックを許可 | - |
フィルター・抑制関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListFilters | フィルターの一覧を取得 | - |
| 読み取り | GetFilter | フィルターの設定を取得 | - |
| 書き込み | CreateFilter | フィルターを作成 | - |
| 書き込み | UpdateFilter | フィルターを更新 | - |
| 書き込み | DeleteFilter | フィルターを削除 | - |
マルウェア保護関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | DescribeMalwareScans | マルウェアスキャンの結果を取得 | - |
| 読み取り | GetMalwareScanSettings | マルウェアスキャンの設定を取得 | - |
| 書き込み | StartMalwareScan | マルウェアスキャンを開始 | - |
| 書き込み | UpdateMalwareScanSettings | マルウェアスキャンの設定を更新 | - |
EKS ランタイムモニタリング関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListCoverage | カバレッジの一覧を取得 | - |
| 読み取り | GetCoverageStatistics | カバレッジの統計を取得 | - |
| 書き込み | SendSecurityTelemetry | セキュリティテレメトリの送信 | おそらくランタイムイベントを送信するための権限と思われます |
信頼されている IP リスト関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListIPSets | 信頼されている IP リストの一覧を取得 | - |
| 読み取り | GetIPSet | 信頼されている IP リストの設定を取得 | - |
| 書き込み | CreateIPSet | 信頼されている IP リストを作成 | - |
| 書き込み | UpdateIPSet | 信頼されている IP リストを更新 | - |
| 書き込み | DeleteIPSet | 信頼されている IP リストを削除 | - |
脅威 IP リスト関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListThreatIntelSets | 脅威 IP リストの一覧を取得 | - |
| 読み取り | GetThreatIntelSet | 脅威 IP リストの設定を取得 | - |
| 書き込み | CreateThreatIntelSet | 脅威 IP リストを作成 | - |
| 書き込み | UpdateThreatIntelSet | 脅威 IP リストを更新 | - |
| 書き込み | DeleteThreatIntelSet | 脅威 IP リストを削除 | - |
S3 へのエクスポート関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListPublishingDestinations | エクスポート先の一覧を取得 | - |
| 読み取り | DescribePublishingDestination | エクスポート先を取得 | - |
| 書き込み | CreatePublishingDestination | エクスポート先を作成(設定) | - |
| 書き込み | UpdatePublishingDestination | エクスポート先を更新 | - |
| 書き込み | DeletePublishingDestination | エクスポート先を削除 | - |
メンバーアカウント関連
このカテゴリだけ、管理者アカウント側の操作とメンバーアカウント側の操作を示す列(実行主体)を追加しています。また、一部のアクションは非推奨とされており、代わりのアクションがあります。
| アクセスレベル | アクション | 実行主体 | 概要 | 補足 |
|---|---|---|---|---|
| リスト | ListMembers | 管理者 | 関連付け済みのメンバーアカウントの一覧を取得 | - |
| リスト | ListInvitations | メンバー | 招待されている一覧を取得 | - |
| 読み取り | GetMembers | 管理者 | メンバーアカウントの情報を取得 | - |
| 読み取り | GetMemberDetectors | 管理者 | メンバーアカウントの Detector の設定(各保護の有効化状態)を取得 | - |
| 読み取り | GetInvitationsCount | メンバー | 招待されている数を確認 | - |
| 読み取り | GetAdministratorAccount | メンバー | 関連付け済みの管理者アカウントの情報を取得 | - |
| 読み取り | GetMasterAccount | メンバー | 関連付け済みの管理者アカウントの情報を取得 | 非推奨 |
| 書き込み | CreateMembers | 管理者 | メンバーアカウントを作成 | - |
| 書き込み | InviteMembers | 管理者 | メンバーアカウントを招待 | - |
| 書き込み | DisassociateMembers | 管理者 | メンバーアカウントの関連付けを解除 | - |
| 書き込み | DeleteMembers | 管理者 | メンバーアカウントを削除 | - |
| 書き込み | StartMonitoringMembers | 管理者 | メンバーアカウントの保護を有効化 | - |
| 書き込み | UpdateMemberDetectors | 管理者 | メンバーアカウントの設定を更新 | - |
| 書き込み | StopMonitoringMembers | 管理者 | メンバーアカウントの保護を無効化 | - |
| 書き込み | AcceptAdministratorInvitation | メンバー | 招待を承認 | - |
| 書き込み | AcceptInvitation | メンバー | 招待を承認 | 非推奨 |
| 書き込み | DeclineInvitations | メンバー | 招待を拒否 | - |
| 書き込み | DeleteInvitations | メンバー | 招待を削除 | - |
| 書き込み | DisassociateFromAdministratorAccount | メンバー | 管理者カウントとの関連付けを解除 | - |
| 書き込み | DisassociateFromMasterAccount | メンバー | 管理者カウントとの関連付けを解除 | 非推奨 |
委任関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListOrganizationAdminAccounts | 委任の一覧を取得 | - |
| 書き込み | EnableOrganizationAdminAccount | 委任を有効 | - |
| 書き込み | DisableOrganizationAdminAccount | 委任を無効 | - |
AWS Organizations 連携の自動有効設定関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | DescribeOrganizationConfiguration | 自動有効化設定を取得 | - |
| 書き込み | UpdateOrganizationConfiguration | 自動有効化設定を更新 | - |
料金関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | GetRemainingFreeTrialDays | 無料試用期間の残り日数を取得 | - |
| 読み取り | GetUsageStatistics | GuardDuty の使用状況の統計を取得 | - |
タグ関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | ListTagsForResource | タグの一覧を取得 | - |
| タグ付け | TagResource | タグ追加 | - |
| タグ付け | UntagResource | タグ削除 | - |
さいごに
Amazon GuardDuty の IAM ポリシーを検討しやすいように、機能または作業別に独自のカテゴリに整理してみました。
以上、このブログがどなたかのご参考になれば幸いです。
12
