翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Amazon GuardDuty の マネージドポリシー
<a name="security-iam-awsmanpol"></a>

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。

`Version` ポリシー要素は、このポリシーを処理するために使用される言語構文ルールを指定します。次のポリシーには、IAM でサポートされている現在のバージョンが含まれています。ポリシー要素の詳細については、「[IAM JSON ポリシーエレメント: バージョン](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)」を参照してください。



## AWS 管理ポリシー: AmazonGuardDutyFullAccess\$1v2 (推奨)
<a name="security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2"></a>

AmazonGuardDutyFullAccess\$1v2 ポリシーを IAM アイデンティティにアタッチできます。このポリシーにより、ユーザーは、すべての GuardDuty アクションを実行し、必要なリソースにアクセスするための完全なアクセス許可を持つことができます。AmazonGuardDutyFullAccess\$1v2 と AmazonGuardDutyFullAccess の間では、GuardDuty を強化し、管理アクションを GuardDuty サービスプリンシパルに制限するため、AmazonGuardDutyFullAccess\$1v2 をアタッチすることをお勧めします。

### アクセス許可の詳細
<a name="security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2-permissions-details"></a>

AmazonGuardDutyFullAccess\$1v2 ポリシーには以下のアクセス許可が含まれています。




+ `GuardDuty` — すべての GuardDuty アクションに対するフルアクセスをユーザーに許可します。
+ `IAM`:
  + GuardDuty サービスリンクロールの作成をユーザーに許可します。
  + GuardDuty の IAM ロールとそのポリシーの表示と管理を許可します。
  +  GuardDuty にロールを渡すことをユーザーに許可します。GuardDuty はこのロールを使用して Malware Protection for S3 を有効にし、S3 オブジェクトをスキャンしてマルウェアを検出します。また、GuardDuty はこのロールを使用して Malware Protection for AWS Backup のスキャンを開始します。
  + `AWSServiceRoleForAmazonGuardDutyMalwareProtection` で `iam:GetRole` アクションを実行するアクセス許可によって、Malware Protection for EC2 のサービスリンクロール (SLR) がアカウントに存在するかどうかが明らかになります。
+ `Organizations`: 
  + ユーザーに GuardDuty の組織構造とアカウントの読み取り (表示) を許可します。
  + GuardDuty Organization の委任された管理者やマネージドメンバーを指定できるようになります。



このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AmazonGuardDutyFullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess_v2.html)」を参照してください。

## AWS 管理ポリシー: AmazonGuardDutyFullAccess
<a name="security-iam-awsmanpol-AmazonGuardDutyFullAccess"></a>

`AmazonGuardDutyFullAccess` ポリシーは IAM アイデンティティにアタッチできます。

**重要**  
GuardDuty サービスプリンシパルに対するセキュリティを強化し、アクセス許可を制限するには、[AWS 管理ポリシー: AmazonGuardDutyFullAccess\$1v2 (推奨)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) を使用することをお勧めします。

このポリシーにより、ユーザーにすべての GuardDuty アクションとリソースを実行するためのフルアクセスを許可する管理者許可を付与します。

### アクセス許可の詳細
<a name="security-iam-awsmanpol-AmazonGuardDutyFullAccess-permissions-details"></a>

このポリシーには、次の許可が含まれています。




+ `GuardDuty` — すべての GuardDuty アクションに対するフルアクセスをユーザーに許可します。
+ `IAM`:
  + GuardDuty サービスリンクロールの作成をユーザーに許可します。
  + 管理者アカウントはメンバーアカウントに対して GuardDuty を有効にできます。
  +  GuardDuty にロールを渡すことをユーザーに許可します。GuardDuty はこのロールを使用して Malware Protection for S3 を有効にし、S3 オブジェクトをスキャンしてマルウェアを検出します。また、GuardDuty はこのロールを使用して Malware Protection for AWS Backup のスキャンを開始します。
+ `Organizations` — GuardDuty Organization の委任された管理者やマネージドメンバーを指定できるようになります。

`AWSServiceRoleForAmazonGuardDutyMalwareProtection` で `iam:GetRole` アクションを実行するアクセス許可によって、Malware Protection for EC2 のサービスリンクロール (SLR) がアカウントに存在するかどうかが明らかになります。



このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AmazonGuardDutyFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyFullAccess.html)」を参照してください。

## AWS 管理ポリシー: AmazonGuardDutyReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess"></a>

`AmazonGuardDutyReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。

このポリシーは、ユーザーが GuardDuty の検出結果と GuardDuty 組織の詳細を表示できるようにするための読み取り専用アクセスを許可します。

**許可の詳細**

このポリシーには、次の許可が含まれています。




+ `GuardDuty` — ユーザーが GuardDuty の検出結果を表示し、`Get`、`List`、または `Describe` で始まる API オペレーションを実行できるようにします。
+ `Organizations` — ユーザーは委任された管理者のアカウントの詳細を含む GuardDuty organization の構成に関する情報を取得できるようになります。



このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AmazonGuardDutyReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyReadOnlyAccess.html)」を参照してください。

## AWS 管理ポリシー: AmazonGuardDutyServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy"></a>

IAM エンティティに `AmazonGuardDutyServiceRolePolicy` をアタッチすることはできません。この AWS 管理ポリシーは、GuardDuty がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[GuardDuty のためのサービスにリンクされたロールの許可](slr-permissions.md)」を参照してください。

## GuardDuty による AWS 管理ポリシーの更新
<a name="security-iam-awsmanpol-updates"></a>



このサービスがこれらの変更の追跡を開始してからの GuardDuty の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、GuardDuty の [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|   [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) - 既存のポリシーへの更新  |   AWS CloudTrail イベントを消費するための追加のメカニズムを有効にするアクセス`cloudtrail:CreateServiceLinkedChannel`許可を追加しました。 <pre>{<br />                                "Sid": "CloudTrailCreateServiceLinkedChannelSid",<br />                                "Effect": "Allow",<br />                                "Action": [<br />                                    "cloudtrail:CreateServiceLinkedChannel"<br />                                ],<br />                                "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/guardduty/*",<br />                                "Condition": {<br />                                    "StringEquals": {<br />                                        "aws:ResourceAccount": "${aws:PrincipalAccount}"<br />                                    }<br />                                }<br />                            }</pre>  | 2026 年 3 月 25 日 | 
| AmazonGuardDutyFullAccess - 廃止済み | このポリシーは、`AmazonGuardDutyFullAccess_v2` という名前のスコープダウンポリシーに置き換えられました。 **2026 年 3 月 13** 日以降、新しいユーザー、グループ、またはロールに`AmazonGuardDutyFullAccess`ポリシーをアタッチすることはできません。詳細については、「[AWS 管理ポリシー: AmazonGuardDutyFullAccess\$1v2 (推奨)](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)」を参照してください。  | 2026 年 3 月 13 日 | 
|   [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) – 既存ポリシーへの更新  |   Malware Protection for AWS Backup を有効にするときに IAM ロールを GuardDuty に渡すことができるアクセス許可を追加しました。 <pre>{<br />                                    "Sid": "AllowPassRoleToMalwareProtection",<br />                                    "Effect": "Allow",<br />                                    "Action": [<br />                                        "iam:PassRole"<br />                                    ],<br />                                    "Resource": "arn:aws:iam::*:role/*",<br />                                    "Condition": {<br />                                        "StringEquals": {<br />                                            "iam:PassedToService": [<br />                                                "malware-protection-plan.guardduty.amazonaws.com",<br />                                                "malware-protection.guardduty.amazonaws.com"<br />                                            ]<br />                                        }<br />                                    }<br />                        }</pre>  | 2025 年 11 月 19 日 | 
|   [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – 既存ポリシーへの更新  |   Malware Protection for AWS Backup を有効にするときに IAM ロールを GuardDuty に渡すことができるアクセス許可を追加しました。 <pre>{<br />                                    "Sid": "AllowPassRoleToMalwareProtection",<br />                                    "Effect": "Allow",<br />                                    "Action": [<br />                                        "iam:PassRole"<br />                                    ],<br />                                    "Resource": "arn:aws:iam::*:role/*",<br />                                    "Condition": {<br />                                        "StringEquals": {<br />                                            "iam:PassedToService": [<br />                                                "malware-protection-plan.guardduty.amazonaws.com",<br />                                                "malware-protection.guardduty.amazonaws.com"<br />                                            ]<br />                                        }<br />                                    }<br />                        }</pre>  | 2025 年 11 月 19 日 | 
|   [AmazonGuardDutyFullAccess\$1v2](#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) – は新しいポリシーを追加しました。  | 新しい AmazonGuardDutyFullAccess\$1v2 ポリシーを追加しました。これは、IAM ロールとポリシー、および AWS Organizations 統合に基づいて管理アクションを GuardDuty サービスプリンシパルに制限することで、アクセス許可によってセキュリティが強化されるため、推奨されます。  | 2025 年 6 月 4 日 | 
|   [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) - 既存のポリシーへの更新   |  `ec2:DescribeVpcs` アクセス許可を追加しました。これにより、GuardDuty は VPC CIDR を取得するなど VPC の更新を追跡できます。  | 2024 年 8 月 22 日 | 
|  [AmazonGuardDutyFullAccess](slr-permissions.md) – 既存のポリシーの更新  |  Malware Protection for S3 を有効にするときに IAM ロールを GuardDuty に渡すことができるアクセス許可を追加しました。 <pre>{<br />            "Sid": "AllowPassRoleToMalwareProtectionPlan",<br />            "Effect": "Allow",<br />            "Action": [<br />                "iam:PassRole"<br />            ],<br />            "Resource": "arn:aws:iam::*:role/*",<br />            "Condition": {<br />                "StringEquals": {<br />                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"<br />                }<br />            }<br />}</pre>  | 2024 年 6 月 10 日 | 
|  [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) - 既存のポリシーへの更新。  |  Amazon EC2 の自動エージェントで GuardDuty Runtime Monitoring を有効にする場合、 AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの SSM 関連付けを管理します。GuardDuty 自動エージェント設定が無効になっている場合、GuardDuty は包含タグ (`GuardDutyManaged`:`true`) を持つ EC2 インスタンスのみを考慮します。  | 2024 年 3 月 26 日 | 
|  [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) - 既存のポリシーへの更新。  | GuardDuty に新しいアクセス許可 `organization:DescribeOrganization` を追加しました。共有 Amazon VPC アカウントの組織 ID を取得し、組織 ID で Amazon VPC エンドポイントポリシーを設定するのが目的です。  | 2024 年 2 月 9 日 | 
|  [AmazonGuardDutyMalwareProtectionServiceRolePolicy](slr-permissions-malware-protection.md) – 既存のポリシーへの更新。  | Malware Protection for EC2 に 2 つのアクセス許可が追加されました。 `GetSnapshotBlock` と `ListSnapshotBlocks`は、 から AWS アカウント EBS ボリュームのスナップショット ( を使用して暗号化 AWS マネージドキー) を取得し、マルウェアスキャンを開始する前に GuardDuty サービスアカウントにコピーします。  | 2024 年 1 月 25 日 | 
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy) - 既存のポリシーへの更新  | 新たな許可を追加したことで、GuardDuty による `guarddutyActivate` Amazon ECS アカウント設定の追加が可能となり、Amazon ECS クラスターでリスト操作と説明操作を実行できるようになりました。  | 2023 年 11 月 26 日 | 
|   [AmazonGuardDutyReadOnlyAccess](#security-iam-awsmanpol-AmazonGuardDutyReadOnlyAccess) – 既存ポリシーへの更新  | GuardDuty は新しいポリシー organizations を ListAccounts に追加しました。 | 2023 年 11 月 16 日 | 
|   [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – 既存ポリシーへの更新  | GuardDuty は新しいポリシー organizations を ListAccounts に追加しました。 | 2023 年 11 月 16 日 | 
|   [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – 既存ポリシーへの更新  |  GuardDuty に、近日公開予定の GuardDuty EKS Runtime Monitoring 機能をサポートする新しい許可を追加されました。  | 2023 年 3 月 8 日 | 
| [AmazonGuardDutyServiceRolePolicy](#security-iam-awsmanpol-AmazonGuardDutyServiceRolePolicy) - 既存のポリシーへの更新  | [Malware Protection for EC2 のサービスリンクロール](slr-permissions-malware-protection.md)を作成できるようにする新しい許可を GuardDuty に追加しました。これにより、GuardDuty は Malware Protection for EC2 を有効にするプロセスを効率化できます。 GuardDuty は次の IAM アクションを実行できるようになりました。 <pre>{<br />    "Effect": "Allow",<br />	"Action": "iam:CreateServiceLinkedRole",<br />	"Resource": "*",<br />	"Condition": {<br />	   "StringEquals": {<br />	       "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com"<br />	   }<br />	}<br />}</pre> | 2023 年 2 月 21 日 | 
|   [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – 既存ポリシーへの更新  | GuardDuty が `iam:GetRole` の ARN を `*AWSServiceRoleForAmazonGuardDutyMalwareProtection` に更新しました。 | 2022 年 7 月 26 日 | 
|   [AmazonGuardDutyFullAccess](#security-iam-awsmanpol-AmazonGuardDutyFullAccess) – 既存ポリシーへの更新  | GuardDuty に新しい `AWSServiceName` を追加しました。GuardDuty Malware Protection for EC2 サービスの `iam:CreateServiceLinkedRole` を使用して、サービスリンクロールを作成できるようにするのが目的です。 GuardDuty で、`AWSServiceRole` の情報を得るための `iam:GetRole` アクションを実行できるようになりました。  | 2022 年 7 月 26 日 | 
|   [AmazonGuardDutyServiceRolePolicy](slr-permissions.md) – 既存ポリシーへの更新  |  GuardDuty は、GuardDuty が Amazon EC2 ネットワークアクションを使用して検出結果を改善できるようにするための新しい許可を追加しました。 GuardDuty は次の EC2 アクションを実行して、EC2 インスタンスの通信方法に関する情報を取得できるようになりました。この情報は、検出結果の精度を向上させるために使用されます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/security-iam-awsmanpol.html)  | 2021 年 8 月 3 日 | 
|  GuardDuty が変更のトラッキングを開始しました  |  GuardDuty は AWS 、管理ポリシーの変更の追跡を開始しました。  | 2021 年 8 月 3 日 |