翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# GuardDuty のためのサービスにリンクされたロールの許可
GuardDuty は、`AWSServiceRoleForAmazonGuardDuty` と名付けられたサービスにリンクされたロール (SLR) を使用します。SLR により、GuardDuty は次のタスクを実行できます。また、GuardDuty は、潜在的な脅威に関して GuardDuty が生成する可能性のある検出結果に、EC2 インスタンスに属する取得されたメタデータを含めることができます。`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールは、ロールを継承するために `guardduty.amazonaws.com` のサービスを信頼します。
アクセス許可ポリシーは、GuardDuty で次のタスクを実行するのに役立ちます。
+ Amazon EC2 アクションを使用して、EC2 インスタンス、イメージ、および VPC、サブネット、トランジットゲートウェイなどのネットワークコンポーネントに関する情報を管理および取得します。
+ Amazon EC2 の自動エージェントで GuardDuty Runtime Monitoring を有効にする場合、 AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの SSM 関連付けを管理します。GuardDuty 自動エージェント設定が無効になっている場合、GuardDuty は包含タグ (`GuardDutyManaged`:`true`) を持つ EC2 インスタンスのみを考慮します。
+ AWS Organizations アクションを使用して、関連するアカウントと組織 ID を記述します。
+ Amazon S3 アクションを使用して S3 バケットとオブジェクトに関する情報を取得します。
+ AWS Lambda アクションを使用して、Lambda 関数とタグに関する情報を取得します。
+ Amazon EKS アクションを使用して、EKS クラスターに関する情報を管理および取得し、EKS クラスター上の [Amazon EKS アドオン](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html)を管理します。EKS アクションは、GuardDuty に関連するタグに関する情報も取得します。
+ Malware Protection for EC2 が有効になった後、IAM を使用して、[Malware Protection for EC2 のためのサービスにリンクされたロールの許可](slr-permissions-malware-protection.md)を作成します。
+ Amazon ECS アクションを使用して、Amazon ECS クラスターの管理や情報を取得し、`guarddutyActivate` で、Amazon ECS アカウント設定を管理します。Amazon ECS に関するアクションでも、GuardDuty に関連するタグの情報も取得します。
ロールは、`AmazonGuardDutyServiceRolePolicy` と名付けられた次の [AWS マネージドポリシー](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)で構成されます。
このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)」を参照してください。
`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールにアタッチされている信頼ポリシーは次のとおりです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`AmazonGuardDutyServiceRolePolicy` ポリシーへの更新詳細については、[GuardDuty による AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) を参照してください。このポリシーへの変更に関する自動アラートについては、[ドキュメント履歴](doc-history.md) ページの RSS フィードを購読してください。
## GuardDuty 用のサービスにリンクされたロールの作成
GuardDuty を初めて有効にするか、以前に有効にしていなかったサポート対象リージョン中で GuardDuty を有効にしていなかった場合は、`AWSServiceRoleForAmazonGuardDuty` のサービスにリンクされたロールが自動的に生成されます。IAM コンソール、、または IAM API を使用して AWS CLI、サービスにリンクされたロールを手動で作成することもできます。
**重要**
GuardDuty の委任されたアカウント用に作成されたサービスにリンクされたロールは、メンバーの GuardDuty アカウントには適用されません。
サービスにリンクされたロールの作成、編集、削除をIAM プリンシパル (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールを正常に作成するには、GuardDuty で使用する IAM プリンシパルに必要な許可が付与されている必要があります。必要なアクセス許可を付与するには、次のポリシーをこの ユーザー、グループ、またはロールにアタッチします。
**注記**
次の例のサンプル*アカウント ID* を実際の AWS アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
IAM ロールを手動で作成することの詳細については、「*IAM ユーザーガイド*」の「[Creating a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。
## GuardDuty のためにサービスにリンクされたロールの編集
GuardDuty では、`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールを編集できません。サービスにリンクされたロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「*サービスにリンクされたロールの編集*」を参照してください。
## GuardDuty 用のサービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
**重要**
Malware Protection for EC2 を有効にしている場合、`AWSServiceRoleForAmazonGuardDuty` を削除しても `AWSServiceRoleForAmazonGuardDutyMalwareProtection` は自動的に削除されません。`AWSServiceRoleForAmazonGuardDutyMalwareProtection` を削除するには、「[Malware Protection for EC2 のサービスにリンクされたロールの削除](slr-permissions-malware-protection#delete-slr)」を参照してください。
`AWSServiceRoleForAmazonGuardDuty` を削除するために有効になっているすべてのリージョンで、最初に GuardDuty を削除する必要があります。サービスにリンクされたロールを削除しようとしたときに GuardDuty サービスが無効になっていない場合、削除は失敗します。詳細については、「[GuardDuty の停止または無効化](guardduty_suspend-disable.md)」を参照してください。
GuardDuty を無効にしても、`AWSServiceRoleForAmazonGuardDuty` は自動的に削除されません。GuardDuty を再度有効にする場合、既存の `AWSServiceRoleForAmazonGuardDuty` を使用して起動します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または IAM API を使用して、`AWSServiceRoleForAmazonGuardDuty`サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## サポートされている AWS リージョン
Amazon GuardDuty は、GuardDuty AWS リージョン が利用可能なすべての で`AWSServiceRoleForAmazonGuardDuty`サービスにリンクされたロールの使用をサポートしています。GuardDuty が現在利用可能なリージョンの一覧については、「*Amazon Web Services 全般のリファレンス*」の「[Amazon GuardDuty のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)」を参照してください。