翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon GuardDuty でのサービスにリンクされたロールの使用
Amazon GuardDuty は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロール (SLR) は、直接 GuardDuty にリンクされた IAM ロールの一意のタイプです。サービスにリンクされたロールは GuardDuty によって事前定義されており、GuardDuty がユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要な許可を手動で追加せずに GuardDuty を設定できます。GuardDuty は、サービスにリンクされたロールの許可を定義します。特に定義された許可が無い限り、GuardDuty のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーや許可ポリシーなどがあり、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
GuardDuty は、 GuardDuty が利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「[リージョンとエンドポイント](guardduty_regions.md)」を参照してください。
GuardDuty サービスにリンクされたロールは、それが有効になっているすべてのリージョンで GuardDuty を無効にした後にのみ削除できます。これにより、アクセスに必要な許可の誤った削除を防ぐことができ、GuardDuty リソースが保護されます。
サービスにリンクされたロールをサポートするその他のサービスについては、「*IAM ユーザーガイド*」の「[AWS IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「**サービスにリンクされたロール**」列が「**はい**」となっているサービスを探してください。そのサービスについて、サービスにリンクされたロールのドキュメントを表示するには、「**Yes**」を選択します。これにはリンクが設定されています。
# GuardDuty のためのサービスにリンクされたロールの許可
GuardDuty は、`AWSServiceRoleForAmazonGuardDuty` と名付けられたサービスにリンクされたロール (SLR) を使用します。SLR により、GuardDuty は次のタスクを実行できます。また、GuardDuty は、潜在的な脅威に関して GuardDuty が生成する可能性のある検出結果に、EC2 インスタンスに属する取得されたメタデータを含めることができます。`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールは、ロールを継承するために `guardduty.amazonaws.com` のサービスを信頼します。
アクセス許可ポリシーは、GuardDuty で次のタスクを実行するのに役立ちます。
+ Amazon EC2 アクションを使用して、EC2 インスタンス、イメージ、および VPC、サブネット、トランジットゲートウェイなどのネットワークコンポーネントに関する情報を管理および取得します。
+ Amazon EC2 の自動エージェントで GuardDuty Runtime Monitoring を有効にする場合、 AWS Systems Manager アクションを使用して Amazon EC2 インスタンスの SSM 関連付けを管理します。GuardDuty 自動エージェント設定が無効になっている場合、GuardDuty は包含タグ (`GuardDutyManaged`:`true`) を持つ EC2 インスタンスのみを考慮します。
+ AWS Organizations アクションを使用して、関連するアカウントと組織 ID を記述します。
+ Amazon S3 アクションを使用して S3 バケットとオブジェクトに関する情報を取得します。
+ AWS Lambda アクションを使用して、Lambda 関数とタグに関する情報を取得します。
+ Amazon EKS アクションを使用して、EKS クラスターに関する情報を管理および取得し、EKS クラスター上の [Amazon EKS アドオン](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html)を管理します。EKS アクションは、GuardDuty に関連するタグに関する情報も取得します。
+ Malware Protection for EC2 が有効になった後、IAM を使用して、[Malware Protection for EC2 のためのサービスにリンクされたロールの許可](slr-permissions-malware-protection.md)を作成します。
+ Amazon ECS アクションを使用して、Amazon ECS クラスターの管理や情報を取得し、`guarddutyActivate` で、Amazon ECS アカウント設定を管理します。Amazon ECS に関するアクションでも、GuardDuty に関連するタグの情報も取得します。
ロールは、`AmazonGuardDutyServiceRolePolicy` と名付けられた次の [AWS マネージドポリシー](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)で構成されます。
このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)」を参照してください。
`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールにアタッチされている信頼ポリシーは次のとおりです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`AmazonGuardDutyServiceRolePolicy` ポリシーへの更新詳細については、[GuardDuty による AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) を参照してください。このポリシーへの変更に関する自動アラートについては、[ドキュメント履歴](doc-history.md) ページの RSS フィードを購読してください。
## GuardDuty 用のサービスにリンクされたロールの作成
GuardDuty を初めて有効にするか、以前に有効にしていなかったサポート対象リージョン中で GuardDuty を有効にしていなかった場合は、`AWSServiceRoleForAmazonGuardDuty` のサービスにリンクされたロールが自動的に生成されます。IAM コンソール、、または IAM API を使用して AWS CLI、サービスにリンクされたロールを手動で作成することもできます。
**重要**
GuardDuty の委任されたアカウント用に作成されたサービスにリンクされたロールは、メンバーの GuardDuty アカウントには適用されません。
サービスにリンクされたロールの作成、編集、削除をIAM プリンシパル (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールを正常に作成するには、GuardDuty で使用する IAM プリンシパルに必要な許可が付与されている必要があります。必要なアクセス許可を付与するには、次のポリシーをこの ユーザー、グループ、またはロールにアタッチします。
**注記**
次の例のサンプル*アカウント ID* を実際の AWS アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
IAM ロールを手動で作成することの詳細については、「*IAM ユーザーガイド*」の「[Creating a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。
## GuardDuty のためにサービスにリンクされたロールの編集
GuardDuty では、`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールを編集できません。サービスにリンクされたロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「*サービスにリンクされたロールの編集*」を参照してください。
## GuardDuty 用のサービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
**重要**
Malware Protection for EC2 を有効にしている場合、`AWSServiceRoleForAmazonGuardDuty` を削除しても `AWSServiceRoleForAmazonGuardDutyMalwareProtection` は自動的に削除されません。`AWSServiceRoleForAmazonGuardDutyMalwareProtection` を削除するには、「[Malware Protection for EC2 のサービスにリンクされたロールの削除](slr-permissions-malware-protection#delete-slr)」を参照してください。
`AWSServiceRoleForAmazonGuardDuty` を削除するために有効になっているすべてのリージョンで、最初に GuardDuty を削除する必要があります。サービスにリンクされたロールを削除しようとしたときに GuardDuty サービスが無効になっていない場合、削除は失敗します。詳細については、「[GuardDuty の停止または無効化](guardduty_suspend-disable.md)」を参照してください。
GuardDuty を無効にしても、`AWSServiceRoleForAmazonGuardDuty` は自動的に削除されません。GuardDuty を再度有効にする場合、既存の `AWSServiceRoleForAmazonGuardDuty` を使用して起動します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または IAM API を使用して、`AWSServiceRoleForAmazonGuardDuty`サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## サポートされている AWS リージョン
Amazon GuardDuty は、GuardDuty AWS リージョン が利用可能なすべての で`AWSServiceRoleForAmazonGuardDuty`サービスにリンクされたロールの使用をサポートしています。GuardDuty が現在利用可能なリージョンの一覧については、「*Amazon Web Services 全般のリファレンス*」の「[Amazon GuardDuty のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)」を参照してください。
# Malware Protection for EC2 のためのサービスにリンクされたロールの許可
Malware Protection for EC2 は、`AWSServiceRoleForAmazonGuardDutyMalwareProtection` というサービスにリンクされたロール (SLR) を使用します。この SLR により、Malware Protection for EC2 はエージェントレススキャンを実行して GuardDuty アカウント内のマルウェアを検出できます。これにより、GuardDuty はアカウントに EBS ボリュームスナップショットを作成し、そのスナップショットを GuardDuty サービスアカウントと共有できます。GuardDuty がスナップショットを評価すると、取得された EC2 インスタンスとコンテナワークロードのメタデータが Malware Protection for EC2 の検出結果に含まれます。`AWSServiceRoleForAmazonGuardDutyMalwareProtection` サービスにリンクされたロールは、ロールを継承するために `malware-protection.guardduty.amazonaws.com` のサービスを信頼します。
このロールのアクセス許可ポリシーは、Malware Protection for EC2 で次のタスクを実行するのに役立ちます。
+ Amazon Elastic Compute Cloud (Amazon EC2) アクションを使用して、Amazon EC2 インスタンス、ボリューム、スナップショットに関する情報を取得します。Malware Protection for EC2 は、Amazon EKS と Amazon ECS クラスターのメタデータにアクセスする許可も与えます。
+ `GuardDutyExcluded` タグが `true` に設定されていない EBS ボリュームのスナップショットを作成してください。デフォルトでは、`GuardDutyScanId` タグを持つスナップショットが作成されます。このタグを削除しないでください。削除すると、Malware Protection for EC2 がスナップショットにアクセスできなくなります。
**重要**
`GuardDutyExcluded` を `true` に設定すると、GuardDuty サービスは今後これらのスナップショットにアクセスできなくなります。これは、このサービスにリンクされたロールの他のステートメントにより、`GuardDutyExcluded` が `true` に設定されたスナップショットに対するどのアクションも GuardDuty が実行できなくなるためです。
+ スナップショットの共有と削除を許可するのは、`GuardDutyScanId` タグが存在し、`GuardDutyExcluded` タグが `true` に設定されていない場合のみです。
**注記**
Malware Protection for EC2 がスナップショットを公開することを許可しません。
+ カスタマーマネージドキー (`GuardDutyExcluded` タグが `true` に設定されているキーを除く) にアクセスして `CreateGrant` を呼び出し、GuardDuty サービスアカウントと共有される暗号化スナップショットから暗号化 EBS ボリュームを作成してアクセスします。各リージョンの GuardDuty サービスアカウントのリストについては、「[による GuardDuty サービスアカウント AWS リージョン](gdu-service-account-region-list.md)」を参照してください。
+ 顧客の CloudWatch ログにアクセスして Malware Protection for EC2 ロググループを作成し、マルウェアスキャンイベントログを `/aws/guardduty/malware-scan-events` ロググループの下に配置します。
+ マルウェアが検出されたスナップショットを自分のアカウントに保持するかどうかをお客様が決定できるようにします。スキャンでマルウェアが検出された場合、サービスにリンクされたロールにより、GuardDuty はスナップショットに `GuardDutyFindingDetected` および `GuardDutyExcluded` の 2 つのタグが追加できます。
**注記**
`GuardDutyFindingDetected` タグは、スナップショットにマルウェアが含まれていると指定します。
+ ボリュームが EBS マネージドキーで暗号化されているかどうかを判断します。GuardDuty は `DescribeKey` アクションを実行し、アカウントの EBS マネージドキーの `key Id` を特定します。
+ を使用して暗号化された EBS ボリュームのスナップショットを から取得 AWS アカウント し AWS マネージドキー、 にコピーします[GuardDuty サービスアカウント](gdu-service-account-region-list.md)。この目的のため、`GetSnapshotBlock` と `ListSnapshotBlocks` のアクセス許可を使用します。その後、GuardDuty はサービスアカウントのスナップショットをスキャンします。現在、 で暗号化された EBS ボリュームのスキャンに対する Malware Protection for EC2 サポートは、すべての で利用できない AWS マネージドキー 場合があります AWS リージョン。詳細については、「[リージョン固有機能の可用性](guardduty_regions.md#gd-regional-feature-availability)」を参照してください。
+ Amazon EC2 が Malware Protection for EC2 AWS KMS に代わって を呼び出し、カスタマーマネージドキーに対していくつかの暗号化アクションを実行できるようにします。`kms:ReEncryptTo` や `kms:ReEncryptFrom` のようなアクションは、カスタマーマネージドキーで暗号化されたスナップショットを共有するために必要です。`GuardDutyExcluded` タグが `true` に設定されていないキーだけがアクセス可能です。
ロールは、`AmazonGuardDutyMalwareProtectionServiceRolePolicy` と名付けられた次の [AWS マネージドポリシー](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)で構成されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)」を参照してください。
`AWSServiceRoleForAmazonGuardDutyMalwareProtection` サービスにリンクされたロールにアタッチされている信頼ポリシーは次のとおりです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Malware Protection for EC2 のサービスにリンクされたロールの作成
Malware Protection for EC2 を初めて有効にするか、以前に有効にしていなかったサポート対象リージョンで Malware Protection for EC2 を有効にした場合は、`AWSServiceRoleForAmazonGuardDutyMalwareProtection` のサービスにリンクされたロールが自動的に生成されます。IAM コンソール、IAM CLI、あるいは IAM API を使って、`AWSServiceRoleForAmazonGuardDutyMalwareProtection` サービスにリンクされたロールを手動で作成することもできます。
**注記**
デフォルトでは、Amazon GuardDuty を初めて使用する場合、Malware Protection for EC2 は自動的に有効になります。
**重要**
委任 GuardDuty 管理者アカウント用に作成されたサービスにリンクされたロールは、メンバーの GuardDuty アカウントには適用されません。
サービスにリンクされたロールの作成、編集、削除をIAM プリンシパル (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。`AWSServiceRoleForAmazonGuardDutyMalwareProtection` サービスにリンクされたロールを正常に作成するには、GuardDuty で使用する IAM ID に必要な許可が付与されている必要があります。必要なアクセス許可を付与するには、次のポリシーをこの ユーザー、グループ、またはロールにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「[サービスにリンクされたロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。
## Malware Protection for EC2 のサービスにリンクされたロールの編集
Malware Protection for EC2 では、`AWSServiceRoleForAmazonGuardDutyMalwareProtection` サービスにリンクされたロールを編集できません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Malware Protection for EC2 のサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
**重要**
`AWSServiceRoleForAmazonGuardDutyMalwareProtection` を削除するためには、有効になっているすべてのリージョンで、最初に Malware Protection for EC2 を無効にする必要があります。
サービスにリンクされたロールを削除しようとしたときに Malware Protection for EC2 サービスが無効になっていない場合、削除は失敗します。アカウントで最初に Malware Protection for EC2 を必ず無効にしてください。
**[無効]** を選択して Malware Protection for EC2 サービスを停止しても、`AWSServiceRoleForAmazonGuardDutyMalwareProtection` は自動的に削除されません。**[有効]** を選択して Malware Protection for EC2 サービスを再び開始すると、GuardDuty は既存の `AWSServiceRoleForAmazonGuardDutyMalwareProtection` を使用して動作を開始します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、CLI、または IAM API AWS を使用して、`AWSServiceRoleForAmazonGuardDutyMalwareProtection`サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## サポートされている AWS リージョン
Amazon GuardDuty は、Malware Protection for EC2 AWS リージョン が利用可能なすべての で、`AWSServiceRoleForAmazonGuardDutyMalwareProtection`サービスにリンクされたロールの使用をサポートしています。
GuardDuty が現在利用可能なリージョンの一覧については、「*Amazon Web Services 全般のリファレンス*」の「[Amazon GuardDuty のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)」を参照してください。
**注記**
Malware Protection for EC2 は現在、 AWS GovCloud (米国東部) および AWS GovCloud (米国西部) では利用できません。