# AWS マネージドポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
ユーザー、グループ、ロールにアクセス許可を追加するには自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) には時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS マネージドポリシーの詳細については「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS のサービスは関連する AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの権限を変更することはできません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。
さらに、AWS は複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、**ReadOnlyAccess** AWS マネージドポリシーではすべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能ポリシーのリストと説明については、*IAM ユーザーガイド*の[ジョブ機能の AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)を参照してください。
**Topics**
+ [AWS マネージドポリシー: AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy)
+ [AWS マネージドポリシー: AWSSecurityIncidentResponseFullAccess](#AWSSecurityIncidentResponseFullAccess)
+ [AWS マネージドポリシー: AWSSecurityIncidentResponseReadOnlyAccess](#AWSSecurityIncidentResponseReadOnlyAccess)
+ [AWS マネージドポリシー: AWSSecurityIncidentResponseCaseFullAccess](#AWSSecurityIncidentResponseCaseFullAccess)
+ [AWS マネージドポリシー: AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy)
+ [SLR およびマネージドポリシーに対する AWS Security Incident Response の更新](#managed-policy-updates)
## AWS マネージドポリシー: AWSSecurityIncidentResponseServiceRolePolicy
AWS Security Incident Response は、AWSSecurityIncidentResponseServiceRolePolicy AWS マネージドポリシーを使用します。この AWS マネージドポリシーは、[AWSServiceRoleForSecurityIncidentResponse](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse) サービスにリンクされたロールに添付されます。このポリシーは、 AWS Security Incident Response がサブスクライブされたアカウントへのアクセス、ケースの作成、ケースの更新、ケースコメントの作成、ケースの一覧表示、ケースコメントの一覧表示、関連リソースのタグ付けを可能にします。
**重要**
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AWS Security Incident Response は、タグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません
*アクセス許可の詳細*
サービスは、このポリシーを使用して、次のリソースに対してアクションを実行します。
+ *AWS Organizations:* サービスで使用するメンバーシップアカウントをサービスが検索できるようにします。
+ *CreateCase:* メンバーシップアカウントに代わってサービスがサービスケースを作成できるようにします。
+ *ListCases:* セキュリティ調査の目的で、サービスの AI エージェントがケースを閲覧できるようにします。
+ *UpdateCase:* サービスの AI エージェントがケースのメタデータを更新できるようにします。
+ *CreateCaseComment:* サービスの AI エージェントが結果を症例コメントとして投稿できるようにします。
+ *ListComments:* サービスの AI エージェントが自動調査を実行するために必要なケースコメントを閲覧できるようにします。
+ *TagResource:* サービスの一部として設定されたサービスタグリソースを許可します。
このポリシーに関連付けられているアクセス許可は、[AWSSecurityIncidentResponseServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseServiceRolePolicy.html) の AWS マネージドポリシーで確認できます。
## AWS マネージドポリシー: AWSSecurityIncidentResponseFullAccess
AWS Security Incident Response は AWSSecurityIncidentResponseAdmin AWS マネージドポリシーを使用します。このポリシーは、サービスリソースへのフルアクセスと、関連する AWS のサービス へのアクセスを付与します。このポリシーを IAM プリンシパルと共に使用して、AWS Security Incident Response のアクセス許可をすばやく追加できます。
**重要**
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AWS Security Incident Response は、タグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません
*アクセス許可の詳細*
サービスは、このポリシーを使用して、次のリソースに対してアクションを実行します。
+ *IAM プリンシパルの読み取り専用アクセス:* サービスユーザーに、既存の AWS Security Incident Response リソースに対して読み取り専用アクションを実行する権限を付与します。
+ *IAM プリンシパル書き込みアクセス:* サービスユーザーに AWS Security Incident Response リソースの更新、変更、削除、作成を許可します。
このポリシーに関連付けられているアクセス許可は、[AWSSecurityIncidentResponseFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseFullAccess.html) の AWS マネージドポリシーで確認できます。
## AWS マネージドポリシー: AWSSecurityIncidentResponseReadOnlyAccess
AWS Security Incident Response は、AWSSecurityIncidentResponseReadOnlyAccess AWS マネージドポリシーを使用します。ポリシーは、サービスケースリソースへの読み取り専用アクセス権を付与します。このポリシーを IAM プリンシパルと共に使用して、AWS Security Incident Response のアクセス許可をすばやく追加できます。
**重要**
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AWS Security Incident Response は、タグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません
*アクセス許可の詳細*
サービスは、このポリシーを使用して、次のリソースに対してアクションを実行します。
+ *IAM プリンシパルの読み取り専用アクセス:* サービスユーザーに、既存の AWS Security Incident Response リソースに対して読み取り専用アクションを実行する権限を付与します。
このポリシーに関連付けられているアクセス許可は、[AWSSecurityIncidentResponseReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseReadOnlyAccess.html) の AWS マネージドポリシーで確認できます。
## AWS マネージドポリシー: AWSSecurityIncidentResponseCaseFullAccess
AWS Security Incident Response は、AWSSecurityIncidentResponseCaseFullAccess AWS マネージドポリシーを使用します。ポリシーは、サービスケースリソースへのフルアクセス権を付与します。このポリシーを IAM プリンシパルと共に使用して、AWS Security Incident Response のアクセス許可をすばやく追加できます。
**重要**
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AWS Security Incident Response は、タグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません
*アクセス許可の詳細*
サービスは、このポリシーを使用して、次のリソースに対してアクションを実行します。
+ *IAM プリンシパルケースの読み取り専用アクセス:* サービスユーザーに、既存の AWS Security Incident Response ケースに対して読み取り専用アクションを実行する権限を付与します。
+ *IAM プリンシパルケースの書き込みアクセス:* サービスユーザーに AWS Security Incident Response ケースの更新、変更、削除、作成を行う権限を付与します。
このポリシーに関連付けられているアクセス許可は、[AWSSecurityIncidentResponseCaseFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseCaseFullAccess.html) の AWS マネージドポリシーで確認できます。
## AWS マネージドポリシー: AWSSecurityIncidentResponseTriageServiceRolePolicy
AWS Security Incident Response は、AWSSecurityIncidentResponseTriageServiceRolePolicy AWS マネージドポリシーを使用します。この AWS マネージドポリシーは、[AWSServiceRoleForSecurityIncidentResponse\_Triage](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse_Triage) サービスにリンクされたロールに添付されます。
このポリシーは AWS Security Incident Response へのアクセスを提供し、セキュリティの脅威について環境を継続的にモニタリングし、セキュリティサービスを調整してアラートノイズを減らし、情報を収集して潜在的なインシデントを調査します。このポリシーを IAM エンティティにアタッチすることはできません。
**重要**
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AWS Security Incident Response は、タグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません
*アクセス許可の詳細*
サービスは、このポリシーを使用して、次のリソースに対してアクションを実行します。
+ *イベント:* サービスが Amazon EventBridge マネージドルールを作成できるようにします。このルールは、アカウントからサービスにイベントを配信するために AWS アカウントで必要なインフラストラクチャです。このアクションは、`triage.security-ir.amazonaws.com` によって管理されるすべての AWS リソースで実行されます。
+ *Amazon GuardDuty:* サービスがセキュリティサービスを調整してアラートノイズを減らし、潜在的なインシデントを調査するための情報を収集したり、GuardDuty マルウェアスキャンを開始したりすることが可能になります。
+ *AWS Security Hub CSPM:* サービスが有効化されている標準規格や製品統合の一覧表示、組織メンバーや管理者アカウントの一覧表示、アラートノイズを減らし、潜在的なインシデントを調査するための情報収集を行うことが可能になります。
+ *AWS Identity and Access Management:* サービスが `AWSServiceRoleForAmazonGuardDutyMalwareProtection` サービスにリンクされたロールのロール情報を取得して、GuardDuty MalwareProtection が設定されているかどうかを確認できるようにします。
+ *AWS Security Incident Response:* サービスがケースを作成および更新し、`SecurityIncidentResponseManaged=true` でタグ付けされたリソースに制限されたリソースにタグ付けできるようにします。サービスがメンバーシップ情報 (GetMembership、ListMemberships) を読み取ることを許可します。
このポリシーに関連付けられているアクセス許可は、[AWSSecurityIncidentResponseTriageServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityIncidentResponseTriageServiceRolePolicy.html) の AWS マネージドポリシーで確認できます。
## SLR およびマネージドポリシーに対する AWS Security Incident Response の更新
AWS Security Incident Response SLR およびマネージドポリシーロールに対する更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| 更新 – [`AWSSecurityIncidentResponseReadOnlyAccess`](#AWSSecurityIncidentResponseReadOnlyAccess) | ポリシーに `security-ir:ListInvestigations` アクションが含まれるようになりました。 | 2026 年 4 月 22 日 |
| 更新 – [`AWSSecurityIncidentResponseFullAccess`](#AWSSecurityIncidentResponseFullAccess) | ポリシーは、明示的な `security-ir` アクションを一覧表示する代わりに `security-ir:*` を使用するようになりました。関連付けを更新するときにコンソールのアカウントピッカーをサポートするために、8 つの新しい AWS Organizations アクセス許可 (`organizations:ListAWSServiceAccessForOrganization`、`organizations:ListRoots`、`organizations:ListOrganizationalUnitsForParent`、`organizations:ListAccountsForParent`、`organizations:ListChildren`、`organizations:DescribeOrganizationalUnit`、`organizations:ListAccounts`、`organizations:DescribeAccount`) が追加されました。MFA 条件が削除されました。 | 2026 年 4 月 22 日 |
| 更新 – [`AWSSecurityIncidentResponseCaseFullAccess`](#AWSSecurityIncidentResponseCaseFullAccess) | このポリシーに `security-ir:ListInvestigations` および `security-ir:SendFeedback` の 2 つの新しいアクションが含まれるようになりました。MFA 条件が削除されました。 | 2026 年 4 月 22 日 |
| 更新 – [`AWSSecurityIncidentResponseTriageServiceRolePolicy`](#AWSSecurityIncidentResponseTriageServiceRolePolicy) | このポリシーでは、サービスが `SecurityIncidentResponseManaged=true` でタグ付けされた GuardDuty フィルターを変更したり、ディテクター設定を更新したり、GuardDuty マルウェアスキャンを開始したりできるようになりました。これにより、サービスが Security Hub CSPM の検出結果に自動的に作用するルールを作成および管理し、組織構造を理解できるようになります。 | 2026 年 3 月 27 日 |
| 更新 – [AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy) | このポリシーは現在、以下のリソースに対してアクションを実行します。
ListCases: セキュリティ調査の目的で、サービスの AI エージェントがケースを閲覧できるようにします
UpdateCase: サービスの AI エージェントがケースのメタデータを更新できるようにします。
CreateCaseComment: サービスの AI エージェントが結果を症例コメントとして投稿できるようにします
ListComments: サービスの AI エージェントが自動調査を実行するために必要なケースコメントを閲覧できるようにします | 2025 年 11 月 |
| 更新 – [AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy) | ポリシーに、`"organizations:DescribeAccount"` および `"organizations:ListDelegatedAdministrators"` 用の 2 つの新しいアクションと新しい条件が含まれるようになりました。
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
| 2025 年 11 月 |
| SLR を更新し、サービスの使用権限をサポートするアクセス許可を追加しました。 | [AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy) が更新され、security-ir:GetMembership、security-ir:ListMemberships、security-ir:UpdateCase、guardduty:ListFilters、guardduty:UpdateFilter、guardduty:DeleteFilter、guardduty:GetAdministratorAccount アクセス許可が追加されました。guardduty:GetAdministratorAccount が、委任アカウントの GuardDuty 自動アーカイブフィルターの管理を容易にするために追加されました。 | 2025 年 6 月 2 日 |
| 新しい SLR – [AWSServiceRoleForSecurityIncidentResponse](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse)
新しいマネージドポリシー – [AWSSecurityIncidentResponseServiceRolePolicy](#AWSSecurityIncidentResponseServiceRolePolicy)。 | メンバーシップを識別するために AWS Organizations アカウントへのサービスアクセスを許可する新しいサービスリンクロールと添付されたポリシー。 | 2024 年 12 月 1 日 |
| 新しい SLR – [AWSServiceRoleForSecurityIncidentResponse\_Triage](using-service-linked-roles.md#AWSServiceRoleForSecurityIncidentResponse_Triage)
新しいマネージドポリシー – [AWSSecurityIncidentResponseTriageServiceRolePolicy](#AWSSecurityIncidentResponseTriageServiceRolePolicy) | AWS Organizations アカウントへのサービスアクセスを許可し、セキュリティイベントのトリアージを実行できるようにする新しいサービスにリンクされたロールと添付されたポリシー。 | 2024 年 12 月 1 日 |
| 新しいマネージドポリシー – [AWSSecurityIncidentResponseFullAccess](#AWSSecurityIncidentResponseFullAccess) | AWS Security Incident Response は、サービスの読み取りおよび書き込みアクション用に IAM プリンシパルに添付する新しい SLR を追加しました。 | 2024 年 12 月 1 日 |
| 新しいマネージドポリシーロール – [AWSSecurityIncidentResponseReadOnlyAccess](#AWSSecurityIncidentResponseReadOnlyAccess) | AWS Security Incident Response は、読み取りアクション用に IAM プリンシパルに添付する新しい SLR を追加しました。 | 2024 年 12 月 1 日 |
| 新しいマネージドポリシーロール – [AWSSecurityIncidentResponseCaseFullAccess](#AWSSecurityIncidentResponseCaseFullAccess) | AWS Security Incident Response サービスケースの読み取りおよび書き込みアクション用に IAM プリンシパルに添付する新しい SLR を追加しました。 | 2024 年 12 月 1 日 |
| 変更の追跡を開始しました。 | AWS Security Incident Response SLR およびマネージドポリシーに対する変更の追跡を開始しました | 2024 年 12 月 1 日 |