2026年06時点のDevOps AgentのIAM権限アップデートを調べてみた

• URL: https://dev.classmethod.jp/articles/devops-agent-iam-permissions-2026-06
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: DevOps Agentのマネージドポリシー AIDevOpsAgentAccessPolicy が v7 にアップデートされ、securityhub:GetFindings や guardduty:GetFindings がマネージドポリシーに正式追加された。Athena、Glue、KMS も追加可能権限に加わったが、Glue側のガードレール制約によりAthena直接クエリはまだ実行不可。セキュリティサービスの情報参照範囲が大幅に拡張された。

詳細

AIDevOpsAgentAccessPolicy は 2026/06/24 の更新で v7 に到達した。v5 で securityhub:GetFindings が追加され、v7 では guardduty:GetFindings と inspector2:SearchVulnerabilities も追加されている。これにより以前のワークアラウンド（Security Hub経由での参照）は不要になった。

追加可能なPermissionsにはAthena、Glue、KMS が新たに含まれた。Athena には athena:GetQuery* による実行ログ取得は正常に動作するが、クエリ実行そのものはGlue側の glue:GetTable / glue:GetDatabase がガードレールでブロックされており未対応。ガードレール緩和により今後対応見込み。

この拡張によりセキュリティサービス（GuardDuty、Security Hub、Inspector）の検出結果を直接参照でき、調査効率が向上する。