翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection for S3 の仕組み

このセクションでは、Malware Protection for S3 のコンポーネント、S3 バケットでコンポーネントを有効にした後の動作、マルウェアスキャンのステータスと結果を確認する方法について説明します。

概要

独自のバケットに属する Amazon S3 バケットに対して Malware Protection for S3 を有効にできます AWS アカウント。 GuardDuty では、この機能をバケット全体で有効にしたり、マルウェアスキャンの範囲を特定のオブジェクトプレフィックスに制限したりできます。 は、アップロードされたオブジェクトのうち、選択したプレフィックスのいずれかで始まるものを GuardDuty スキャンします。 Amazon S3 最大 5 個のプレフィックスを追加できます。S3 バケットに対してこの機能を有効にした場合、そのバケットは保護されたバケットと呼ばれます。

IAM ロールのアクセス許可

Malware Protection for S3 は、 がユーザーに代わってマルウェアスキャンアクションを実行 GuardDuty することを許可する IAMロールを使用します。マルウェアスキャンには、選択したバケットに新規にアップロードされたオブジェクトを通知する、そうしたオブジェクトをスキャンする、スキャンしたオブジェクトにオプションでタグを追加するといったアクションがあります。これは、この機能で S3 バケットを設定するための前提条件となります。

既存のIAMロールを更新するか、この目的のために新しいロールを作成するかを選択できます。複数のバケットに対して Malware Protection for S3 を有効にすると、必要に応じて既存のIAMロールを更新して、他のバケット名を含めることができます。詳細については、「IAM ロールポリシーを作成または更新する」を参照してください。

必要に応じてスキャン結果に基づいてオブジェクトにタグを追加する

スキャンされた S3 オブジェクトへのタグ付けを有効にできる手順があり、バケットに対して Malware Protection for S3 を有効にするときに必要に応じて実行できます。IAM ロールには、スキャン後にオブジェクトにタグを追加するアクセス許可が既に含まれています。ただし、 GuardDuty は、セットアップ時にこのオプションを有効にした場合にのみタグを追加します。

オブジェクトがアップロードされる前に、このオプションを有効にする必要があります。スキャンが終了すると、 は、次のキーと値のペアを使用して、スキャンされた S3 オブジェクトに事前定義されたタグ GuardDuty を追加します。

GuardDutyMalwareScanStatus:Potential scan result

スキャン結果にタグとして追加されうる値には、NO_THREATS_FOUND、THREATS_FOUND、UNSUPPORTED、ACCESS_DENIED、FAILED などがあります。これらの値の詳細については、取りうる S3 オブジェクトスキャンステータスと結果ステータス を参照してください。

S3 オブジェクトのスキャン結果を確認できる方法の 1 つが、タグ付けを有効にすることです。これらのタグをさらに使用して、タグベースのアクセスコントロール (TBAC) S3 リソースポリシーを追加し、悪意のある可能性のあるオブジェクトに対してアクションを実行できます。詳細については、「S3 バケットリソースTBACへの の追加」を参照してください。

バケットに対して Malware Protection for S3 を設定するときに、タグ付けを有効にすることをお勧めします。オブジェクトのアップロード後にタグ付けを有効にし、スキャンが開始される可能性がある場合、 はスキャンされたオブジェクトにタグを追加 GuardDuty できません。関連する S3 オブジェクトのタグ付けコストについては、「Malware Protection for S3 の料金と使用コスト」を参照してください。

バケットに対して Malware Protection for S3 を有効にした後のプロセス

Malware Protection for S3 を有効にすると、選択されている S3 バケット専用の Malware Protection プランリソースが作成されます。このリソースは、保護されたリソースを一意に識別する Malware Protection プラン ID に関連付けられます。アクセスIAM許可のいずれかを使用することで、 GuardDuty は という名前で EventBridge マネージドルールを作成および管理しますDO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*。

がデータ GuardDuty を処理する方法 - データ保護のガードレール

Malware Protection for S3 は Amazon EventBridge 通知をリッスンします。オブジェクトが選択したバケットまたはプレフィックスのいずれかにアップロードされると、 は を使用して S3 バケットからそのオブジェクト GuardDuty をダウンロードAWS PrivateLinkし、同じリージョン内の分離された環境でオブジェクトを読み取り、復号、スキャンします。スキャン環境は、インターネットにアクセスできないロックダウンされた仮想プライベートクラウド (VPC) で実行されます。VPC は、 AWS が所有する許可リストに登録されたドメインへの通信のみを許可する DNS Firewall ルールグループにアタッチされます。スキャンの間、 はダウンロードした S3 オブジェクトを AWS Key Management Service （AWS KMS） キーで暗号化されたスキャン環境に GuardDuty 一時的に保存します。

GuardDuty マルウェア検出方法と使用するスキャンエンジンについては、「」を参照してくださいGuardDuty マルウェア検出スキャンエンジン。

マルウェアスキャンが完了すると、 はスキャンメタデータをスキャンステータスで GuardDuty 処理し、ダウンロードしたオブジェクトのコピーを削除します。

GuardDuty は、新しいスキャンが始まる前に毎回スキャン環境をクリーンアップします。 は、スキャン環境へのオペレーターアクセスの偶発的な認可 GuardDuty を使用し、すべてのアクセスリクエストがレビュー、承認、監査されます。

S3 オブジェクトスキャンのステータスと結果の確認

GuardDuty は、S3 オブジェクトスキャン結果イベントを Amazon の EventBridge デフォルトイベントバスに発行します。 GuardDuty また、 は、スキャンされたオブジェクトの数やスキャンされたバイト数などのスキャンメトリクスを Amazon に送信します CloudWatch。タグ付けを有効にした場合、 GuardDuty は事前定義されたタグGuardDutyMalwareScanStatusと潜在的なスキャン結果をタグ値として追加します。

詳細については、「Malware Protection for S3 での S3 オブジェクトスキャンのモニタリング」を参照してください。

生成された検出結果の確認

検出結果の確認は、Malware Protection for S3 を で使用しているかどうかによって異なります GuardDuty。次のシナリオを考えてみてください。