前提条件 - IAMロールポリシーを作成または更新する - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件 - IAMロールポリシーを作成または更新する

新しい Amazon S3 オブジェクトアップロードのマルウェアスキャンを開始するには、 はスキャンに必要なアクセス許可を含むIAMロール GuardDuty を想定し、 (オプションで) S3 オブジェクトにタグを追加します。これらのアクセス許可を含めるには、IAMロールを作成するか、既存のロールを更新する必要があります。これらのアクセス許可は、Malware Protection for Amazon S3 を有効にする Amazon S3 バケットごとに必要となるため、保護する Amazon S3 バケットごとにこのステップを実行する必要があります。

次のリストは、特定のアクセス許可がユーザーに代わってマルウェアスキャン GuardDuty を実行する方法を示しています。

  • Malware Protection for S3 が S3 オブジェクト通知をリッスンできるように、Amazon EventBridge アクションが EventBridge マネージドルールを作成および管理できるようにします。

    詳細については、「Amazon ユーザーガイド」の「Amazon EventBridge マネージドルール」を参照してください。 EventBridge

  • このバケット内のすべてのイベント EventBridge について、Amazon S3 と EventBridge アクションが に通知を送信することを許可する

    詳細については、「Amazon S3 ユーザーガイド」の「Amazon の有効化 EventBridgeAmazon S3」を参照してください。

  • Amazon S3 アクションがアップロードされた S3 オブジェクトにアクセスし、スキャンされた S3 オブジェクトGuardDutyMalwareScanStatusに事前定義されたタグ を追加します。オブジェクトプレフィックスを使用する場合は、ターゲットプレフィックスにのみs3:prefix条件を追加します。これにより GuardDuty 、バケット内のすべての S3 オブジェクトにアクセスできなくなります。

  • KMS キーアクションがオブジェクトにアクセスしてから、 および KMSのSSE暗号化がサポートされているバケットにテストオブジェクトをスキャンDSSEおよびKMS配置できるようにします。

注記

このステップは、アカウントのバケットで Malware Protection for S3 を有効にするたびに必要です。既に既存のIAMロールがある場合は、ポリシーを更新して、別の Amazon S3 バケットリソースの詳細を含めることができます。このIAM ポリシーアクセス許可の追加トピックでは、これを行う方法の例を示します。

IAM ロールを作成または更新するには、次のポリシーを使用します。

IAM ポリシーアクセス許可の追加

既存のIAMロールのインラインポリシーを更新するか、新しいIAMロールを作成するかを選択できます。ステップの詳細については、IAM「 ユーザーガイド」のIAM「ロールの作成」または「ロールのアクセス許可ポリシーの変更」を参照してください。

次のアクセス許可テンプレートを優先IAMロールに追加します。次のプレースホルダー値を、アカウントに関連付けられた適切な値に置き換えます。

  • [ amzn-s3-demo-bucket、 を Amazon S3 バケット名に置き換えます。

    複数の S3 バケットリソースに同じIAMロールを使用するには、次の例に示すように既存のポリシーを更新します。

    ... ... "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ], ... ...

    S3 バケットARNに関連付けられた新しい を追加する前に、必ずカンマ (,) を追加してください。これは、ポリシーテンプレートResourceで S3 バケットを参照する場所で行います。

  • [ 111122223333、 を AWS アカウント ID に置き換えます。

  • [ us-east-1、 を に置き換えます AWS リージョン。

  • [ APKAEIBAERJR2EXAMPLE、 をカスタマーマネージドキー ID に置き換えます。バケットが を使用して暗号化されている場合は AWS KMS key、次の例に示すように*、プレースホルダー値を に置き換えます。

    "Resource": "arn:aws:kms:us-east-1:111122223333:key/*"

IAM ロールポリシーテンプレート

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty", "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ], "Condition": { "StringLike": { "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com" } } }, { "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": [ "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ] }, { "Sid": "AllowPostScanTag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:PutObjectVersionTagging", "s3:GetObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "AllowEnableS3EventBridgeEvents", "Effect": "Allow", "Action": [ "s3:PutBucketNotification", "s3:GetBucketNotification" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "AllowPutValidationObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object" ] }, { "Sid": "AllowCheckBucketOwnership", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "AllowMalwareScan", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "AllowDecryptForMalwareScan", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE", "Condition": { "StringLike": { "kms:ViaService": "s3.us-east-1.amazonaws.com" } } } ] }

信頼関係ポリシーの追加

次の信頼ポリシーをIAMロールにアタッチします。ステップの詳細については、「ロール信頼ポリシーの変更」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection-plan.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }