翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
前提条件 - IAMロールポリシーを作成または更新する
新しい Amazon S3 オブジェクトアップロードのマルウェアスキャンを開始するには、 はスキャンに必要なアクセス許可を含むIAMロール GuardDuty を想定し、 (オプションで) S3 オブジェクトにタグを追加します。これらのアクセス許可を含めるには、IAMロールを作成するか、既存のロールを更新する必要があります。これらのアクセス許可は、Malware Protection for Amazon S3 を有効にする Amazon S3 バケットごとに必要となるため、保護する Amazon S3 バケットごとにこのステップを実行する必要があります。
次のリストは、特定のアクセス許可がユーザーに代わってマルウェアスキャン GuardDuty を実行する方法を示しています。
-
Malware Protection for S3 が S3 オブジェクト通知をリッスンできるように、Amazon EventBridge アクションが EventBridge マネージドルールを作成および管理できるようにします。
詳細については、「Amazon ユーザーガイド」の「Amazon EventBridge マネージドルール」を参照してください。 EventBridge
-
このバケット内のすべてのイベント EventBridge について、Amazon S3 と EventBridge アクションが に通知を送信することを許可する
詳細については、「Amazon S3 ユーザーガイド」の「Amazon の有効化 EventBridgeAmazon S3」を参照してください。
-
Amazon S3 アクションがアップロードされた S3 オブジェクトにアクセスし、スキャンされた S3 オブジェクト
GuardDutyMalwareScanStatus
に事前定義されたタグ を追加します。オブジェクトプレフィックスを使用する場合は、ターゲットプレフィックスにのみs3:prefix
条件を追加します。これにより GuardDuty 、バケット内のすべての S3 オブジェクトにアクセスできなくなります。 -
KMS キーアクションがオブジェクトにアクセスしてから、 および KMSのSSE暗号化がサポートされているバケットにテストオブジェクトをスキャンDSSEおよびKMS配置できるようにします。
注記
このステップは、アカウントのバケットで Malware Protection for S3 を有効にするたびに必要です。既に既存のIAMロールがある場合は、ポリシーを更新して、別の Amazon S3 バケットリソースの詳細を含めることができます。このIAM ポリシーアクセス許可の追加トピックでは、これを行う方法の例を示します。
IAM ロールを作成または更新するには、次のポリシーを使用します。
IAM ポリシーアクセス許可の追加
既存のIAMロールのインラインポリシーを更新するか、新しいIAMロールを作成するかを選択できます。ステップの詳細については、IAM「 ユーザーガイド」のIAM「ロールの作成」または「ロールのアクセス許可ポリシーの変更」を参照してください。
次のアクセス許可テンプレートを優先IAMロールに追加します。次のプレースホルダー値を、アカウントに関連付けられた適切な値に置き換えます。
-
[
amzn-s3-demo-bucket
、 を Amazon S3 バケット名に置き換えます。複数の S3 バケットリソースに同じIAMロールを使用するには、次の例に示すように既存のポリシーを更新します。
... ... "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
/*", "arn:aws:s3:::amzn-s3-demo-bucket2
/*" ], ... ...S3 バケットARNに関連付けられた新しい を追加する前に、必ずカンマ (,) を追加してください。これは、ポリシーテンプレート
Resource
で S3 バケットを参照する場所で行います。 -
[
111122223333
、 を AWS アカウント ID に置き換えます。 -
[
us-east-1
、 を に置き換えます AWS リージョン。 -
[
APKAEIBAERJR2EXAMPLE
、 をカスタマーマネージドキー ID に置き換えます。バケットが を使用して暗号化されている場合は AWS KMS key、次の例に示すように*
、プレースホルダー値を に置き換えます。"Resource": "arn:aws:kms:
us-east-1
:111122223333
:key/*
"
IAM ロールポリシーテンプレート
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty", "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:
us-east-1
:111122223333
:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ], "Condition": { "StringLike": { "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com" } } }, { "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": [ "arn:aws:events:us-east-1
:111122223333
:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ] }, { "Sid": "AllowPostScanTag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:PutObjectVersionTagging", "s3:GetObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] }, { "Sid": "AllowEnableS3EventBridgeEvents", "Effect": "Allow", "Action": [ "s3:PutBucketNotification", "s3:GetBucketNotification" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
" ] }, { "Sid": "AllowPutValidationObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/malware-protection-resource-validation-object" ] }, { "Sid": "AllowCheckBucketOwnership", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
" ] }, { "Sid": "AllowMalwareScan", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] }, { "Sid": "AllowDecryptForMalwareScan", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1
:111122223333
:key/APKAEIBAERJR2EXAMPLE
", "Condition": { "StringLike": { "kms:ViaService": "s3.us-east-1
.amazonaws.com" } } } ] }
信頼関係ポリシーの追加
次の信頼ポリシーをIAMロールにアタッチします。ステップの詳細については、「ロール信頼ポリシーの変更」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection-plan.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }