Malware Protection for S3 でのタグベースのアクセスコントロール (TBAC) の使用 - Amazon GuardDuty
S3 バケットリソースへの TBAC の追加

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection for S3 でのタグベースのアクセスコントロール (TBAC) の使用

バケットで Malware Protection for S3 を有効にする場合、オプションでタグ付けを有効にするように選択できます。選択したバケットに新しくアップロードされた S3 オブジェクトをスキャンしようとすると、 はスキャンされたオブジェクトにタグ GuardDuty を追加して、マルウェアスキャンのステータスを提供します。タグ付けを有効にすると、直接使用コストがかかります。詳細については、「Malware Protection for S3 の料金」を参照してください。

GuardDuty は、 キーを としてGuardDutyMalwareScanStatus、 値をマルウェアスキャンステータスの 1 つとして、事前定義されたタグを使用します。これらの値の詳細については、「」を参照してくださいS3 object potential scan result value

が S3 オブジェクト GuardDuty にタグを追加する際の考慮事項:

  • デフォルトでは、オブジェクトに最大 10 個のタグを関連付けることができます。詳細については、「Amazon S3 ユーザーガイド」の「タグを使用したストレージの分類」を参照してください。 Amazon S3

    10 個のタグがすべて既に使用されている GuardDuty 場合、スキャンされたオブジェクトに事前定義されたタグを追加することはできません。 GuardDuty は、スキャン結果をデフォルトの EventBridge イベントバスに発行します。詳細については、「Amazon の使用 EventBridge」を参照してください。

  • 選択した IAM ロールに の S3 オブジェクト GuardDuty へのタグ付けのアクセス許可が含まれていない場合、保護されたバケットに対してタグ付けが有効になっている場合でも、 GuardDuty はこのスキャンされた S3 オブジェクトにタグを追加できません。タグ付けに必要な IAM ロールのアクセス許可の詳細については、「」を参照してください前提条件 - IAM PassRole ポリシーを作成または更新する

    GuardDuty は、スキャン結果をデフォルトの EventBridge イベントバスに発行します。詳細については、「Amazon の使用 EventBridge」を参照してください。

S3 バケットリソースへの TBAC の追加

S3 バケットリソースポリシーを使用して、S3 オブジェクトのタグベースのアクセスコントロール (TBAC) を管理できます。特定のユーザーに S3 オブジェクトへのアクセスと読み取りを許可できます。を使用して作成された組織がある場合は AWS Organizations、 によって追加されたタグを誰も変更できないように強制する必要があります GuardDuty。詳細については、「 AWS Organizations ユーザーガイド」の「許可されたプリンシパルによるタグの変更の防止」を参照してください。リンクされたトピックで使用されている例では、 に言及していますec2。この例を使用する場合は、ec2 を に置き換えますs3

次のリストでは、TBAC を使用してできることについて説明します。

  • Malware Protection for S3 サービスプリンシパルを除くすべてのユーザーが、次のタグキーと値のペアでまだタグ付けされていない S3 オブジェクトを読み取らないようにします。

    GuardDutyMalwareScanStatus:Potential key value

  • スキャンされた S3 オブジェクト GuardDuty に、スキャン結果として値 GuardDutyMalwareScanStatus を持つタグキーのみを追加することを許可します。次のポリシーテンプレートでは、アクセス権を持つ特定のユーザーがタグのキーと値のペアを上書きできる可能性があります。

S3 バケットリソースポリシーの例:

IAM-role-name を、バケット内の Malware Protection for S3 の設定 PassRole に使用した IAM に置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NoReadExceptForClean",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTag",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": "s3:PutObjectTagging",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        }
    ]
}

S3 リソースのタグ付けの詳細については、「タグ付けとアクセスコントロールポリシー」を参照してください。