Malware Protection for S3 でのタグベースのアクセスコントロール (TBAC) の使用 - Amazon GuardDuty
S3 バケットリソースTBACでの の追加

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection for S3 でのタグベースのアクセスコントロール (TBAC) の使用

バケットで Malware Protection for S3 を有効にする場合、オプションでタグ付けを有効にするように選択できます。選択したバケットに新しくアップロードされた S3 オブジェクトをスキャンしようとすると、 はスキャンされたオブジェクトにタグ GuardDuty を追加して、マルウェアのスキャンステータスを提供します。タグ付けを有効にすると、直接使用コストがかかります。詳細については、「Malware Protection for S3 の料金と使用コスト」を参照してください。

GuardDuty は、 キーを にGuardDutyMalwareScanStatus、 値をマルウェアスキャンステータスの 1 つとする事前定義されたタグを使用します。これらの値の詳細については、「」を参照してくださいS3 オブジェクトの潜在的なスキャンステータスと結果ステータス

S3 オブジェクトにタグを追加 GuardDuty するための に関する考慮事項:

  • デフォルトでは、最大 10 個のタグをオブジェクトに関連付けることができます。詳細については、Amazon S3ユーザーガイド」の「タグを使用したストレージの分類」を参照してください。

    10 個のタグがすべて既に使用されている場合、スキャンされたオブジェクトに事前定義されたタグを追加 GuardDuty することはできません。 GuardDuty は、スキャン結果をデフォルトの EventBridge イベントバスに発行します。詳細については、「Amazon による S3 オブジェクトスキャンのモニタリング EventBridge」を参照してください。

  • 選択したIAMロールに S3 オブジェクトにタグ付け GuardDuty するアクセス許可が含まれていない場合、保護されたバケットに対してタグ付けが有効になっていても、このスキャンされた S3 オブジェクトにタグを追加 GuardDuty することはできません。タグ付けに必要なIAMロールアクセス許可の詳細については、「」を参照してください前提条件 - IAMロールポリシーを作成または更新する

    GuardDuty は、スキャン結果をデフォルトの EventBridge イベントバスに発行します。詳細については、「Amazon による S3 オブジェクトスキャンのモニタリング EventBridge」を参照してください。

S3 バケットリソースTBACでの の追加

S3 バケットリソースポリシーを使用して、S3 オブジェクトのタグベースのアクセスコントロール (TBAC) を管理できます。特定のユーザーに S3 オブジェクトにアクセスして読み取るアクセスを提供できます。を使用して作成された組織がある場合は AWS Organizations、 によって追加されたタグを誰も変更できないように強制する必要があります GuardDuty。詳細については、AWS Organizations 「 ユーザーガイド」の「許可されたプリンシパルによるタグの変更の防止」を参照してください。リンクされたトピックで使用される例では、 に言及していますec2。この例では、ec2 s3 で。

次のリストでは、 を使用して実行できる操作について説明しますTBAC。

  • Malware Protection for S3 サービスプリンシパルを除くすべてのユーザーが、次のタグキーと値のペアでまだタグ付けされていない S3 オブジェクトを読み取らないようにします。

    GuardDutyMalwareScanStatus:Potential key value

  • スキャンされた S3 オブジェクト GuardDuty に、値GuardDutyMalwareScanStatusを持つタグキーのみをスキャン結果として追加することを許可します。次のポリシーテンプレートでは、アクセス可能な特定のユーザーがタグのキーと値のペアを上書きできる可能性があります。

S3 バケットリソースポリシーの例:

置換 IAM-role-name バケット内の Malware Protection for S3 の設定に使用した IAM ロール。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NoReadExceptForClean",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTag",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": "s3:PutObjectTagging",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

S3 リソースのタグ付け、タグ付け、アクセスコントロールポリシー の詳細については、「」を参照してください。