マルウェアスキャンでサポートされている Amazon EBS ボリューム - Amazon GuardDuty
デフォルトの KMS キー ID の変更

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルウェアスキャンでサポートされている Amazon EBS ボリューム

AWS リージョン が Malware Protection for EC2 機能 GuardDuty をサポートしているすべての で、暗号化されていない、または暗号化されていない Amazon EBS ボリュームをスキャンできます。AWS マネージドキー またはカスタマーマネージドキー のいずれかで暗号化された Amazon EBS ボリュームを持つことができます。現在、 の一部は Amazon EBS ボリュームを暗号化する方法の両方 AWS リージョン をサポートしており、その他はカスタマーマネージドキーのみをサポートしています。

この機能がまだサポートされていない場合の詳細については、「」を参照してください。 China Regions

次のリストでは、Amazon EBS ボリュームが暗号化されているかどうかにかかわらず、 GuardDuty が使用するキーについて説明します。

Malware Protection for EC2 は、 を productCodeとして持つ Amazon EC2 インスタンスのスキャンをサポートしていませんmarketplace。そのような Amazon EC2 インスタンスに対してマルウェアスキャンが開始された場合、スキャンはスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」の UNSUPPORTED_PRODUCT_CODE_TYPE を参照してください。

Amazon EBS ボリュームのデフォルト AWS KMS キー ID の変更

デフォルトでは、暗号化を に設定し、KMS キー ID を指定しない CreateVolume API を呼び出すtrueと、 は EBS 暗号化のデフォルト AWS KMS キー で暗号化される Amazon EBS ボリュームを作成します。ただし、暗号化キーが明示的に指定されていない場合は、ModifyEbsDefaultKmsKeyIdAPI を呼び出すか、対応する AWS CLI コマンドを使用してデフォルトキーを変更できます。

EBS デフォルトキー ID を変更するには、次の必要な許可を IAM ポリシーに追加します - ec2:modifyEbsDefaultKmsKeyId。新しく作成された Amazon EBS ボリュームは、暗号化するように選択したが、関連付けられた KMS キー ID を指定しない場合、デフォルトのキー ID が使用されます。EBS のデフォルトキー ID を更新するには、次のいずれかの方法を使用します。

Amazon EBS ボリュームのデフォルト KMS キー ID を変更するには

次のいずれかを行います。

  • API の使用 – ModifyEbsDefaultKmsKeyId API を使用できます。ボリュームの暗号化ステータスを表示する方法については、「Amazon EBS ボリュームの作成」を参照してください。

  • AWS CLI コマンドの使用 – 次の例では、KMS キー ID を指定しない場合に Amazon EBS ボリュームを暗号化するデフォルトの KMS キー ID を変更します。リージョンを KM キー ID AWS リージョン の に置き換えてください。

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    上記のコマンドは、次の出力と同様な出力を生成します。

    { 
  "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}

    詳細については、modify-ebs-default-kms「-key-id」を参照してください。