Malware Protection for S3 のクォータ

このセクションでは、多くの場合制限と呼ばれるデフォルトのクォータについて説明します。指定されていない限り、各クォータはリージョン固有です。基盤 (またはコア) GuardDuty サービスの使用に固有のデフォルトのクォータを表示するには、「」を参照してくださいAmazon GuardDuty クォータ。

次の表は、 に適用される複数のクォータを示しています AWS アカウント。

一般的なクォータ
クォータ名	AWS デフォルトのクォータ値	調整可能ですか？	説明
S3 オブジェクトの最大サイズ	5 GB	なし	GuardDuty がマルウェアのスキャンを試みる S3 オブジェクトの最大サイズ。
アーカイブバイトの抽出	5 GB	なし	アーカイブファイルから抽出および分析 GuardDuty できるデータの最大量 (GB 単位）。アーカイブファイルに 5 GB 以上が含まれている場合でも、 GuardDuty はこの値を超えてコンテンツをスキップします。
アーカイブファイルの抽出	1,000	なし	アーカイブファイルで抽出および分析 GuardDuty できるファイルの最大数。ファイルに含まれるファイルが 1,000 個を超える場合、 GuardDuty はアーカイブされたファイルをスキップする必要があります。
最大アーカイブ深度レベル	5	なし	が抽出 GuardDuty できるネストされたアーカイブの最大レベル。アーカイブにこの値を超えてネストされたファイルが含まれている場合、 GuardDuty はネストされたファイルをスキップします。
保護されたバケットの最大数	10	なし	Malware Protection for S3 を有効にできる S3 バケットの最大数。このクォータ値はリージョンレベルで適用されます。
1 秒あたりのコントロールプレーンの最大オペレーション数	25	アカウントレベルで	各リージョンで 1 秒あたりに開始できるコントロールプレーンオペレーションの最大数。API オペレーションには、リソースの作成、読み取り、更新、削除が含まれます。このクォータ値は AWS アカウント レベルで適用されます。

マルウェアスキャンを通過するファイル
ファイルタイプ	サポートは利用できますか？	説明
パスワードで保護されたアーカイブファイル	なし	ファイルがパスワードで保護されたアーカイブの場合、暗号化されたバイトがスキャンされます。アーカイブは抽出も解凍もされません。

Amazon S3 の特徴
S3 機能名	サポートは利用できますか？	説明
S3 ストレージクラス - S3 標準 S3 ストレージクラス - S3 標準低頻度アクセス S3 ストレージクラス - S3 1 ゾーン低頻度アクセス S3 ストレージクラス - S3 Glacier Instant Retrieval	あり	S3 オブジェクトは、非同期的に復元せずに取得できます。
S3 ストレージクラス - S3 Intelligent-Tiering	条件付き	インテリジェント階層化のサポートは、高頻度、低頻度、アーカイブインスタンスアクセス階層の S3 オブジェクトで利用できます。 オプトインアーカイブ階層とディープアーカイブ階層はサポートされていません。 インテリジェント階層化は常に高頻度アクセス階層に新しいオブジェクトを作成します。したがって、作成時のオブジェクトスキャンがサポートされています。 将来のインテリジェント階層化機能は、アーカイブでオブジェクトを起動する可能性があります。したがって、これはサポートされていません。
S3 ストレージクラス - S3 Express One Zone (ディレクトリバケット）	なし	GuardDuty は、Malware Protection for S3 の汎用バケットのみをサポートします。
S3 ストレージクラス - S3 Glacier Flexible Retrieval S3 ストレージクラス - S3 Glacier Deep Archive	なし	S3 オブジェクトにアクセスする前に復元する必要があります。
Amazon S3 on Outposts	なし	S3 の Malware Protection は Outposts ではサポートされていません。
S3 バージョニング	あり	アップロードされたすべての S3 オブジェクトがスキャンされ、マルウェアが検出されます。ファイルバージョン v1 のオブジェクトをアップロードし、すぐに v2 で別のバージョンの上書きをアップロードした場合、 GuardDuty はオブジェクトファイルバージョン v1 と v2 の両方をスキャンします。ただし、スキャン開始時刻は同じ順序ではない場合があります。
S3 レプリケーション - レプリケートされたオブジェクトをスキャンする	あり	レプリケート先バケットが保護されたリソースである場合、 GuardDuty は、保護およびモニタリングされているプレフィックスにレプリケートされるすべての S3 オブジェクトをスキャンします。
S3 レプリケーション: スキャン結果タグでレプリケートする	なし	スキャン結果タグに基づいてレプリケーションルールを定義することはできません。Amazon S3 は、作成時の を除き、タグのレプリケーションをサポートしていません。
データ暗号化 - S3-SSE データ暗号化 - SSE-KMS データ暗号化 - DSSE-KMS	あり	GuardDuty は、 マネージドキーとカスタマーマネージドキーで暗号化された S3 オブジェクトのマルウェアスキャンをサポートします。IAM Passrole にキーを使用するアクセス許可が含まれていることを確認します。詳細については、「IAM ポリシーのアクセス許可の追加」を参照してください。
データ暗号化 - SSE-C	なし	Malware Protection for S3 は、アクセスできないキーで暗号化された S3 オブジェクトのスキャンをサポートしていません。
クライアント側の暗号化	なし	S3 オブジェクトが Amazon S3 暗号化クライアントを使用して暗号化されている場合、オブジェクトは を含むサードパーティーに公開されません AWS。これがサポートされていない理由の詳細については、Amazon S3 ユーザーガイド」の「クライアント側の暗号化を使用したデータの保護」を参照してください。
S3 オブジェクトロックとリーガルホールド	あり	ロックされた S3 オブジェクトは、WORM - Write Once Read Many に基づいてロックされます。Malware Protection for S3 は、オブジェクトにアクセスしてスキャンできます。
リクエスタ支払い	あり	Malware Protection for S3 は、リクエスタ支払い で設定されたバケットをスキャンできます。リクエスタは S3 呼び出しに対して料金を支払います。詳細については、「Amazon S3 ユーザーガイド」の「ストレージ転送と使用量のリクエスタ支払いバケットの使用」を参照してください。
S3: ストレージライフサイクル	あり	スキャン結果タグに基づいてライフサイクルポリシーを定義できます。例えば、悪意のあるオブジェクトを自動削除します。lifcycle 設定の詳細については、「Amazon S3 ユーザーガイド」の「ストレージライフサイクルの管理」を参照してください。 Amazon S3
S3: タグベースのアクセスコントロール (TBAC)	あり	S3 オブジェクトスキャン結果タグに基づいてバケットリソースポリシーを定義できます。例えば、まだスキャンされていない S3 オブジェクトや GuardDuty 検出された脅威へのアクセスを防止します。詳細については、「Malware Protection for S3 でのタグベースのアクセスコントロール (TBAC) の使用」を参照してください。

S3 リージョンクォータの Malware Protection
クォータタイプ	サポートは利用できますか？	説明
バケットアカウントとリージョンでの Malware Protection	あり	S3 バケットを所有 AWS アカウント する は、Malware Protection プランリソースも所有しています。両方のリソースは同じ にあります AWS リージョン。
クロスアカウント Malware Protection プランリソース	なし	Malware Protection プランリソースは、複数の にまたがることはできません AWS アカウント。 AWS アカウント に S3 バケットを所有 AWS アカウント する別の に Malware Protection プランリソースを作成するアクセス許可がある場合 (DOC-EXAMPLE-BUCKET1)、以前のアカウントは DOC-EXAMPLE-BUCKET1 のプランリソースを設定できます。
クロスリージョン Malware Protection プランリソース	なし	Malware Protection プランのリソースをクロスリージョンで設定することはできません。