翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アマゾンにおけるAmazon S3保護 GuardDuty
S3 プロテクションは、Amazon がオブジェクトレベルの API オペレーションを含む Amazon Simple Storage Service (Amazon S3) GuardDuty AWS CloudTrail のデータイベントをモニタリングし、Amazon S3 バケット内のデータの潜在的なセキュリティリスクを特定するのに役立ちます。
GuardDuty AWS CloudTrail 管理イベントと AWS CloudTrail S3 データイベントの両方を監視して、Amazon S3 リソース内の潜在的な脅威を特定します。両方のデータソースでは、さまざまな種類のアクティビティについてモニタリングが行われます。S3 CloudTrail の管理イベントの例には、、ListBuckets
DeleteBuckets
、などの Amazon S3 バケットを一覧表示または設定するオペレーションがあります。PutBucketReplication
S3 CloudTrail のデータイベントの例には、、GetObject
ListObjects
、DeleteObject
などのオブジェクトレベルの API オペレーションがあります。PutObject
で Amazon GuardDuty を有効にすると AWS アカウント、 GuardDuty CloudTrail 管理イベントのモニタリングを開始します。S3 データイベントのログインを手動で有効化または設定する必要はありません AWS CloudTrail。S3 プロテクション機能 (S3 CloudTrail のデータイベントをモニタリングする) は GuardDuty、Amazon AWS リージョン 内のどのアカウントでもいつでも有効にできます。すでに有効になっている場合は GuardDuty、30 日間の無料試用期間で初めて S3 Protection を有効にできます。 AWS アカウント GuardDuty 初めて有効にする場合、S3 Protection はすでに有効になっており、この 30 日間の無料トライアルに含まれています。 AWS アカウント 詳細については、「コストの見積もり GuardDuty 」を参照してください。
で S3 プロテクションを有効にすることをお勧めします。 GuardDuty GuardDuty この機能が有効になっていないと、Amazon S3 バケットを完全に監視したり、S3 バケットに保存されているデータへの疑わしいアクセスの検出結果を生成したりすることができません。
S3 GuardDuty データイベントの使用方法
S3 データイベント (S3 プロテクション) を有効にすると、すべての S3 バケットからの S3 GuardDuty データイベントの分析を開始し、悪意のあるアクティビティや疑わしいアクティビティがないか監視します。詳細については、「AWS CloudTrail S3 のデータイベント」を参照してください。
認証されていないユーザーが S3 オブジェクトにアクセスすると、その S3 オブジェクトはパブリックにアクセス可能であることを意味します。したがって、 GuardDutyはそのようなリクエストを処理しません。 GuardDuty 有効な IAM (AWS Identity and Access Management) または AWS STS (AWS Security Token Service) 認証情報を使用して S3 オブジェクトへのリクエストを処理します。
S3 GuardDuty データイベントモニタリングに基づいて潜在的な脅威を検出すると、セキュリティ結果が生成されます。Amazon S3 GuardDuty バケットについて生成できる結果のタイプについては、を参照してくださいGuardDuty S3 の検出結果タイプ。
S3 Protection を無効にすると、S3 バケットに保存されているデータの S3 GuardDuty データイベントモニタリングが停止されます。
に関連付けられているアカウントの場合 AWS Organizations、このプロセスはコンソールの設定により自動化できます。詳細については、「マルチアカウント環境での S3 Protection の設定」を参照してください。
S3 Protection を有効または無効にするには
任意のアクセス方法を選択して、スタンドアロンアカウントのために S3 Protection を設定します。
- Console
-
AWS Management Console にサインインし、https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。
-
ナビゲーションペインで、[S3 Protection] を選択します。
-
[S3 Protection] ページには、アカウントの S3 Protection の現在のステータスが表示されます。[有効にする] または [無効にする] を選択すると、いつでも S3 Protection を有効または無効にできます。
[確認] を選択して、選択を確定します。
- API/CLI
-
-
現在のリージョンの有効なディテクター ID を使用し、S3 Protection を有効または無効にするように ENABLED
または DISABLED
に設定された features
オブジェクト name
を S3_DATA_EVENTS
として渡して updateDetector を実行します。
または、を使用することもできます AWS Command Line Interface。S3 Protection を有効にするには、次のコマンドを実行し、必ず独自の有効なディテクター ID を使用してください。
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
S3 Protection を無効にするには、例の ENABLED
を DISABLED
に置き換えます。
マルチアカウント環境での S3 Protection の設定
マルチアカウント環境では、 GuardDuty 委任された管理者アカウントのみが、組織内のメンバーアカウントの S3 Protection AWS を設定 (有効または無効) できます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。 GuardDuty 委任された管理者アカウントは、 AWS Organizationsを使用してメンバーアカウントを管理します。 GuardDuty 委任された管理者アカウントは、S3 Protection を組織内のすべてのアカウントで自動的に有効にするか、新しいアカウントのみで有効にするか、まったく有効にしないかを選択できます。詳細については、「 AWS Organizationsを使用したアカウントの管理」を参照してください。
希望するアクセス方法を選択して、 GuardDuty 委任された管理者アカウントの S3 Protection を設定します。
- Console
-
- API/CLI
-
GuardDuty 現在のリージョンの委任管理者アカウントのディテクタ ID updateDetectorを使用して実行し、features
name
S3_DATA_EVENTS
オブジェクトをまたはとして渡します。status
ENABLED
DISABLED
または、を使用して AWS Command Line Interface S3 プロテクションを設定することもできます。次のコマンドを実行し、必ず 12abc34d567e8fa901bc2d34e56789f0
を現在のリージョンの委任管理者アカウントのディテクタ ID に、5555555555555555 を委任された管理者アカウントの ID に置き換えてください。 GuardDuty
AWS アカウント GuardDuty
お使いのアカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してくださいdetectorId
。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 555555555555
--features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
- Console
-
-
https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。
管理者アカウントを使用してサインインします。
次のいずれかを行います。
[S3 Protection] ページの使用
ナビゲーションペインで、[S3 Protection] を選択します。
[すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について S3 Protection が自動的に有効になります。
[保存] を選択します。
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
[アカウント] ページの使用
ナビゲーションペインで、[Accounts] (アカウント) を選択します。
[アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。
[自動有効化の詳細設定を管理] ウィンドウで、[S3 Protection] の下の [すべてのアカウントについて有効にする] を選択します。
[保存] を選択します。
[すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントで S3 Protection を選択的に有効または無効にする」を参照してください。
- API/CLI
-
-
メンバーアカウントの S3 Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID
を使用して updateMemberDetectors API オペレーションを起動します。
-
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ず 12abc34d567e8fa901bc2d34e56789f0
を、委任された管理者アカウントのものと111122223333 に置き換えてください。detector-id
GuardDuty
S3 Protection を無効にするには、ENABLED
を DISABLED
に置き換えます。
お使いのアカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために S3 Protection を有効にします。
- Console
-
AWS Management Console にサインインし、https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。
GuardDuty 委任された管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインで、[S3 Protection] を選択します。
[S3 Protection] ページでは、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。
[アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。
[確認] を選択します。
- API/CLI
-
-
メンバーアカウントの S3 Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID
を使用して updateMemberDetectors API オペレーションを起動します。
-
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ず 12abc34d567e8fa901bc2d34e56789f0
を、委任された管理者アカウントのものと111122223333 に置き換えてください。detector-id
GuardDuty
S3 Protection を無効にするには、ENABLED
を DISABLED
に置き換えます。
お使いのアカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、組織に参加する新しいアカウントのために S3 Protection を有効にします。
- Console
-
GuardDuty 委任された管理者アカウントは、コンソールの S3 Protection ページまたは Accounts ページのどちらかを使用して、組織内の新しいメンバーアカウントを有効にできます。
- API/CLI
-
-
メンバーアカウントの S3 Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID
を使用して UpdateOrganizationConfiguration API オペレーションを起動します。
-
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、「メンバーアカウントを選択して RDS Protection を有効または無効にする」を参照してください。組織に参加する新しいアカウント (NEW
) もしくはすべてのアカウント (ALL
) のために、そのリージョンで保護プランを自動的に有効または無効にするか、または組織内のどのアカウントのためにも自動的に有効または無効にしない (NONE
) 詳細設定を行います。詳細については、「autoEnableOrganizationメンバー」を参照してください。必要に応じて、NEW
を ALL
または NONE
に置き換える必要がある場合があります。
アカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
--auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW
"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、メンバーアカウントのために S3 Protection を選択的に有効または無効にします。
- Console
-
https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。
GuardDuty 委任された管理者アカウントの認証情報を必ず使用してください。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。
[アカウント] ページで、[S3 Protection] 列でメンバーアカウントのステータスを確認します。
-
S3 Protection を選択的に有効または無効にするには
S3 Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンメニューで、[S3Pro] を選択し、適切なオプションを選択します。
- API/CLI
-
メンバーアカウントの S3 Protection を選択的に有効または無効にするには、自身のディテクター ID を使用し、updateMemberDetectors API オペレーションを実行します。次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、true
を false
に置き換えます。
お使いのアカウントと現在の地域に合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 123456789012
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
スクリプトを使用して新しいアカウントをオンボーディングし、新しいアカウントで S3 Protection を無効にする場合は、このトピックで説明されているように、オプションの dataSources
オブジェクトで createDetector API オペレーションを変更できます。
デフォルトでは、 AWS アカウント GuardDuty 初めて参加したときに S3 Protection が自動的に有効になります。
GuardDuty GuardDuty 新しいアカウントで初めて有効にする管理者アカウントで、S3 Protection をデフォルトで有効にしたくない場合は、features
オプションのオブジェクトで createDetectorAPI 操作を変更することで無効にできます。次の例では、を使用して S3 Protection GuardDuty を無効にして新しいディテクターを有効にします。 AWS CLI
aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'