S3 GuardDuty データイベントの使用方法スタンドアロンアカウントの S3 Protection の設定。マルチアカウント環境での S3 Protection の設定

アマゾンにおけるAmazon S3保護 GuardDuty

S3 プロテクションは、Amazon がオブジェクトレベルの API オペレーションを含む Amazon Simple Storage Service (Amazon S3) GuardDuty AWS CloudTrail のデータイベントをモニタリングし、Amazon S3 バケット内のデータの潜在的なセキュリティリスクを特定するのに役立ちます。

GuardDuty AWS CloudTrail 管理イベントと AWS CloudTrail S3 データイベントの両方を監視して、Amazon S3 リソース内の潜在的な脅威を特定します。両方のデータソースでは、さまざまな種類のアクティビティについてモニタリングが行われます。S3 CloudTrail の管理イベントの例には、、ListBucketsDeleteBuckets、などの Amazon S3 バケットを一覧表示または設定するオペレーションがあります。PutBucketReplicationS3 CloudTrail のデータイベントの例には、、GetObjectListObjects、DeleteObjectなどのオブジェクトレベルの API オペレーションがあります。PutObject

で Amazon GuardDuty を有効にすると AWS アカウント、 GuardDuty CloudTrail 管理イベントのモニタリングを開始します。S3 データイベントのログインを手動で有効化または設定する必要はありません AWS CloudTrail。S3 プロテクション機能 (S3 CloudTrail のデータイベントをモニタリングする) は GuardDuty、Amazon AWS リージョン内のどのアカウントでもいつでも有効にできます。すでに有効になっている場合は GuardDuty、30 日間の無料試用期間で初めて S3 Protection を有効にできます。 AWS アカウント GuardDuty 初めて有効にする場合、S3 Protection はすでに有効になっており、この 30 日間の無料トライアルに含まれています。 AWS アカウント詳細については、「コストの見積もり GuardDuty 」を参照してください。

で S3 プロテクションを有効にすることをお勧めします。 GuardDuty GuardDuty この機能が有効になっていないと、Amazon S3 バケットを完全に監視したり、S3 バケットに保存されているデータへの疑わしいアクセスの検出結果を生成したりすることができません。

S3 GuardDuty データイベントの使用方法

S3 データイベント (S3 プロテクション) を有効にすると、すべての S3 バケットからの S3 GuardDuty データイベントの分析を開始し、悪意のあるアクティビティや疑わしいアクティビティがないか監視します。詳細については、「AWS CloudTrail S3 のデータイベント」を参照してください。

認証されていないユーザーが S3 オブジェクトにアクセスすると、その S3 オブジェクトはパブリックにアクセス可能であることを意味します。したがって、 GuardDutyはそのようなリクエストを処理しません。 GuardDuty 有効な IAM (AWS Identity and Access Management) または AWS STS (AWS Security Token Service) 認証情報を使用して S3 オブジェクトへのリクエストを処理します。

S3 GuardDuty データイベントモニタリングに基づいて潜在的な脅威を検出すると、セキュリティ結果が生成されます。Amazon S3 GuardDuty バケットについて生成できる結果のタイプについては、を参照してくださいGuardDuty S3 の検出結果タイプ。

S3 Protection を無効にすると、S3 バケットに保存されているデータの S3 GuardDuty データイベントモニタリングが停止されます。

スタンドアロンアカウントの S3 Protection の設定。

に関連付けられているアカウントの場合 AWS Organizations、このプロセスはコンソールの設定により自動化できます。詳細については、「マルチアカウント環境での S3 Protection の設定」を参照してください。

S3 Protection を有効または無効にするには

任意のアクセス方法を選択して、スタンドアロンアカウントのために S3 Protection を設定します。

マルチアカウント環境での S3 Protection の設定

マルチアカウント環境では、 GuardDuty 委任された管理者アカウントのみが、組織内のメンバーアカウントの S3 Protection AWS を設定 (有効または無効) できます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。 GuardDuty 委任された管理者アカウントは、 AWS Organizationsを使用してメンバーアカウントを管理します。 GuardDuty 委任された管理者アカウントは、S3 Protection を組織内のすべてのアカウントで自動的に有効にするか、新しいアカウントのみで有効にするか、まったく有効にしないかを選択できます。詳細については、「 AWS Organizationsを使用したアカウントの管理」を参照してください。

希望するアクセス方法を選択して、 GuardDuty 委任された管理者アカウントの S3 Protection を設定します。

Console

https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。

必ず管理アカウントの認証情報を使用してください。
ナビゲーションペインで、[S3 Protection] を選択します。
[S3 Protection] ページで、[編集] を選択します。
次のいずれかを行います。
[すべてのアカウントについて有効にする] の使用
- [すべてのアカウントについて有効にする] を選択します。これにより、 GuardDuty 組織に加入する新しいアカウントを含め、 AWS 組織内のすべてのアクティブなアカウントの保護プランが有効になります。
- [保存] を選択します。
[アカウントを手動で設定] の使用
- GuardDuty 委任された管理者アカウントでのみ保護プランを有効にするには、[アカウントを手動で構成する] を選択します。
- GuardDuty 委任管理者アカウント (このアカウント) セクションで [有効化] を選択します。
- [保存] を選択します。

API/CLI

GuardDuty 現在のリージョンの委任管理者アカウントのディテクタ ID updateDetectorを使用して実行し、featuresnameS3_DATA_EVENTSオブジェクトをまたはとして渡します。status ENABLED DISABLED

または、を使用して AWS Command Line Interface S3 プロテクションを設定することもできます。次のコマンドを実行し、必ず 12abc34d567e8fa901bc2d34e56789f0 を現在のリージョンの委任管理者アカウントのディテクタ ID に、5555555555555555 を委任された管理者アカウントの ID に置き換えてください。 GuardDuty AWS アカウント GuardDuty

お使いのアカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してくださいdetectorId。


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Console

https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。

管理者アカウントを使用してサインインします。
次のいずれかを行います。
[S3 Protection] ページの使用
1. ナビゲーションペインで、[S3 Protection] を選択します。
2. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について S3 Protection が自動的に有効になります。
3. [保存] を選択します。
  
  注記
  メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
[アカウント] ページの使用
1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。
2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。
3. [自動有効化の詳細設定を管理] ウィンドウで、[S3 Protection] の下の [すべてのアカウントについて有効にする] を選択します。
4. [保存] を選択します。
[すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントで S3 Protection を選択的に有効または無効にする」を参照してください。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ず 12abc34d567e8fa901bc2d34e56789f0 を、委任された管理者アカウントのものと111122223333 に置き換えてください。detector-id GuardDuty S3 Protection を無効にするには、ENABLED を DISABLED に置き換えます。

お使いのアカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
```
注記
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために S3 Protection を有効にします。

Console

AWS Management Console にサインインし、https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。

GuardDuty 委任された管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインで、[S3 Protection] を選択します。
[S3 Protection] ページでは、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。
[アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。
[確認] を選択します。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ず 12abc34d567e8fa901bc2d34e56789f0 を、委任された管理者アカウントのものと111122223333 に置き換えてください。detector-id GuardDuty S3 Protection を無効にするには、ENABLED を DISABLED に置き換えます。

お使いのアカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
```
注記
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織に参加する新しいアカウントのために S3 Protection を有効にします。

Console

GuardDuty 委任された管理者アカウントは、コンソールの S3 Protection ページまたは Accounts ページのどちらかを使用して、組織内の新しいメンバーアカウントを有効にできます。

新しいメンバーアカウントの S3 Protection を自動で有効にするには

https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。

GuardDuty 委任された管理者アカウントの認証情報を必ず使用してください。
次のいずれかを行います。
- [S3 Protection] ページの使用:
  1. ナビゲーションペインで、[S3 Protection] を選択します。
  2. [S3 Protection] ページで、[編集] を選択します。
  3. [アカウントを手動で設定] を選択します。
  4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために S3 Protection が自動的に有効になります。この構成を変更できるのは、 GuardDuty 組織の委任管理者アカウントだけです。
  5. [保存] を選択します。
- [Accounts] (アカウント) ページを使用する場合:
  1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。
  2. [アカウント] ページで、[自動有効化] 設定を選択します。
  3. [自動有効化の詳細設定を管理] ウィンドウで、[S3 Protection] の下の [新しいアカウントについて有効にする] を選択します。
  4. [保存] を選択します。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して UpdateOrganizationConfiguration API オペレーションを起動します。
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、「メンバーアカウントを選択して RDS Protection を有効または無効にする」を参照してください。組織に参加する新しいアカウント (NEW) もしくはすべてのアカウント (ALL) のために、そのリージョンで保護プランを自動的に有効または無効にするか、または組織内のどのアカウントのためにも自動的に有効または無効にしない (NONE) 詳細設定を行います。詳細については、「autoEnableOrganizationメンバー」を参照してください。必要に応じて、NEW を ALL または NONE に置き換える必要がある場合があります。

アカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'
```
注記
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、メンバーアカウントのために S3 Protection を選択的に有効または無効にします。

Console

https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。

GuardDuty 委任された管理者アカウントの認証情報を必ず使用してください。
ナビゲーションペインで、[Accounts] (アカウント) を選択します。

[アカウント] ページで、[S3 Protection] 列でメンバーアカウントのステータスを確認します。
S3 Protection を選択的に有効または無効にするには

S3 Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンメニューで、[S3Pro] を選択し、適切なオプションを選択します。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効または無効にするには、自身のディテクター ID を使用し、updateMemberDetectors API オペレーションを実行します。次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、true を false に置き換えます。

お使いのアカウントと現在の地域に合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId


 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

注記

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

注記

スクリプトを使用して新しいアカウントをオンボーディングし、新しいアカウントで S3 Protection を無効にする場合は、このトピックで説明されているように、オプションの dataSources オブジェクトで createDetector API オペレーションを変更できます。

重要

デフォルトでは、 AWS アカウント GuardDuty 初めて参加したときに S3 Protection が自動的に有効になります。

GuardDuty GuardDuty 新しいアカウントで初めて有効にする管理者アカウントで、S3 Protection をデフォルトで有効にしたくない場合は、featuresオプションのオブジェクトで createDetectorAPI 操作を変更することで無効にできます。次の例では、を使用して S3 Protection GuardDuty を無効にして新しいディテクターを有効にします。 AWS CLI


 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

GuardDuty エージェントのリリース履歴

機能

アマゾンにおけるAmazon S3保護 GuardDuty

S3 GuardDuty データイベントの使用方法

スタンドアロンアカウントの S3 Protection の設定。

S3 Protection を有効または無効にするには

注記

マルチアカウント環境での S3 Protection の設定

[すべてのアカウントについて有効にする] の使用

[アカウントを手動で設定] の使用

[S3 Protection] ページの使用

注記

[アカウント] ページの使用

注記

注記

新しいメンバーアカウントの S3 Protection を自動で有効にするには

注記

S3 Protection を選択的に有効または無効にするには

注記

注記

重要