が S3 データイベント GuardDuty を使用する方法スタンドアロンアカウントの S3 Protection の設定。マルチアカウント環境での S3 Protection の設定

Amazon での Amazon S3 Protection GuardDuty

S3 Protection は、オブジェクトレベルのAPIオペレーションを含む Amazon Simple Storage Service (Amazon S3) AWS CloudTrail のデータイベントを Amazon が GuardDuty モニタリングして、Amazon S3 バケット内のデータの潜在的なセキュリティリスクを特定するのに役立ちます。

GuardDuty は AWS CloudTrail 、管理イベントと AWS CloudTrail S3 データイベントの両方をモニタリングして、Amazon S3 リソース内の潜在的な脅威を特定します。両方のデータソースでは、さまざまな種類のアクティビティについてモニタリングが行われます。S3 CloudTrail の管理イベントの例には、、、などの Amazon S3 バケットを一覧表示または設定するオペレーションが含まれますListBucketsDeleteBucketsPutBucketReplication。S3 CloudTrail のデータイベントの例には、、GetObject、、などのオブジェクトレベルのAPIオペレーションListObjectsDeleteObjectが含まれますPutObject。

GuardDuty で Amazon を有効にすると AWS アカウント、は CloudTrail 管理イベントのモニタリング GuardDuty を開始します。で S3 データイベントログを手動で有効化または設定する必要はありません AWS CloudTrail。S3 Protection 機能 (S3 CloudTrail のデータイベントをモニタリングする機能) は GuardDuty、Amazon 内でこの機能 AWS リージョンが利用可能なの任意のアカウントでいつでも有効にできます。既にを有効に AWS アカウントしているでは GuardDuty、30 日間の無料トライアル期間で初めて S3 Protection を有効にできます。を初めて有効に AWS アカウントする GuardDuty の場合、S3 Protection は既に有効になっており、この 30 日間の無料トライアルに含まれています。詳細については、「 GuardDuty コストの見積もり」を参照してください。

で S3 Protection を有効にすることをお勧めします GuardDuty。この機能が有効になっていない場合、は Amazon S3 バケットを完全にモニタリングしたり、S3 バケットに保存されているデータへの疑わしいアクセスに関する検出結果を生成したり GuardDuty することはできません。

が S3 データイベント GuardDuty を使用する方法

S3 データイベント (S3 Protection) を有効にすると、 GuardDuty はすべての S3 バケットから S3 データイベントを分析し、悪意のあるアクティビティや疑わしいアクティビティがないか監視します。詳細については、「AWS CloudTrail S3 のデータイベント」を参照してください。

認証されていないユーザーが S3 オブジェクトにアクセスすると、その S3 オブジェクトはパブリックにアクセス可能になります。したがって、 GuardDuty はそのようなリクエストを処理しません。は有効な IAM (AWS Identity and Access Management) または AWS STS （AWS Security Token Service) 認証情報を使用して S3 オブジェクトに対して行われたリクエスト GuardDuty を処理します。

が S3 データイベントのモニタリングに基づいて潜在的な脅威 GuardDuty を検出すると、セキュリティ上の検出結果が生成されます。Amazon S3 バケットに対して生成 GuardDuty できる検出結果のタイプについては、「」を参照してくださいGuardDuty S3 検索タイプ。

S3 Protection を無効にすると、は S3 バケットに保存されているデータの S3 データイベントモニタリングを GuardDuty 停止します。

スタンドアロンアカウントの S3 Protection の設定。

によって関連付けられたアカウントの場合 AWS Organizations、このプロセスはコンソール設定を使用して自動化できます。詳細については、「マルチアカウント環境での S3 Protection の設定」を参照してください。

S3 Protection を有効または無効にするには

任意のアクセス方法を選択して、スタンドアロンアカウントのために S3 Protection を設定します。

マルチアカウント環境での S3 Protection の設定

マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントの S3 Protection を設定 (有効または無効に) できます AWS 。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、を使用してメンバーアカウントを管理します AWS Organizations。委任された GuardDuty 管理者アカウントは、組織内のすべてのアカウントで S3 Protection を自動的に有効にするか、新しいアカウントのみで有効にするか、組織内のアカウントなしで有効にするかを選択できます。詳細については、「 AWS Organizationsを使用したアカウントの管理」を参照してください。

任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの S3 Protection を設定します。

Console

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

必ず管理アカウントの認証情報を使用してください。
ナビゲーションペインで、[S3 Protection] を選択します。
[S3 Protection] ページで、[編集] を選択します。
次のいずれかを行います。
[すべてのアカウントについて有効にする] の使用
- [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しい GuardDuty アカウントを含め、組織内のすべてのアクティブなアカウントの保護プランが有効になります。
- [保存] を選択します。
[アカウントを手動で設定] の使用
- 委任された GuardDuty 管理者アカウントアカウントに対してのみ保護プランを有効にするには、アカウントを手動で設定 を選択します。
- 委任 GuardDuty 管理者アカウント (このアカウント） セクションで 有効化 を選択します。
- [保存] を選択します。

API/CLI

現在のリージョンの委任 GuardDuty 管理者アカウントのディテクター ID updateDetectorを使用してを実行し、featuresオブジェクトを nameとしてS3_DATA_EVENTS、 statusとして渡しますENABLED。

または、を使用して S3 Protection を設定することもできます AWS Command Line Interface。次のコマンドを実行し、必ずを置き換えてください。12abc34d567e8fa901bc2d34e56789f0 現在のリージョンの委任 GuardDuty 管理者アカウントのディテクター ID と 555555555555 を委任された GuardDuty 管理者アカウントの AWS アカウント ID に置き換えます。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'

Console

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

管理者アカウントを使用してサインインします。
次のいずれかを行います。
[S3 Protection] ページの使用
1. ナビゲーションペインで、[S3 Protection] を選択します。
2. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について S3 Protection が自動的に有効になります。
3. [保存] を選択します。
  
  注記
  メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
[アカウント] ページの使用
1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。
2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。
3. [自動有効化の詳細設定を管理] ウィンドウで、[S3 Protection] の下の [すべてのアカウントについて有効にする] を選択します。
4. [保存] を選択します。
[すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントで S3 Protection を選択的に有効または無効にする」を参照してください。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効または無効にするには、独自のを使用して updateMemberDetectorsAPIオペレーションを呼び出します。detector ID.
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ずを置き換えてください。12abc34d567e8fa901bc2d34e56789f0 委任された GuardDuty 管理者アカウントの detector-id と、111122223333。 S3 Protection を無効にするには、 ENABLEDをに置き換えますDISABLED。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
```
注記
スペースでIDs区切られたアカウントのリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために S3 Protection を有効にします。

Console

にサインイン AWS Management Console し、で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインで、[S3 Protection] を選択します。
[S3 Protection] ページでは、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。
[アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。
[確認] を選択します。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効または無効にするには、独自のを使用して updateMemberDetectorsAPIオペレーションを呼び出します。detector ID.
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ずを置き換えてください。12abc34d567e8fa901bc2d34e56789f0 委任された GuardDuty 管理者アカウントの detector-id と、111122223333。 S3 Protection を無効にするには、 ENABLEDをに置き換えますDISABLED。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
```
注記
スペースでIDs区切られたアカウントのリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織に参加する新しいアカウントのために S3 Protection を有効にします。

Console

委任された GuardDuty 管理者アカウントは、S3 Protection または Accounts ページを使用して、コンソールから組織内の新しいメンバーアカウントに対してを有効にできます。

新しいメンバーアカウントの S3 Protection を自動で有効にするには

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

委任された GuardDuty 管理者アカウントの認証情報を使用してください。
次のいずれかを行います。
- [S3 Protection] ページの使用:
  1. ナビゲーションペインで、[S3 Protection] を選択します。
  2. [S3 Protection] ページで、[編集] を選択します。
  3. [アカウントを手動で設定] を選択します。
  4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために S3 Protection が自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。
  5. [保存] を選択します。
- [Accounts] (アカウント) ページを使用する場合:
  1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。
  2. [アカウント] ページで、[自動有効化] 設定を選択します。
  3. [自動有効化の詳細設定を管理] ウィンドウで、[S3 Protection] の下の [新しいアカウントについて有効にする] を選択します。
  4. [保存] を選択します。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効または無効にするには、独自のを使用して UpdateOrganizationConfigurationAPIオペレーションを呼び出します。detector ID.
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、「メンバーアカウントの RDS Protection を選択的に有効または無効にする」を参照してください。組織に参加する新しいアカウント (NEW) もしくはすべてのアカウント (ALL) のために、そのリージョンで保護プランを自動的に有効または無効にするか、または組織内のどのアカウントのためにも自動的に有効または無効にしない (NONE) 詳細設定を行います。詳細については、autoEnableOrganization「メンバー」を参照してください。必要に応じて、NEW を ALL または NONE に置き換える必要がある場合があります。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'
```
注記
スペースでIDs区切られたアカウントのリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、メンバーアカウントのために S3 Protection を選択的に有効または無効にします。

Console

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

委任された GuardDuty 管理者アカウントの認証情報を使用してください。
ナビゲーションペインで、[Accounts] (アカウント) を選択します。

[アカウント] ページで、[S3 Protection] 列でメンバーアカウントのステータスを確認します。
S3 Protection を選択的に有効または無効にするには

S3 Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンメニューで、[S3Pro] を選択し、適切なオプションを選択します。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効または無効にするには、独自のディテクター ID を使用して updateMemberDetectors API オペレーションを実行します。次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、true を false に置き換えます。


 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

注記

スクリプトを使用して新しいアカウントをオンボーディングし、新しいアカウントで S3 Protection を無効にする場合は、このトピックで説明されているように、オプションの dataSources オブジェクトを使用して createDetector API オペレーションを変更できます。

重要

デフォルトでは、 AWS アカウント S3 Protection はその結合 GuardDuty に対して初めて自動的に有効になります。

新しいアカウント GuardDuty でを初めて有効にする GuardDuty 管理者アカウントで、S3 Protection をデフォルトで有効にしない場合は、オプションの features オブジェクトで createDetector API オペレーションを変更することで無効にできます。次の例では、を使用して AWS CLI 、S3 Protection が無効になっている新しい GuardDuty ディテクターを有効にします。


 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

無効化の影響

機能

Amazon での Amazon S3 Protection GuardDuty

が S3 データイベント GuardDuty を使用する方法

スタンドアロンアカウントの S3 Protection の設定。

S3 Protection を有効または無効にするには

注記

マルチアカウント環境での S3 Protection の設定

[すべてのアカウントについて有効にする] の使用

[アカウントを手動で設定] の使用

[S3 Protection] ページの使用

注記

[アカウント] ページの使用

注記

注記

新しいメンバーアカウントの S3 Protection を自動で有効にするには

注記

S3 Protection を選択的に有効または無効にするには

注記

注記

重要