Malware Protection for S3 でのタグベースのアクセスコントロール (TBAC) の使用

バケットで Malware Protection for S3 を有効にする場合、オプションでタグ付けを有効にするように選択できます。選択したバケットに新しくアップロードされた S3 オブジェクトをスキャンしようとすると、 はスキャンされたオブジェクトにタグ GuardDuty を追加して、マルウェアスキャンのステータスを提供します。タグ付けを有効にすると、直接使用コストがかかります。詳細については、「Malware Protection for S3 の料金と使用コスト」を参照してください。

GuardDuty は、 キーを としてGuardDutyMalwareScanStatus、 値をマルウェアスキャンステータスの 1 つとする定義済みタグを使用します。これらの値の詳細については、「」を参照してくださいS3 オブジェクトの潜在的なスキャンステータスと結果ステータス。

が S3 オブジェクト GuardDuty にタグを追加する際の考慮事項：

• デフォルトでは、オブジェクトに最大 10 個のタグを関連付けることができます。詳細については、「Amazon S3 ユーザーガイド」の「タグを使用したストレージの分類」を参照してください。 Amazon S3

  10 個のタグがすべて既に使用されている GuardDuty 場合、スキャンされたオブジェクトに事前定義されたタグを追加することはできません。 GuardDuty は、スキャン結果をデフォルトの EventBridge イベントバスに発行します。詳細については、「Amazon による S3 オブジェクトスキャンのモニタリング EventBridge」を参照してください。

• 選択したIAMロールに S3 オブジェクト GuardDuty にタグ付けする のアクセス許可が含まれていない場合、保護されたバケットでタグ付けが有効になっていても、 GuardDuty はこのスキャンされた S3 オブジェクトにタグを追加できません。タグ付けに必要なIAMロールのアクセス許可の詳細については、「」を参照してください前提条件 - IAMロールポリシーを作成または更新する。

  GuardDuty は、スキャン結果をデフォルトの EventBridge イベントバスに発行します。詳細については、「Amazon による S3 オブジェクトスキャンのモニタリング EventBridge」を参照してください。

S3 バケットリソースTBACへの の追加

S3 バケットリソースポリシーを使用して、S3 オブジェクトのタグベースのアクセスコントロール (TBAC) を管理できます。特定のユーザーに S3 オブジェクトへのアクセスと読み取りを許可できます。を使用して作成された組織がある場合は AWS Organizations、 によって追加されたタグを誰も変更できないように強制する必要があります GuardDuty。詳細については、「 AWS Organizations ユーザーガイド」の「許可されたプリンシパルによるタグの変更の防止」を参照してください。リンクされたトピックで使用される例では、 に言及していますec2。この例を使用する場合は、ec2 s3 で。

次のリストでは、 を使用して何ができるかを説明しますTBAC。

• Malware Protection for S3 サービスプリンシパルを除くすべてのユーザーが、次のタグのキーと値のペアでまだタグ付けされていない S3 オブジェクトを読み取らないようにします。

  GuardDutyMalwareScanStatus:Potential key value

• スキャンされた S3 オブジェクト GuardDuty に、スキャン結果として値 GuardDutyMalwareScanStatus を持つタグキーのみを追加することを許可します。次のポリシーテンプレートでは、アクセス権を持つ特定のユーザーがタグのキーと値のペアを上書きできる可能性があります。

S3 バケットリソースポリシーの例：

置換 IAM-role-name バケットで Malware Protection for S3 の設定に使用した IAMロールを持つ 。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NoReadExceptForClean",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTag",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": "s3:PutObjectTagging",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

S3 リソースのタグ付けの詳細については、「タグ付けとアクセスコントロールポリシー」を参照してください。