Malware Protection プランのステータス詳細のトラブルシューティング - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection プランのステータス詳細のトラブルシューティング

保護されたバケットの場合、 はランク付けに基づいてステータス GuardDuty を表示します。例えば、保護されたバケットにエラーカテゴリと警告カテゴリの両方の問題がある場合、 GuardDuty はまずエラーステータスに関連付けられた問題を表示します。

次の表に、ステータスの詳細と、これらの問題を解決するための対応する手順を示します。

ステータス

問題

ステータスの詳細

トラブルシューティングの手順

警告

テストオブジェクトを配置できない

選択したバケットの設定を検証するために、 GuardDuty はテストオブジェクトをバケットに配置します。

選択した IAM ロールに次のアクセス許可を追加して、 が GuardDuty選択したリソースにテストオブジェクトを配置できるようにします。

{
         "Sid": "AllowPutValidationObject",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
           ],
         "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET/malware-protection-resource-validation-object"
           ]
}

DOC-EXAMPLE-BUCKET を Amazon S3 バケット名に置き換えます。IAM ロールのアクセス許可の詳細については、「」を参照してください前提条件 - IAM PassRole ポリシーを作成または更新する

ステータス列の値がアクティブ に変わるまでに数分かかる場合があります。

S3 セットアップの Malware Protection をモニタリングできない

IAM ロールに、このバケットの Malware Protection for S3 設定をモニタリング GuardDuty するための のアクセス許可がありません。

IAM ロールに次のアクセス許可を追加します。

{
         "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
         "Effect": "Allow",
         "Action": [
            "events:PutRule",
            "events:DeleteRule",
            "events:PutTargets",
            "events:RemoveTargets"
           ],
         "Resource": [
            "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
           ],
         "Condition": {
            "StringEquals": {
               "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
             }
         }
},
{
         "Sid": "AllowEnableS3EventBridgeEvents",
         "Effect": "Allow",
         "Action": [
              "s3:PutBucketNotification",
              "s3:GetBucketNotification"
           ],
           "Resource": [
              "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
           ]
}

ステータス列の値がアクティブ に変わるまでに数分かかる場合があります。

エラー

EventBridge この S3 バケットの通知は無効になっています。

GuardDuty は EventBridge 、新しいオブジェクトがこの S3 バケットにアップロードされたときに通知を受け取るために を使用します。このアクセス許可は IAM ロールにありません。

  • オプション 1: IAM ロールに次のアクセス許可ステートメントを追加します。

    {
          "Sid": "AllowEnableS3EventBridgeEvents",
          "Effect": "Allow",
          "Action": [
             "s3:PutBucketNotification",
             "s3:GetBucketNotification"
             ],
          "Resource": [
             "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
}

    DOC-EXAMPLE-BUCKET を Amazon S3 バケット名に置き換えます。

  • オプション 2: Amazon S3 コンソールを使用して EventBridge 通知を有効にする

    1. https://console.aws.amazon.com/s3/でAmazon S3 コンソールを開きます。

    2. バケット ページの汎用バケット タブで、このエラーに関連付けられたバケット名を選択します。

    3. このバケットページで、プロパティタブを選択します。

    4. Amazon EventBridge セクションで、編集 を選択します。

    5. Amazon の編集 EventBridge ページで、このバケット 内のすべてのイベント EventBridge について Amazon に通知を送信する でを選択します。

    6. [変更の保存] を選択します。

ステータス列の値がアクティブ に変わるまでに数分かかる場合があります。

EventBridge S3 バケットイベントを受信する マネージドルールがありません。

ルール設定を管理するための EventBridge マネージド EventBridge ルールのアクセス許可がありません。

IAM ロールに次のアクセス許可ステートメントを追加します。

{
         "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
        "Effect": "Allow",
        "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
        "Resource": [
           "arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
           ],
        "Condition": {
           "StringEquals": {
              "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
              }
           }
}

ステータス列の値がアクティブ に変わるまでに数分かかる場合があります。

この S3 バケットは存在しません。

この S3 バケットはアカウントから削除され、存在しなくなりました。

S3 バケットの削除が意図的なものでなかった場合は、Amazon S3 コンソールを使用して新しいバケットを作成できます。

バケットが正常に作成されたら、ページの手順に従って Malware Protection for S3 を有効にしますバケットの S3 の Malware Protection の設定