マルウェアスキャンでサポートされている Amazon EBS ボリューム

• 暗号化されていないか、AWS マネージドキー で暗号化されている Amazon EBS ボリューム – GuardDuty は独自のキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。

  デフォルトで Amazon EBS 暗号化を使用して暗号化された Amazon EBS ボリュームのスキャンをリージョンがポートしていない場合は、デフォルトキーをカスタマーマネージドキーに変更する必要があります。これにより、GuardDuty はこれらの EBS ボリュームにアクセスできます。キーを変更することで、将来の EBS ボリュームでも更新されたキーを使用して作成され、GuardDuty がマルウェアスキャンをサポートできるようになります。デフォルトキーを変更するステップについては、次のセクションの「Amazon EBS ボリュームのデフォルト AWS KMS キー ID を変更する」を参照してください。

• カスタマーマネージドキーで暗号化された Amazon EBS ボリューム – GuardDuty は同じキーを使用してレプリカ EBS ボリュームを暗号化します。サポートされている AWS KMS 暗号化関連のポリシーについては、「Malware Protection for EC2 のためのサービスにリンクされたロールの許可」を参照してください。

Amazon EBS ボリュームのデフォルト KMS キー ID を変更するには

次のいずれかを行います:

• API の使用 - ModifyEbsDefaultKmsKeyId API を使用できます。ボリュームの暗号化ステータスを表示する方法については、「Amazon EBS ボリュームの作成」を参照してください。

• AWS CLI コマンドの使用 - 次の例では、KMS キー ID を指定しない場合に Amazon EBS ボリュームを暗号化するデフォルト KMS キー ID を変更します。必ずリージョンを KMS キー ID の AWS リージョン に置き換えてください。

  aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

  上記のコマンドは、次の出力と同様な出力を生成します。

  { 
    "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
  }

  詳細については、「modify-ebs-default-kms-key-id」を参照してください。