GuardDuty でのオンデマンドマルウェアスキャンの開始 - Amazon GuardDuty
前提条件オンデマンドマルウェアスキャンを開始する

GuardDuty でのオンデマンドマルウェアスキャンの開始

このセクションでは、オンデマンドマルウェアスキャンを開始する前の前提条件と、リソースのスキャンを初めて開始するステップを示します。

GuardDuty 管理者アカウントは、アカウントに次の前提条件がセットアップされているアクティブなメンバーアカウントに代わり、オンデマンドマルウェアスキャンを開始できます。GuardDuty のスタンドアロンアカウントおよびアクティブなメンバーアカウントは、各自の Amazon EC2 インスタンスに対してオンデマンドマルウェアスキャンを開始することもできます。

前提条件

オンデマンドマルウェアスキャンを開始する前に、アカウントが以下の前提条件を満たす必要があります。

  • オンデマンドマルウェアスキャンを開始する AWS リージョン で GuardDuty を有効にする必要があります。

  • AWS 管理ポリシー: AmazonGuardDutyFullAccess_v2 (推奨) が IAM ユーザーまたは IAM ロールにアタッチされていることを確認します。IAM ユーザーまたは IAM ロールに関連付けされたアクセスキーおよびシークレットキーが必要になります。

  • 委任 GuardDuty 管理者アカウントは、アクティブなメンバーアカウントに代わってオンデマンドマルウェアスキャンを開始することができます。

  • オンデマンドマルウェアスキャンを開始する前に、過去 1 時間以内に同じリソースに対してスキャンが開始されていないことを確認してください。そうしないと、重複除外されます。詳細については、「以前にスキャンした Amazon EC2 インスタンスの再スキャン」を参照してください。

  • メンバーアカウントに「Malware Protection for EC2 のためのサービスにリンクされたロールの許可」がない場合、アカウントに属する Amazon EC2 インスタンスのオンデマンドマルウェアスキャンを開始すると、Malware Protection for EC2 に SLR が自動的に作成されます。

重要

マルウェアスキャンの進行中に、誰も Malware Protection for EC2 に対する SLR アクセス許可を削除しないようにしてください。このマルウェアスキャンは、GuardDuty によって開始することも、オンデマンドで開始することもできます。SLR を削除すると、スキャンが正常に完了できなくなり、明確なスキャン結果が得られなくなります。

オンデマンドマルウェアスキャンを開始する

アカウントでオンデマンドマルウェアスキャンを開始するには、GuardDuty コンソールまたは AWS CLI を使用します。スキャンを開始する Amazon EC2 Amazon リソースネーム (ARN) を指定する必要があります。詳細なステップは、次のセクションのコンソールと API/AWS CLI 手順の両方で説明されています。

任意のアクセス方法を選択して、オンデマンドマルウェアスキャンを開始します。

Console

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. 次のオプションのいずれかを使用してスキャンを開始します。

    1. [Malware Protection for EC2] ページの使用:

      1. ナビゲーションペインの [保護プラン] で、[Malware Protection for EC2] を選択します。

      2. [Malware Protection for EC2] ページで、スキャンを開始する [Amazon EC2 インスタンス ARN]1 を指定します。

    2. [マルウェアスキャン] ページの使用:

      1. ナビゲーションペインで、[マルウェアスキャン] を選択します。

      2. [オンデマンドスキャンを開始] を選択し、スキャンを開始する [Amazon EC2 インスタンス ARN]1 を指定します。

      3. 再スキャンの場合、[マルウェアスキャン] ページで [Amazon EC2] インスタンス ID を選択します。

        [オンデマンドスキャンの開始] ドロップダウンを展開し、[選択したインスタンスを再スキャン] を選択します。

  3. いずれかの方法でスキャンを正常に開始すると、スキャン ID が生成されます。このスキャン ID を使用して、スキャンの進行状況を追跡できます。詳細については、「スキャンステータスと結果の監視」を参照してください。

API/CLI

オンデマンドマルウェアスキャンを開始する Amazon EC2 インスタンス1resourceArn を受け入れる StartMalwareScan を呼び出します。

aws guardduty start-malware-scan --resource-arn "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"

スキャンを正常に開始すると、StartMalwareScanscanId を返します。DescribeMalwareScans を呼び出すと、開始されたスキャンの進行状況をモニタリングできます。

1Amazon EC2 インスタンス ARN の形式については、「Amazon リソースネーム (ARN)」を参照してください。Amazon EC2 インスタンスの場合、パーティション、リージョン、AWS アカウント ID、Amazon EC2 インスタンス ID の値を置き換えることで、次の ARN 形式の例を使用できます。インスタンス ID の長さについては、「リソース ID」を参照してください。

arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f

AWS Organizations サービスコントロールポリシー - アクセス拒否

AWS Organizations でサービスコントロールポリシー (SCP) を使用し、委任 GuardDuty 管理者アカウントはアクセス許可を制限してアカウントが所有する Amazon EC2 インスタンスにオンデマンドマルウェアスキャンの開始などのアクションを拒否できます。

GuardDuty メンバーアカウントは、Amazon EC2 インスタンスに対してオンデマンドマルウェアスキャンを開始すると、エラーが表示されることがあります。管理アカウントに接続して、メンバーアカウントに SCP がセットアップされた理由について説明します。詳細については、「許可に対する SCP の影響」を参照してください。