Amazon S3 機能のサポート状況 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 機能のサポート状況

次の表に、Malware Protection for S3 がリストされている Amazon S3 機能をサポートしているかどうかを示します。

S3 機能の名前 サポートが受けられるか 説明

S3 ストレージクラス - S3 Standard

S3 ストレージクラス - S3 Standard-Infrequent Access

S3 ストレージクラス - S3 One Zone-Infrequent Access

S3 ストレージクラス - S3 Glacier Instant Retrieval

はい

S3 オブジェクトは、非同期に復元しなくても取得できます。

S3 ストレージクラス - S3 Intelligent-Tiering

条件付き

  • S3 オブジェクトの場合、頻度、低頻度、アーカイブインスタンスアクセスの各階層で Intelligent Tiering のサポートを受けられます。

  • オプトインアーカイブ階層とディープアーカイブ階層はサポートされていません。

  • Intelligent Tiering は、常に高頻度アクセス階層に新しいオブジェクトを作成します。このため、作成時オブジェクトスキャンがサポートされています。

  • Intelligent Tiering 機能は今後、アーカイブ内のオブジェクトから始まる可能性があります。そのため、これはサポートされていません。

S3 ストレージクラス - S3 Express One Zone (ディレクトリバケット)

なし

GuardDuty は、Malware Protection for S3 の汎用バケットのみをサポートします。

S3 ストレージクラス - S3 Glacier Flexible Retrieval

S3 ストレージクラス - S3 Glacier Deep Archive

なし

S3 オブジェクトにアクセスするには、事前に復元しておく必要があります。

Amazon S3 on Outposts

なし

Malware Protection for S3 は、Outposts ではサポートされていません。

S3 バージョニング

はい

アップロードされたすべての S3 オブジェクトが、マルウェアがないかスキャンされます。ファイルバージョン v1 でオブジェクトをアップロードした後、すぐに v2 で上書きした別のバージョンをアップロードした場合は、ファイルバージョン v1 と v2 の両方のオブジェクトがスキャンされます。ただし、スキャン開始時刻が同じ順序になるとは限りません。

S3 レプリケーション - レプリケートされたオブジェクトのスキャン

はい

レプリケート先のバケットが保護されたリソースである場合、すべての S3 オブジェクトがスキャンされてから、保護およびモニタリングの対象であるプレフィックスにレプリケートされます。

S3 レプリケーション: スキャン結果タグに基づくレプリケート

なし

レプリケーションルールをスキャン結果タグに基づいて定義することはできません。Amazon S3 は、作成時を除き、タグのレプリケーションをサポートしていません。

データ暗号化 - S3-SSE

データ暗号化 - SSE-KMS

データ暗号化 - DSSE-KMS

AWS KMS - カスタマーマネージドキー

はい

GuardDuty は、マネージドキーおよびカスタマーマネージドキーで暗号化された S3 オブジェクトのマルウェアスキャンをサポートしています。こうしたキーを使用するためのアクセス許可を IAM ロールに必ず含めてください。詳細については、「IAM ポリシーのアクセス許可の追加」を参照してください。

データ暗号化 - SSE-C

なし

Malware Protection for S3 は、アクセスできないキーで暗号化された S3 オブジェクトのスキャンをサポートしていません。

クライアント側の暗号化

なし

Amazon S3 Encryption Client を使用して Amazon S3 オブジェクトを暗号化すると、そのオブジェクトが AWS を含め第三者に公開されることはありません。これがサポートされていない理由の詳細については、「クライアント側の暗号化を使用したデータの保護」を参照してください。

注記

CSE-KMS 暗号化オブジェクトは暗号化を判別できない暗号化された BLOB として受信されます。したがって、GuardDuty はそれらを受信するとすぐに処理し、暗号化された BLOB を通常のファイルとしてスキャンします。GuardDuty は、Malware Protection for S3 のクォータ のいずれかが超過しない限り、そのようなオブジェクトの UNSUPPORTED スキャンステータスを返しません。

S3 オブジェクトのロックとリーガルホールド

はい

ロックされた S3 オブジェクトは、Write Once Read Many (WORM) に基づいてロックされます。Malware Protection for S3 は、こうしたオブジェクトにアクセスしてスキャンできます。

リクエスタ支払い

はい

Malware Protection for S3 では、リクエスタ支払いで設定されたバケットをスキャンできます。リクエスタは、S3 の呼び出しに対して料金を支払います。詳細については、「Amazon S3 ユーザーガイド」の「ストレージ転送と使用量のリクエスタ支払いバケットの使用」を参照してください。

S3: ストレージライフサイクル

はい

ライフサイクルポリシーをスキャン結果タグに基づいて定義できます。例えば、悪意のあるオブジェクトを自動的に削除します。ライフサイクル設定の詳細については、「Amazon S3 ユーザーガイド」の「ストレージライフサイクルの管理」を参照してください。

S3: タグベースのアクセスコントロール (TBAC)

はい

バケットリソースポリシーを S3 オブジェクトスキャン結果タグに基づいて定義できます。例えば、まだスキャンされていない S3 オブジェクトや GuardDuty で検出された脅威へのアクセスを防ぎます。詳細については、「Malware Protection for S3 によるタグベースのアクセスコントロール (TBAC) の使用」を参照してください。