このページのトピック
APIを使用して File Storage Security にスタックを追加する
推奨設定
APIを使用する前に、 File Storage Security およびAWSのWebインタフェースを使用してスタックの配置を実行することをお勧めします。Webインタフェースを使用すると、配置パラメータ、概念、プロセスに対するユーザフレンドリーな紹介が可能になります。
Webインタフェースを使用した配信の手順については、 Getting startedを参照してください。
前提条件
- (オプション) AWSコマンドラインインタフェース(CLI)をインストールします。すべてのバージョンがサポートされています。
- スタックを作成します。
- APIキーを作成します。
-
リクエストを実行するたびに、ヘッダ内の認証とAPIバージョンが必要になります。
- Authorization Header
- Trend Micro Cloud One APIキーの場合:
- キー:
Authorization
- 値:
ApiKey <your api key value>
- キー:
- 従来のAPIキー(非推奨):
- キー:
api-secret-key
- 値:
<your api key value>
- キー:
- Trend Micro Cloud One APIキーの場合:
- APIバージョンヘッダ:
- キー:
api-version
- 値:
v1
- キー:
- Authorization Header
Trend Micro Cloud One APIキーの例:
GET /api/external-id HTTP/1.1
Authorization: ApiKey YOUR-API-KEY
Api-Version: v1
従来のAPIキーの例:
GET /api/filestorage/external-id HTTP/1.1
api-secret-key: YOUR-API-KEY
Api-Version: v1
ここで、 YOUR-API-KEY
は以前に生成したAPIキーに置き換えられます。
APIキーが有効な場合、API呼び出しは許可されます。そうでない場合は、403コードが返されます。
APIを使用してAll-in-one Stackを配信する
All-in-one Stackを配信するには
-
ScannerおよびStorage StackのARNを取得します
-
オプション1 - AWSコンソールで次の操作を実行します。
- CloudFormation > Stacks > All-in-one Stack > Outputs。
- ScannerStackManagementRoleARN および StorageStackManagementRoleARN の値をメモしておきます。
-
オプション2 - AWS CLIを介して:
- 次のAWS CLIコマンドを入力します。
aws cloudformation describe-stacks --stack-name ALLINONE-STACK-NAME --output json --query 'Stacks[0].Outputs'
ここで...
ALLINONE-STACK-NAME
はAll-in-one Stackの名前に置き換えられます。- コマンド出力で、
ScannerStackManagementRoleARN
およびStorageStackManagementRoleARN
の出力値をメモしておきます。
{ "OutputKey": "ScannerStackManagementRoleARN", "OutputValue": "arn:aws:iam::123456789012:role/FileStorageSecurity-All-In-One-Stac-ManagementRole-EWQZVJ9M19R6", "Description": "The ARN of the IAM role for File Storage Security backend services to manage the deployed resources." }, { "OutputKey": "StorageStackManagementRoleARN", "OutputValue": "arn:aws:iam::123456789012:role/FileStorageSecurity-All-In-One-Stac-ManagementRole-17O6WHFHH59YY", "Description": "The ARN of the IAM role for File Storage Security backend services to manage the deployed resources." },
-
-
File Storage SecurityにScanner StackとStorage Stackを追加します
まず、Scanner Stackを追加します。
-
Create Stack を呼び出し、リクエスト本文に
ScannerStackManagementRoleARN
出力値を含めます。Scanner Stackの作成が開始されます。
-
API応答の
stackID
をメモしておきます。これは、Scanner StackのIDです。 -
前の手順でメモしたScanner Stackの
stackID
を使用して Describe Stack を呼び出し、レスポンス本文のstatus
がok
になるまで呼び出し続けます。これで、Scanner Stackが追加されました。
Storage Stackを追加します。
- Create Stackを呼び出し、メモしておいた Scanner Stackの
stackID
および Storage StackのStorageStackManagementRoleARN
の出力値をリクエスト本文に含めます。
Storage Stackの作成が開始されます。
- Storage StackのIDであるAPIレスポンスの
stackID
をメモしておきます。 - 前の手順でメモしたStorage Stackの
stackID
を使用して Describe Stack を呼び出し、レスポンス本文のstatus
がok
になるまで呼び出し続けます。
スタックは個別に追加する必要があり、前述のようにStorage Stackの前にScanner Stackを追加する必要があります。 {: .note }
-
APIを使用してScanner Stackを配信する
Scanner Stackを配信するには
-
ScannerスタックのARNを取得します
-
オプション1 - AWSコンソールで次の操作を実行します。
- CloudFormation > Stacks > Scanner Stack > Outputs。
- ScannerStackManagementRoleARN の出力値をメモしておきます。
-
オプション2 - AWS CLIを介して:
-
次のAWS CLIコマンドを入力します。
aws cloudformation describe-stacks --stack-name SCANNER-STACK-NAME --output json --query 'Stacks[0].Outputs'
ここで...
SCANNER-STACK-NAME
は、Scanner Stackの名前に置き換えられます。- コマンド出力で、
ScannerStackManagementRoleARN
出力値をメモしておきます。
{ "OutputKey": "ScannerStackManagementRoleARN", "OutputValue": "arn:aws:iam::123456789012:role/FileStorageSecurity-Scanner-Stack-ManagementRole-17O6WHFHH59YY", "Description": "The ARN of the IAM role for File Storage Security backend services to manage the deployed resources." },
- (任意)コマンド出力で、
ScannerLambdaAliasARN
出力値をメモしておきます。
{ "OutputKey": "ScannerLambdaAliasARN", "OutputValue": "arn:aws:lambda:us-east-1:123456789012:function:FileStorageSecurity-Scanner-Stack-ScannerLambda-I9ni6ZtjUyuD:TM-FSS-MANAGED" },
- コマンド出力で、
-
-
-
File Storage SecurityにScanner Stackを追加します
-
Create Stack を呼び出し、 scanner stack
ScannerStackManagementRoleARN
出力値をリクエスト本文に含めます。Scanner Stackの作成が開始されます。
-
APIレスポンスの
stackID
をメモしておきます。これは、Scanner StackのIDです。 -
前の手順でメモしたScanner Stackの
stackID
を使用して Describe Stack を呼び出し、レスポンス本文のstatus
がok
になるまで呼び出し続けます。これで、Scanner Stackが追加されました。
-
-
(オプション)ScanResultTopic SNS暗号化を有効にする場合はKMSキーポリシーを更新します
- この手順を実行する必要があるのは、 Scanner Stackとは別のAWSアカウントに Storage Stackを配置する場合のみです。
-
次のAWS CLIコマンドを入力します。
aws kms get-key-policy --key-id KMS-MASTER-KEY-ARN-FOR-SNS --policy-name default --output text > key-policy.json
ここで...
KMS-MASTER-KEY-ARN-FOR-SNS
は、SNS ScanResultTopicの暗号化に使用されるKMSキーのARNに置き換えられます。 -
key-policy.jsonを編集し、新しい Statement オブジェクトを挿入します。
{ "Sid": "Grant Scanner permission", "Effect": "Allow", "Principal": { "AWS":
}, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" } ここで...
ScannerExecutionRoleARN
Scanner Stackで、scannerExecutionRoleのARNに置き換えられます。 -
次のAWS CLIコマンドを入力します。
aws kms put-key-policy --key-id KMS-MASTER-KEY-ARN-FOR-SNS --policy-name default --policy file://key-policy.json
KMS-MASTER-KEY-ARN-FOR-SNS
は、SNS ScanResultTopicの暗号化に使用されるKMSキーのARNに置き換えられます。
APIを使用してアカウントScanner Stackをデプロイする
アカウントScanner Stackを配信するには
-
Scanner StackのARNを取得します
-
オプション1 - AWSコンソールから:
- [CloudFormation]→[スタック]→[スキャナスタック]→[ Outputs] の順に選択します。
- AccountScannerStackManagementRoleARN の出力値を書き留めます。
-
オプション2 - AWS CLI経由:
-
次のAWS CLIコマンドを入力します。
aws cloudformation describe-stacks --stack-name SCANNER-STACK-NAME --output json --query 'Stacks[0].Outputs'
ここで...
SCANNER-STACK-NAME
はScanner Stackの名前に置き換えられます。-
コマンド出力で、
AccountScannerStackManagementRoleARN
の出力値を書き留めます。{ "OutputKey": "AccountScannerStackManagementRoleARN", "OutputValue": "arn:aws:iam::123456789012:role/FileStorageSecurity-Scanner-Stack-ManagementRole-17O6WHFHH59YY", "Description": "The ARN of the IAM role for File Storage Security backend services to manage the deployed resources." },
-
-
-
-
File Storage SecurityにScanner Stackの追加します
-
スタックの作成 を呼び出し、scanner stackの
AccountScannerStackManagementRoleARN
の出力値をリクエスト本文に含めます。Scanner Stackの作成が開始されます。
-
APIレスポンスの
stackID
をメモします。これは、アカウントScannerスタックのIDです。 -
前の手順でメモしたアカウント
stackID
を使用して Describe Stack を呼び出し、レスポンス本文のstatus
がok
になるまで呼び出しを続けます。これで、アカウントScanner Stackが追加されました。
-
APIを使用してStorage Stackを配信する
Storage Stackを展開するには
-
Storage StackのARNを取得します
-
オプション1 - AWSコンソールで次の操作を実行します。
- CloudFormation > Stacks > Storage Stack > Outputsに移動します。
- StorageStackManagementRoleARN 出力値をメモしておきます。
- (オプション) BucketListenerRoleARN の出力値をメモしておきます。
-
オプション2 - AWS CLIを介して:
-
次のAWS CLIコマンドを入力します。
aws cloudformation describe-stacks --stack-name STORAGE-STACK-NAME --output json --query 'Stacks[0].Outputs'
ここで...
STORAGE-STACK-NAME
がStorage Stackの名前に置き換えられました。 -
コマンド出力で、
StorageStackManagementRoleARN
出力値をメモしておきます。{ "OutputKey": "StorageStackManagementRoleARN", "OutputValue": "arn:aws:iam::123456789012:role/FileStorageSecurity-All-In-One-Stac-ManagementRole-17O6WHFHH59YY", "Description": "The ARN of the IAM role for File Storage Security backend services to manage the deployed resources." },
-
(任意)コマンド出力で、
BucketListenerRoleARN
出力値をメモしておきます。{ "OutputKey": "BucketListenerRoleARN", "OutputValue": "arn:aws:iam::123456789012:role/FileStorageSecurity-All-In-One-BucketListenerExecutionR-5RKPKU3L3P3C" },
-
-
-
Storage Stackを File Storage Securityに追加します
- List Stacks を呼び出し、Scanner stackの
stackID
を取得します。 -
Create Stack を呼び出し、scanner stackの
stackID
と Storage stackのStorageStackManagementRoleARN
出力値をリクエスト本文に含めます。Storage Stackの作成が開始されます。
-
Storage StackのIDであるAPIレスポンスの
stackID
をメモしておきます。 -
前の手順でメモしたStorage Stackの
stackID
を使用して Describe Stack を呼び出し、レスポンス本文のstatus
がok
になるまで呼び出し続けます。Storage Stackが追加されました。
- List Stacks を呼び出し、Scanner stackの
-
(オプション)スキャナキューの暗号化を有効にする場合は、KMSキーポリシーを更新します。
- この手順は、Storage StackをScanner Stackとは別のAWSアカウントに配置する場合にのみ必要です。また、SQSキューのサーバ側の暗号化も有効にする必要があります。
-
次のAWS CLIコマンドを入力します。
aws kms get-key-policy --key-id KMS-MASTER-KEY-ARN-FOR-SQS --policy-name default --output text > key-policy.json
ここで...
KMS-MASTER-KEY-ARN-FOR-SQS
SQS暗号化を使用して、KMSキーのARNに置き換えられます。 -
key-policy.jsonを編集し、新しい Statement オブジェクトを挿入します。
{ "Sid": "Grant bucketListener permission", "Effect": "Allow", "Principal": { "AWS":
}, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" } ここで...
BucketListenerRoleARN
Storage Stack内のbucketListenerのARNに置き換えられます。 -
次のAWS CLIコマンドを入力します。
aws kms put-key-policy --key-id KMS-MASTER-KEY-ARN-FOR-SQS --policy-name default --policy file://key-policy.json
KMS-MASTER-KEY-ARN-FOR-SQS
SQS暗号化を使用して、KMSキーのARNに置き換えられます。