アカウントScanner Stackは、一度のデプロイでアカウント内のすべてのバケットを保護する必要があるエンタープライズユーザ向けに設計されています。アカウントのすべてのリージョンにあるすべてのS3バケットを検索できます。

アーキテクチャ

次のアーキテクチャ図は、アカウント Scanner Stack と情報フローを示しています。
arch-aws-account-scanner=b6dbf19b-a631-442f-bfeb-772b6239da16.png
現在、Trend Cloud One File Storage Securityでは、UIからのアカウントScanner Stackの配信はサポートされていません。アカウントScanner Stackをデプロイするには、 Cloud One File Storage Security APIとAWS CLIを使用する必要があります。
  1. S3バケットのAmazon EventBridgeを有効にして、アカウントScanner Stackによるオブジェクトのスキャンをトリガーします。手順については、Amazon EventBridgeを有効にするを参照してください。
  2. APIキーを作成
  3. アカウントScanner Stackをデプロイするためのテンプレートとパラメータを取得するには、Describe Stack Deployment Templateを呼び出します。
    応答は次のようになります。
    {
   "templateURL": "https://file-storage-security.s3.amazonaws.com/latest/templates/FSS-Account-Scanner-Stack.template",
   "parameters": [
        {
            "key": "CloudOneRegion",
            "value": "us-1"
        },
        {
            "key": "ExternalID",
            "value": "123456789012"
        }
    ],
    "createStackURL": "https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateUrl=https%3A%2F%2Ffile-storage-security.s3.amazonaws.com%2Flatest%2Ftemplates%2FFSS-Account-Scanner-Stack.template&stackName=Account-Scanner-TM-FileStorageSecurity¶m_ExternalID=123456789012¶m_CloudOneRegion=us-1"
}
  4. AWS CLIを使用してアカウントScanner Stackを作成します。 
    aws cloudformation create-stack \
    --stack-name ACCOUNT-SCANNER-STACK-NAME \
    --region REGION \
    --template-url TEMPLATE_URL \
    --parameters \
        ParameterKey=CloudOneRegion,ParameterValue=CLOUD-ONE-REGION \
        ParameterKey=ExternalID,ParameterValue=EXTERNAL-ID \
        ParameterKey=EnableCrossAccountScanning,ParameterValue=ENABLE-CROSS-ACCOUNT-SCANNING \
        ParameterKey=KMSKeyARNForDLQSSE,ParameterValue=KMS-MASTER-KEY-ARN-FOR-DLQ \
        ParameterKey=KMSKeyARNForTopicSSE,ParameterValue=KMS-MASTER-KEY-ARN-FOR-TOPIC \
        ParameterKey=KMSKeyARNsForBucketSSE,ParameterValue=LIST-OF-KMS-MASTER-KEY-ARNS-FOR-BUCKETS \
        ParameterKey=ReportObjectKey,ParameterValue=REPORT-OBJECT-KEY \
        ParameterKey=ObjectCreatedEventFilter,ParameterValue=OBJECT-CREATED-EVENT-FILTER \
        ParameterKey=ScanResultTagFormat,ParameterValue=SCAN-RESULT-TAG-FORMAT \
        ParameterKey=QuarantineBucket,ParameterValue=QUARANTINE-BUCKET \
    --capabilities CAPABILITY_NAMED_IAM
    各要素の説明は次のとおりです。
    • ACCOUNT-SCANNER-STACK-NAME はスタックの名前で置き換えられます。任意の名前を使用できます。 例: 
      Account-Scanner-TM-FileStorageSecurity
    • REGIONは、スタックをインストールする地域に置き換えます。スキャンしたいS3バケットを含む地域の1つを選択してください。サポートされている地域については、サポートされている地域はどこですか?を参照してください。例: 
      ap-east-2
      または 
      us-west-2
    • TEMPLATE_URLは前のステップでAPIのレスポンス内の"templateURL"フィールドの値に置き換えられます。例: 
      https://file-storage-security.s3.amazonaws.com/latest/templates/FSS-Account-Scanner-Stack.template
    • CLOUD-ONE-REGIONは、「key」フィールドが「CloudOneRegion」である「value」フィールドの値に置き換えられます。サポートされているCloud Oneリージョンのいずれかである必要があります。例: 
      us-1
    • EXTERNAL-IDは、「key」フィールドが「ExternalID」である「value」フィールドの値に置き換えられます。例: 
      123456789012
    • ENABLE-CROSS-ACCOUNT-SCANNINGはtrueまたはfalseに置き換えられます。他のAWSアカウントのS3バケットを検索する場合は、これを有効にします。 AWSアカウントは、同じAWS組織に属している必要があります。
    • KMS-MASTER-KEY-ARN-FOR-DLQは、Scanner StackのSQSキュー内のメッセージの暗号化に使用されるKMSマスターキーのARNに置き換えられます。 SQSでSSE-KMSを有効にしていない場合は、空白のままにします。
    • KMS-MASTER-KEY-ARN-FOR-TOPICは、Scanner StackのSNSトピックに公開されるメッセージの暗号化に使用されるKMSマスターキーのARNに置き換えられます。 SSE-KMS for SNSを有効にしていない場合は、空白のままにします。
    • LIST-OF-KMS-MASTER-KEY-ARNS-FOR-BUCKETSは、S3バケット内のオブジェクトの暗号化に使用されるKMSマスターキーのARNに置き換えられます。カンマ区切りのリストである必要があります。S3バケットでSSE-KMSを有効にしていない場合は、空白のままにします。例: 
      arn:aws:kms:::key/\,arn:aws:kms:::key/
      . コンマは「\」でエスケープすることを忘れないでください。
    • REPORT-OBJECT-KEYはtrueまたはfalseに置き換えられます。スキャンしたオブジェクトのオブジェクトキーをFile Storage Securityバックエンドサービスにレポートするには、これを有効にします。これにより、 File Storage Securityでは、イベントAPIの応答で不正オブジェクトのオブジェクトキーを表示できます。
    • OBJECT-CREATED-EVENT-FILTERは、Scanner Stack内のEventBridgeルールのイベントパターンの一部であるJSON文字列に置き換えられます。フィルタ文字列は、S3 Object Createdイベントの「details」キーの内容をフィルタするために使用されます。AWS公式ドキュメントのAmazon EventBridgeのイベントパターンを参照してください。例: 
      {"bucket":{"name":[{"prefix": "example-"}]}}
    • SCAN-RESULT-TAG-FORMATは、タグの利用可能な形式の1つに置き換えられます: 
      Separated tags
      , 
      Merged tag
      および 
      No tag
      . 詳細については、タグの表示を参照してください。
    • QUARANTINE-BUCKETは、不正なオブジェクトの隔離に使用されるS3バケットの名前に置き換えられます。隔離を無効にするには、このパラメータを空白のままにします。バケットリージョンは、アカウントScanner Stackと同じリージョンである必要があります。
    • CAPABILITY_NAMED_IAMはそのままです。
  5. APIを使用して、アカウントのScanner StackをFile Storage Securityに追加します