目次
このページのトピック
アーキテクチャ {#ArchFlow} 次のアーキテクチャ図は、アカウント検索Scanner Stackと情報フローを示しています。

アカウントScanner Stackの配信

アカウントScanner Stackは、一度のデプロイでアカウント内のすべてのバケットを保護する必要があるエンタープライズユーザ向けに設計されています。アカウントのすべてのリージョンにあるすべてのS3バケットを検索できます。

アーキテクチャ {#ArchFlow} 次のアーキテクチャ図は、アカウント検索Scanner Stackと情報フローを示しています。 アーキテクチャ図

現在、Trend Cloud One File Storage Securityでは、UIからのアカウントScanner Stackの配信はサポートされていません。アカウントScanner Stackをデプロイするには、 Cloud One File Storage Security APIとAWS CLIを使用する必要があります。

  1. S3バケットのAmazon EventBridgeを有効にして、アカウントScanner Stackによるオブジェクトのスキャンをトリガーします。手順については、「 Amazon EventBridgeを有効にする」を参照してください。
  2. APIキーを作成します
  3. アカウントScanner Stackをデプロイするためのテンプレートとパラメータを取得するには、 Describe Stack Deployment Templateを呼び出します。

    応答は次のようになります。

    { "templateURL": "https://file-storage-security.s3.amazonaws.com/latest/templates/FSS-Account-Scanner-Stack.template", "parameters": [ { "key": "CloudOneRegion", "value": "us-1" }, { "key": "ExternalID", "value": "123456789012" } ], "createStackURL": "https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateUrl=https%3A%2F%2Ffile-storage-security.s3.amazonaws.com%2Flatest%2Ftemplates%2FFSS-Account-Scanner-Stack.template&stackName=Account-Scanner-TM-FileStorageSecurity&param_ExternalID=123456789012&param_CloudOneRegion=us-1" }
  4. AWS CLIを使用してアカウントScanner Stackを作成します。
    
aws cloudformation create-stack \
    --stack-name ACCOUNT-SCANNER-STACK-NAME \
    --region REGION \
    --template-url TEMPLATE_URL \
    --parameters \
        ParameterKey=CloudOneRegion,ParameterValue=CLOUD-ONE-REGION \
        ParameterKey=ExternalID,ParameterValue=EXTERNAL-ID \
        ParameterKey=EnableCrossAccountScanning,ParameterValue=ENABLE-CROSS-ACCOUNT-SCANNING \
        ParameterKey=KMSKeyARNForDLQSSE,ParameterValue=KMS-MASTER-KEY-ARN-FOR-DLQ \
        ParameterKey=KMSKeyARNForTopicSSE,ParameterValue=KMS-MASTER-KEY-ARN-FOR-TOPIC \
        ParameterKey=KMSKeyARNsForBucketSSE,ParameterValue=LIST-OF-KMS-MASTER-KEY-ARNS-FOR-BUCKETS \
        ParameterKey=ReportObjectKey,ParameterValue=REPORT-OBJECT-KEY \
        ParameterKey=ObjectCreatedEventFilter,ParameterValue=OBJECT-CREATED-EVENT-FILTER \
        ParameterKey=ScanResultTagFormat,ParameterValue=SCAN-RESULT-TAG-FORMAT \
        ParameterKey=QuarantineBucket,ParameterValue=QUARANTINE-BUCKET \
    --capabilities CAPABILITY_NAMED_IAM

    ここで:

    • ACCOUNT-SCANNER-STACK-NAMEはスタックの名前に置き換えられます。任意の名前を使用できます。例: Account-Scanner-TM-FileStorageSecurity
    • REGIONは、スタックをインストールするリージョンに置き換えます。検索するS3バケットが含まれるリージョンの1つを選択します。サポートされているリージョンについては、「サポートされているリージョン」を参照してください。例: ap-east-2またはus-west-2
    • TEMPLATE_URLは、前の手順のAPIの応答の「templateURL」フィールドの値に置き換えられます。例: https://file-storage-security.s3.amazonaws.com/latest/templates/FSS-Account-Scanner-Stack.template
    • CLOUD-ONE-REGIONは、「key」フィールドが「CloudOneRegion」である「value」フィールドの値に置き換えられます。サポートされているCloud Oneリージョンのいずれかである必要があります。例: us-1
    • EXTERNAL-IDは、「key」フィールドが「ExternalID」である「value」フィールドの値に置き換えられます。例: 123456789012
    • ENABLE-CROSS-ACCOUNT-SCANNINGはtrueまたはfalseに置き換えられます。他のAWSアカウントのS3バケットを検索する場合は、これを有効にします。 AWSアカウントは、同じAWS組織に属している必要があります。
    • KMS-MASTER-KEY-ARN-FOR-DLQは、Scanner StackのSQSキュー内のメッセージの暗号化に使用されるKMSマスターキーのARNに置き換えられます。 SQSでSSE-KMSを有効にしていない場合は、空白のままにします。
    • KMS-MASTER-KEY-ARN-FOR-TOPICは、Scanner StackのSNSトピックに公開されるメッセージの暗号化に使用されるKMSマスターキーのARNに置き換えられます。 SSE-KMS for SNSを有効にしていない場合は、空白のままにします。
    • LIST-OF-KMS-MASTER-KEY-ARNS-FOR-BUCKETSは、S3バケット内のオブジェクトの暗号化に使用されるKMSマスターキーのARNに置き換えられます。カンマ区切りのリストである必要があります。 S3バケットでSSE-KMSを有効にしていない場合は、空白のままにします。例: arn:aws:kms:::key/\,arn:aws:kms:::key/。カンマは「\,」でエスケープしてください。
    • REPORT-OBJECT-KEYはtrueまたはfalseに置き換えられます。スキャンしたオブジェクトのオブジェクトキーをFile Storage Securityバックエンドサービスにレポートするには、これを有効にします。これにより、 File Storage Securityでは、イベントAPIの応答で不正オブジェクトのオブジェクトキーを表示できます。
    • OBJECT-CREATED-EVENT-FILTERは、Scanner Stack内のEventBridgeルールのイベントパターンの一部であるJSON文字列に置き換えられます。フィルタ文字列は、S3 Object Createdイベントの「details」キーの内容をフィルタするために使用されます。AWS公式ドキュメントのAmazon EventBridgeのイベントパターンを参照してください。例: {"bucket":{"name":[{"prefix": "example-"}]}}
    • SCAN-RESULT-TAG-FORMATは、使用可能なタグ形式のいずれかに置き換えられます: Separated tagsMerged tag および No tag。詳細については、「タグを表示 」を参照してください。
    • QUARANTINE-BUCKETは、不正なオブジェクトの隔離に使用されるS3バケットの名前に置き換えられます。隔離を無効にするには、このパラメータを空白のままにします。バケットリージョンは、アカウントScanner Stackと同じリージョンである必要があります。
    • CAPABILITY_NAMED_IAMはそのままです。
  5. APIを使用して、アカウントScanner StackをFile Storage Securityに追加します