getObjectリクエスト時の検索

File Storage Security は、 S3オブジェクト Lambda をサポートして、クライアントがGET要求を実行したときにファイルを検索し、不正なファイルである場合はそれをブロックします。この機能を有効にするには、How to scan on getObject requestに従ってください。

前提条件

S3オブジェクト Lambdaの制限により、 Scanner Stack と Storage Stack は、同じ AWSアカウントおよびリージョンに存在する必要があります。
S3オブジェクト Lambdaの設計により、 Object Lambda Access Point 経由の要求のみが検索されます。元のS3エンドポイントまたは他の S3アクセスポイントを介した要求は検索されません。
S3オブジェクト Lambdaの設計により、この機能はストレージスタックの ObjectFilterPrefix パラメータを受け入れません。 getObjectリクエストで特定のオブジェクトのみを検索する場合は、 Object Lambda Access Point を使用して検索が必要なオブジェクトのみを取得し、元のS3エンドポイントを使用して検索が不要な他のオブジェクトを取得できます。
現在、この機能には200MBのファイルサイズ制限があります。それよりも大きいオブジェクトを取得する場合は、元のS3エンドポイントを使用します。サイズ制限の詳細については、サポートにお問い合わせください。

getObjectリクエストでの検索方法

All-in-one Stack または Storage Stack を、 Scanner Stackと同じアカウントおよび同じリージョンに配置します。デプロイされたスタックを使用する場合は、 Scanner およびストレージスタックを最新のテンプレートでアップデートします。
オールインワンストレージスタックまたは Storage Stackを配信またはアップデートする場合は、 ScanOnGetObject パラメータに true を指定します。 Scanner スタックは、新しいパラメータなしで配信またはアップデートできます。
（オプション）上記の手順で Storage Stack を配信またはアップデートする場合は、 ScannerLambdaAliasARN、も指定する必要があります。これらは、 CloudFormation > Stacks > Scanner Stack > Outputs > ScannerLambdaAliasARN にあります。 All-in-one Stackを配信またはアップデートする場合は、テンプレートによって自動的に判断されるため、この手順は省略できます。
配置後、 File Storage Security によって配置されたObject Lambda アクセスポイントを使用してオブジェクトにアクセスします。 CloudFormation > Stacks > all-in-oneまたは Storage Stack > Outputs > ScanOnGetObjectAccessPointARN で、オブジェクト Lambda アクセスポイントARNを見つけます。

たとえば、以前に次のようにAWS CLIでオブジェクトをダウンロードしたとします。

aws s3api get-object --bucket some-bucket --key some-folder/some-file.txt some-file.txt

これを以下に置き換えます。

aws s3api get-object --bucket ACCESS_POINT_ARN --key some-folder/some-file.txt some-file.txt

ここで...

ACCESS_POINT_ARN は ScanOnGetObjectAccessPointARN 出力値です。