目次
このページのトピック

All-in-one Stack をAWSにデプロイする

AWS Lambda でPython 3.6のサポートを終了します。2022年7月18日以降、 Lambda は、セキュリティパッチとアップデートをPython 3.6ランタイムに適用しなくなります。2022年8月17日をもって、Python 3.6ランタイムを使用した関数のアップデートはできなくなります。その結果、

  • スタックをアップデートしない場合でも、 File Storage Security の問題についてサポートおよび調査を行います。ただし、この方法はお勧めしません。
  • File Storage Security の設定で問題が発生した場合は、スタックのアップデートまたは再構築が必要になることがあります。
2022年8月17日までに、既存のPython 3.6関数をPython 3.8にアップグレードすることをお勧めします。

AWSアカウントに All-in-one Stack を配信するには、次の手順に従ってください。

必要に応じて、 ビデオデモ もあります。

  1. File Storage Security コンソールで、[ Stack Management ]ページを選択し、[ AWS ]を選択してから、[ Deploy ]を選択します。

    スクリーンショット

  2. All-in-one Stackを配信するには、[ Scanner Stack and Storage Stack ]を選択します。

    スクリーンショット

    また、 Scanner Stack自体を 追加するオプションもあります。

  3. Deploy Scanner Stack and Storage Stack ダイアログボックスで次の手順を実行します。

    • Step 1では、AWSアカウントにログインしていることを確認してください。
    • Step 2で、All-in-one Stackを配信するAWSリージョンを選択します。 このリージョンは、

    • (オプション)オールインワンのスタックテンプレートの内容を表示するには、 Review Stack を選択します。

    • Launch Stackを選択します。

      スクリーンショット

    AWS Quick Create stack ページにリダイレクトされます。

  4. Quick Create stack ページに次のように入力します。

    • Stack Name:スタックの名前を指定します。 例:FileStorageSecurity-All-In-One
    • S3BucketToScanスキャンするS3バケット の名前を指定します。S3に表示されます。指定できるバケットは1つのみです。 例: my-s3-bucket-to-scan-01
    • ObjectFilterPrefix:オプション。検索するオブジェクトのプレフィックスを指定します。スキャン中のバケットの s3:ObjectCreated:* イベントが部分的に使用されている場合は、使用されていないプレフィックスを指定するか、 TriggerWithObjectCreatedEvent を使用します。
    • KMSKeyARNForBucketSSE:オプション。SSE-KMSを有効にしている場合は、このフィールドを空白のままにするか、S3バケットオブジェクトの暗号化に使用するKMSマスターキーのARNを指定します。
    • KMSKeyARNForQueueSSE:オプション。サーバ側の暗号化を有効にしている場合は、このフィールドを空白のままにするか、SQSキュー内のメッセージを暗号化するために使用するKMSマスターキーのARNを指定します。
    • KMSKeyARNForTopicSSE:オプション。このフィールドを空白のままにするか、SNS暗号化を有効にしている場合は、SNS ScanResultTopicの暗号化に使用するKMSマスターキーのARNを指定します。
    • ScannerEphemeralStorage: Scanner Lambda関数の一時ディレクトリのサイズ(MB単位)。初期設定値は512ですが、512〜2048MBの任意の整数を指定できます。大規模な一時ストレージを設定して、zipファイル内のより大きなファイルを検索します。詳細については、エフェメラルストレージの設定を参照してください。(プレビュー機能)
    • TriggerWithObjectCreatedEvent:オプション。スキャン中の バケット の s3:ObjectCreated:*イベントが使用されている場合は、これを falseに設定します。検索を後で実行する方法の詳細については、s3:ObjectCreated:* event in useを参照してください。
    • ReportObjectKey:オプション。これを有効にすると、検索されたオブジェクトのオブジェクトキーが File Storage Security バックエンドサービスに報告されます。File Storage Security は、イベントAPIの応答に不正なオブジェクトのオブジェクトキーを表示できます。
    • ScanOnGetObject:オプション。これを有効にすると、オブジェクトの取得時にオブジェクトが検索されます。詳細については、「 Scan on getObject request」を参照してください。(プレビュー機能)

    スクリーンショット

    • PermissionsBoundary:オプション。作成されるすべての役割の権限の境界を設定するために使用するポリシーのARNを指定します。詳細については、AWS権限コントロールおよびIAMエンティティの権限の境界を参照してください。
    • AdditionalIAMPolicies:オプション。作成するすべてのロールにアタッチするIAMポリシーARNのリストを指定します。詳細については、AWS権限コントロールを参照してください。
    • Resource prefixes:オプション。これらのフィールドを空白のままにするか、リソースタイプごとにプレフィックスを指定します。詳細については、 リソースプレフィックスを参照してください。
    • Deploy in VPC:オプション。これらのフィールドを空白のままにするか、VPCサブネットIDとセキュリティグループIDを指定します。詳細については、VPCにデプロイするを参照してください。。
    • Stack package location:このフィールドは現状のままにしてください。これは File Storage Securityによる内部使用用です。
    • Version: このフィールドは現状のままにしてください。バージョン管理用です。
    • File Storage Security management account:このフィールドはそのままの状態のままにしてください。アカウント番号: 415485722356。このアカウントには、All-in-one Stackの管理権限が付与されます。具体的には、このアカウントには次の権限があります。

      • Strage StackとScanne StackのLambdaログを取得します。
      • スタック内のScannerLambda関数、不正プログラム対策パターンファイル層、およびライセンス層をアップデートします。
      • 独自のAWS SNSトピックに組織のデータの一部を送信します。収集されたデータの詳細については、 データ収集の開示を参照してください。
    • Trend Micro Cloud One region:このフィールドはそのままにします。 File Storage Security コンソール、イベント管理サービス、およびテレメトリーサービスなど、 Cloud One サービスのためにScanner StackとStorage Stackが接続される領域を指定します。詳細については、Cloud One regionsを参照してください。

    • ExternalID:このフィールドは現状のままにしてください。セキュリティのために必要です。詳細については、 外部IDを使用する理由を参照してください。
    • ページの下部で、 I acknowledge [...] チェックボックスの両方をオンにします。
    • Create stackを選択します。

    スクリーンショット

  5. スタックがインストールされるまでお待ちください。これには数分かかります。 File Storage Security スタックの3つの CREATE_COMPLETE メッセージが表示されたときに、すべてがインストールされていることがわかります。

    スクリーンショット

    これで、All-in-one Stackがインストールされました。ARNを設定するには、 次のセクション に進んでください。