Skip to main content
Cloud Manager 3.8
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cloud Compliance for Amazon S3 の利用を開始してください

共同作成者
PDF

Cloud Compliance では、 Amazon S3 バケットをスキャンして、 S3 オブジェクトストレージに格納されている個人データや機密データを特定できます。Cloud Compliance は、ネットアップソリューション用に作成されたバケットであるかどうかに関係なく、アカウント内の任意のバケットをスキャンできます。

クイックスタート

これらの手順を実行すると、すぐに作業を開始できます。また、残りのセクションまでスクロールして詳細を確認することもできます。

番号 1 クラウド環境で S3 の要件を設定します

クラウド環境が Cloud Compliance の要件を満たしていることを確認します。たとえば、 IAM ロールの準備と Cloud Compliance から S3 への接続の設定を行います。 すべてのリストを参照してください

番号2. Cloud Compliance インスタンスを導入します

"Cloud Manager に Cloud Compliance を導入" インスタンスが展開されていない場合。

番号3. S3 作業環境でコンプライアンスをアクティブ化します

Amazon S3 作業環境を選択し、 * 準拠の有効化 * をクリックして、必要な権限を含む IAM ロールを選択します。

番号4. スキャンするバケットを選択します

スキャンするバケットを選択すると、 Cloud Compliance でスキャンが開始されます。

S3 の前提条件の確認

S3 バケットのスキャンに固有の要件を次に示します。

Cloud Compliance インスタンス用の IAM ロールを設定します

Cloud Compliance では、アカウント内の S3 バケットに接続してスキャンするための権限が必要です。以下の権限を含む IAM ロールを設定します。Amazon S3 作業環境で Cloud Compliance を有効にすると、 Cloud Manager から IAM ロールを選択するよう求められます。

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Cloud Compliance から Amazon S3 への接続を提供

Cloud Compliance から Amazon S3 への接続が必要です。この接続を確立する最善の方法は、 VPC エンドポイントを介して S3 サービスに接続することです。手順については、を参照してください "AWS のドキュメント:「 Creating a Gateway Endpoint"

VPC エンドポイントを作成するときは、 Cloud Compliance インスタンスに対応するリージョン、 VPC 、およびルーティングテーブルを選択してください。S3 エンドポイントへのトラフィックを有効にする発信 HTTPS ルールを追加するには、セキュリティグループも変更する必要があります。そうしないと、 Cloud Compliance は S3 サービスに接続できません。

問題が発生した場合は、を参照してください "AWS のサポートナレッジセンター:ゲートウェイ VPC エンドポイントを使用して S3 バケットに接続できないのはなぜですか。"

別の方法として、 NAT ゲートウェイを使用して接続を提供する方法があります。

メモ インターネット経由で S3 にアクセスするためにプロキシを使用することはできません。

Cloud Compliance インスタンスの導入

"Cloud Manager に Cloud Compliance を導入" インスタンスが展開されていない場合。

この AWS アカウントで S3 バケットが Cloud Manager で自動的に検出されて Amazon S3 作業環境に表示されるように、 AWS コネクタにインスタンスを導入する必要があります。

S3 作業環境でのコンプライアンスのアクティブ化

前提条件を確認したら、 Amazon S3 で Cloud Compliance を有効にします。

手順

  1. Cloud Manager の上部で、 * 作業環境 * をクリックします。

  2. Amazon S3 作業環境を選択します。

    Amazon S3 作業環境アイコンのスクリーンショット

  3. 右側のペインで、 * コンプライアンスを有効にする * をクリックします。

    から Cloud Compliance サービスを有効にするためのスクリーンショット サービスパネル

  4. プロンプトが表示されたら、の Cloud Compliance インスタンスに IAM ロールを割り当てます 必要な権限

    クラウド用の AWS IAM ロールを入力するスクリーンショット コンプライアンス

  5. [ コンプライアンスを有効にする ] をクリックします。

ヒント また、作業環境のコンプライアンススキャンを有効にすることもできます をクリックして、 [ スキャン設定 ] ページからアクセスします ボタンを押して、 * コンプライアンスを有効にする * を選択します。
結果

Cloud Manager によって、インスタンスに IAM ロールが割り当てられます。

S3 バケットでの準拠スキャンの有効化と無効化

Cloud Manager で Amazon S3 の Cloud Compliance が有効になったら、次の手順でスキャンするバケットを設定します。

スキャンする S3 バケットを含む AWS アカウントで Cloud Manager を実行している場合は、そのバケットが検出され、 Amazon S3 作業環境に表示されます。

Cloud Compliance も同様です 別々の AWS アカウントにある S3 バケットをスキャンします

手順

  1. Amazon S3 作業環境を選択します。

  2. 右側のペインで、 * バケットの設定 * をクリックします。

    S3 を選択するためにバケットの設定をクリックするスクリーンショット スキャンするバケット

  3. スキャンするバケットで準拠を有効にします。

    目的の S3 バケットを選択するスクリーンショット スキャン

結果

Cloud Compliance で、有効にした S3 バケットのスキャンが開始されます。エラーが発生した場合は、エラーを修正するために必要なアクションとともに、 [ ステータス ] 列に表示されます。

追加の AWS アカウントからバケットをスキャンする

別の AWS アカウントを使用している S3 バケットをスキャンするには、そのアカウントからロールを割り当てて、既存の Cloud Compliance インスタンスにアクセスします。

手順

  1. S3 バケットをスキャンするターゲット AWS アカウントに移動し、 * 別の AWS アカウント * を選択して IAM ロールを作成します。

    必ず次の手順を実行してください。

    • Cloud Compliance インスタンスが存在するアカウントの ID を入力します。

    • 最大 CLI / API セッション期間 * を 1 時間から 12 時間に変更し、変更を保存してください。

    • Cloud Compliance IAM ポリシーを関連付けます。必要な権限があることを確認します。

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
  ]
}

  2. Cloud Compliance インスタンスが存在するソース AWS アカウントに移動し、インスタンスに関連付けられている IAM ロールを選択します。

    1. 最大 CLI / API セッション期間 * を 1 時間から 12 時間に変更し、変更を保存してください。

    2. [* ポリシーの適用 *] をクリックし、 [ ポリシーの作成 *] をクリックします。

    3. 「 STS : AssumeRole 」アクションと、ターゲットアカウントで作成したロールの ARN を含むポリシーを作成します。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      Cloud Compliance インスタンスのプロファイルアカウントで追加の AWS アカウントにアクセスできるようになりました。

  3. Amazon S3 Scan Configuration * ページに移動し、新しい AWS アカウントが表示されます。Cloud Compliance が新しいアカウントの作業環境を同期し、この情報を表示するまでに数分かかることがあります。

  4. [Activate Compliance & Select Buckets] をクリックして、スキャンするバケットを選択します。

結果

Cloud Compliance によって、有効にした新しい S3 バケットのスキャンが開始されます。