 |
注意AWS Lambda でPython 3.6のサポートを終了します。2022年7月18日以降、 Lambda は、セキュリティパッチとアップデートをPython 3.6ランタイムに適用しなくなります。2022年8月17日をもって、Python
3.6ランタイムを使用した関数のアップデートはできなくなります。その結果、
2022年8月17日までに、既存のPython 3.6関数をPython 3.8にアップグレードすることをお勧めします。
|
前提条件 
手順
- (オプション) AWS コマンドラインインターフェイス (CLI) をインストール。すべてのバージョンがサポートされています。
- 外部IDを取得する
テンプレートリンクを使用する
テンプレートリンクを使用して All-in-one Stack を作成する
手順
- [Create the all-in-one stack in AWS]
-
スタックを配信するAWSアカウントにログインします。
-
AWS [Quick create stack] ページにリダイレクトされます。
-
AWSリージョン (右上) を選択して、スキャンするS3バケットのリージョンに対応させてください。サポートされているリージョンについては、サポートされているリージョンは何ですか?を参照してください
-
- [Verify that the stack creation is complete]
- に移動します。
- All-in-one Stackとネスト化されたScanner StackとStorage Stackを探します。 3つの スタックすべてが [CREATE COMPLETE] 状態に達すると、オールインワンスタックが準備されます。
テンプレートリンクを使用して Scanner Stack を作成する
手順
- [Create the scanner stack in AWS]
-
AWS [Quick create stack] ページにリダイレクトされます。
-
スキャナースタックのリージョンに対応するAWSリージョン (右上) を選択してください。サポートされているリージョンについては、サポートされているリージョンはどれですか?を参照してください
-
- [Verify that the stack creation is complete]
- に移動します。
- Scanner Stackを探します。完了したら、[CREATE COMPLETE] が表示されます。
テンプレートリンクを使用して Storage Stack を作成する
手順
- [Create the storage stack in AWS]
-
AWS [Quick create stack] ページにリダイレクトされます。
-
AWSリージョン (右上) を選択して、スキャンするS3バケットのリージョンに対応させてください。サポートされているリージョンについては、サポートされているリージョンは何ですか?を参照してください
-
- [Verify that the stack creation is complete]
- に移動します。
- Storage Stackを探します。完了したら、[CREATE COMPLETE] が表示されます。
AWS CLIの使用
AWSCLIを使用して All-in-one Stack を作成する
手順
- [Create the all-in-one stack in AWS]
-
AWS CLIをインストールしたコンピュータのbashやPowerShellなどのプログラムで、次のコマンドを入力してスタックを作成します。
aws cloudformation create-stack \ --stack-name ALLINONE-STACK-NAME \ --region REGION \ --template-url https://file-storage-security.s3.amazonaws.com/latest/templates/FSS-All-In-One.template \ --parameters \ ParameterKey=S3BucketToScan,ParameterValue=S3-BUCKET-TO-SCAN \ ParameterKey=KMSKeyARNForBucketSSE,ParameterValue=KMS-MASTER-KEY-ARN \ ParameterKey=KMSKeyARNForQueueSSE,ParameterValue=KMS-MASTER-KEY-ARN-FOR-SQS \ ParameterKey=CloudOneRegion,ParameterValue=CLOUD-ONE-REGION \ ParameterKey=ExternalID,ParameterValue=EXTERNAL-ID \ --capabilities CAPABILITY_NAMED_IAM
どこに...ALLINONE-STACK-NAMEスタックの名前で置き換える必要があります。任意の名前を使用できます。 例:FileStorageSecurity-All-In-OneREGIONは、スタックをインストールしたいリージョンに置き換える必要があります。スキャンする S3バケット のリージョンに対応するリージョンを選択してください。サポートされているリージョンについては、サポートされているリージョンはどれですか? を参照してください。例:ap-east-2,us-west-2S3-BUCKET-TO-SCANは、S3に表示されているとおりに検索するS3バケットの名前を置き換える必要があります。指定できるバケットは1つのみです。 例:my-s3-bucket-to-scan-01KMS-MASTER-KEY-ARNは、検索するS3バケット内のオブジェクトの暗号化に使用されるKMSマスターキーのARNに置き換える必要があります。S3バケットでSSE-KMSを有効にしていない場合は空白のままにしてください。KMS-MASTER-KEY-ARN-FOR-SQSを、Scanner Stack内のSQSメッセージを暗号化するために使用されるKMSマスターキーのARNに置き換える必要があります。SSE-KMS for SQSを有効にしていない場合は空白のままにしてください。CLOUD-ONE-REGIONはサポートされているCloud Oneリージョンの1つでなければなりません。例:us-1EXTERNAL-ID前に取得したExternalIDで置き換える必要があります。CAPABILITY_NAMED_IAMそのまま残す必要があります。
既存のs3:ObjectCreated:*イベントNotificationsがあるバケットにデプロイするには、s3:ObjectCreated:* event in useを参照してください。テンプレートによって作成される権限を制御するには、AWS権限の制御を参照してください。リソース名にカスタムプレフィックスを指定するには、リソースプレフィックスを参照してください。ストレージスタックをデッドレタキューと共にデプロイするには、Storage Stack DLQを参照してください。Lambda関数をVPCにアタッチするには、VPCにデプロイを参照してください。getObjectリクエストのスキャンを有効にするには、getObjectリクエストのスキャンを参照してください。使用する値の詳細については、All-in-one Stackの配信ページを参照してください。このページには、All-in-one CloudFormationテンプレートのパラメータの説明が含まれています。これらは、CLIのパラメータと同じです。 -
- [Verify that the stack creation is complete]
-
次のAWS CLIコマンドを入力します。
aws cloudformation describe-stacks --stack-name ALLINONE-STACK-NAME --output json --query 'Stacks[0].StackStatus'どこに...ALLINONE-STACK-NAMEはAll-in-one Stackの名前に置き換えられます。 -
スタックの準備が整うと、ステータスは
CREATE_COMPLETEになります。
-
AWSCLIを使用して Scanner Stack を作成する
手順
- [Create the scanner stack in AWS]
-
AWS CLIをインストールしたコンピュータのbashやPowerShellなどのプログラムで、次のコマンドを入力してスタックを作成します。
aws cloudformation create-stack \ --stack-name SCANNER-STACK-NAME \ --region REGION \ --template-url https://file-storage-security.s3.amazonaws.com/latest/templates/FSS-Scanner-Stack.template \ --parameters \ ParameterKey=KMSKeyARNForQueueSSE,ParameterValue=KMS-MASTER-KEY-ARN-FOR-SQS \ ParameterKey=CloudOneRegion,ParameterValue=CLOUD-ONE-REGION \ ParameterKey=ExternalID,ParameterValue=EXTERNAL-ID \ --capabilities CAPABILITY_NAMED_IAM
どこに...SCANNER-STACK-NAMEスタックの名前で置き換える必要があります。任意の名前を使用できます。 例:FSSScanner2REGIONスタックをインストールする領域に置き換える必要があります。 例:ap-east-2、us-west-2KMS-MASTER-KEY-ARN-FOR-SQSScanner StackのSQSメッセージの暗号化に使用するKMSマスターキーのARNに置き換える必要があります。対応する Storage Stackを配置する場合は、同じKMSマスターキーを使用します。SSE-KMS for SQSが有効になっていない場合は空白のままにしてください。CLOUD-ONE-REGIONはサポートされているCloud Oneリージョンの1つでなければなりません。例:us-1EXTERNAL-ID前に取得したExternalIDで置き換える必要があります。CAPABILITY_NAMED_IAMそのまま残す必要があります。
テンプレートによって作成される権限を制御するには、AWS権限の制御を参照してください。リソース名にカスタムプレフィックスを指定するには、リソースプレフィックスを参照してください。Lambda関数をVPCにアタッチするには、VPCにデプロイを参照してください。使用する値の詳細については、Scanner Stackの追加ページを参照してください。このページには、Scanner Stack CloudFormationテンプレートのパラメータの説明が含まれています。これらは、CLIのパラメータと同じです。 -
- [Verify that the stack creation is complete]
-
次のAWS CLIコマンドを入力します。
aws cloudformation describe-stacks --stack-name SCANNER-STACK-NAME --output json --query 'Stacks[0].StackStatus'どこに...SCANNER-STACK-NAMEはScanner Stackの名前に置き換えられます。 -
スタックの準備が整うと、ステータスは
CREATE_COMPLETEになります。
-
AWSCLIを使用して Storage Stack を作成する
手順
- [Create the storage stack in AWS]
-
AWS CLIをインストールしたコンピュータのbashやPowerShellなどのプログラムで、次のコマンドを入力してスタックを作成します。
aws cloudformation create-stack \ --stack-name STORAGE-STACK-NAME \ --region REGION \ --template-url https://file-storage-security.s3.amazonaws.com/latest/templates/FSS-Storage-Stack.template \ --parameters \ ParameterKey=S3BucketToScan,ParameterValue=S3-BUCKET-TO-SCAN \ ParameterKey=KMSKeyARNForBucketSSE,ParameterValue=KMS-MASTER-KEY-ARN \ ParameterKey=ScannerAWSAccount,ParameterValue=SCANNER-AWS-ACCOUNT \ ParameterKey=ScannerSQSURL,ParameterValue=SCANNER-QUEUE-URL \ ParameterKey=KMSKeyARNForQueueSSE,ParameterValue=KMS-MASTER-KEY-ARN-FOR-SQS \ ParameterKey=CloudOneRegion,ParameterValue=CLOUD-ONE-REGION \ ParameterKey=ExternalID,ParameterValue=EXTERNAL-ID \ --capabilities CAPABILITY_NAMED_IAM
どこに...-
STORAGE-STACK-NAMEスタックの名前で置き換える必要があります。任意の名前を使用できます。 例:FSSStorage2 -
REGIONスタックをインストールする領域に置き換える必要があります。 例:ap-east-2、us-west-2 -
S3-BUCKET-TO-SCANは、S3に表示されているとおりに 検索するS3バケットの名前を置き換える必要があります。指定できるバケットは1つのみです。 例:my-s3-bucket-to-scan-02 -
KMS-MASTER-KEY-ARNは、検索するS3バケット内のオブジェクトの暗号化に使用されるKMSマスターキーのARNに置き換える必要があります。S3バケットでSSE-KMSを有効にしていない場合は空白のままにしてください。 -
SCANNER-AWS-ACCOUNTは、Scanner StackがインストールされているAWSアカウントのIDで置き換える必要があります。このIDは、AWSコンソール > アカウント名 > で確認できます。 -
SCANNER-QUEUE-URLはSQS ScannerQueueのURLに置き換える必要があります。このURLは次の場所で見つけることができます:-
AWSコンソールで、 > all-in-oneまたはScanner Stack > 。
-
AWS CLIを使用して、次のコマンドを入力します。
aws cloudformation describe-stacks --stack-name STACK-NAME --output json --query 'Stacks[0].Outputs'どこに...STACK-NAMEは、オールインワンまたは Scanner Stackの名前に置き換えられます。
-
-
KMS-MASTER-KEY-ARN-FOR-SQSScanner StackのSQSメッセージの暗号化に使用するKMSマスターキーのARNに置き換える必要があります。対応する Scanner Stackで使用したものと同じKMSマスターキーを使用します。SSE-KMS for SQSが有効になっていない場合は空白のままにしてください。 -
EXTERNAL-ID前に取得したExternalIDで置き換える必要があります。 -
CAPABILITY_NAMED_IAMそのまま残す必要があります。
既存のs3:ObjectCreated:*イベントNotificationsがあるバケットにデプロイするには、s3:ObjectCreated:* event in useを参照してください。テンプレートによって作成される権限を制御するには、AWS権限の制御を参照してください。リソース名にカスタムプレフィックスを指定するには、リソースプレフィックスを参照してください。ストレージスタックをデッドレタキューと共にデプロイするには、Storage Stack DLQを参照してください。Lambda関数をVPCにアタッチするには、VPCにデプロイを参照してください。getObjectリクエストのスキャンを有効にするには、getObjectリクエストのスキャンを参照してください。使用する値の詳細については、Storage Stackの追加ページを参照してください。このページには、Storage Stack CloudFormationテンプレート内のパラメータの説明が含まれています。これらのパラメータは、CLIのパラメータと同じです。 -
- [Verify that the stack creation is complete]
-
次のAWS CLIコマンドを入力します。
aws cloudformation describe-stacks --stack-name STORAGE-STACK-NAME --output json --query 'Stacks[0].StackStatus'どこに...STORAGE-STACK-NAMEがStorage Stackの名前に置き換えられました。 -
スタックの準備が整うと、ステータスは
CREATE_COMPLETEになります。
-