File Storage Security は、S3オブジェクト Lambda をサポートして、クライアントがGET要求を実行したときにファイルを検索し、不正なファイルである場合はそれをブロックします。 この機能を有効にするには、How to scan on getObject requestに従ってください。
前提条件 
- S3オブジェクト Lambdaの制限により、Scanner Stack と Storage Stack は[same]同じAWSアカウントとリージョンにある必要があります。
- S3オブジェクト Lambdaの設計により、
Object Lambda Access Point経由の要求のみが検索されます。 元のS3エンドポイントまたは他の S3アクセスポイント を介した要求は検索されません。 - S3オブジェクト Lambdaの設計により、この機能はストレージスタックの[ObjectFilterPrefix]パラメータを優先しません。getObjectリクエストで特定のオブジェクトのみを検索する場合は、
Object Lambda Access Pointを使用して検索が必要なオブジェクトのみを取得し、元のS3エンドポイントを使用して検索する必要のない他のオブジェクトを取得できます。 - 現在、この機能には200MBのファイルサイズ制限があります。それよりも大きいオブジェクトを取得する場合は、 元のS3エンドポイントを使用します。サイズ制限の詳細については、サポートにお問い合わせください。
getObjectリクエストでの検索方法
手順
- All-in-one Stack または Storage Stack を、 Scanner Stackと同じアカウントおよび同じリージョンに配置します。 デプロイされたスタックを使用する場合は、
Scanner およびストレージスタックを最新のテンプレートでアップデートします。
- オールインワンストレージスタックまたは Storage Stackを配信またはアップデートする場合は、
ScanOnGetObjectパラメータに[true]を指定します。Scanner スタックは、新しいパラメータなしで配信またはアップデートできます。 - (オプション) 上記の手順で Storage Stack を配信またはアップデートする場合は、
ScannerLambdaAliasARN、 も指定する必要があります。これらは、 > Scanner Stack > にあります。 All-in-one Stackを配信またはアップデートする場合は、テンプレートによって自動的に判断されるため、この手順は省略できます。 - 展開後、File Storage Securityによって展開されたObject Lambda Access Pointを使用してオブジェクトにアクセスします。Object
Lambda Access Point ARNは、 > all-in-oneまたはStorage Stack > で見つけることができます。たとえば、以前に次のようにAWS CLIでオブジェクトをダウンロードしたとします。
aws s3api get-object --bucket some-bucket --key some-folder/some-file.txt some-file.txtこれを以下に置き換えます。aws s3api get-object --bucket ACCESS_POINT_ARN --key some-folder/some-file.txt some-file.txtどこに...ACCESS_POINT_ARNは[ScanOnGetObjectAccessPointARN]の出力値です。