GuardDuty のマルウェアスキャンを実施した際に外部共有された EBS スナップショットが作成されたのはなぜでしょうか?

GuardDuty のマルウェアスキャンを実施した際に外部共有された EBS スナップショットが作成されたのはなぜでしょうか?

GuardDuty でマルウェアスキャンが開始されると、GuardDuty は対象リソースの EBS ボリュームのスナップショットを作成し、GuardDuty サービスアカウントへの共有を行う仕様があります。
Clock Icon2024.04.11

困っていた内容

EC2 インスタンスに対して GuardDuty のオンデマンドマルウェアスキャンを実施しました。

オンデマンドマルウェアスキャン

すると、EBS スナップショットが作成されていることに気がつきました。詳細を確認したところ、見覚えのない AWS アカウントに EBS スナップショットが外部共有されておりました。

外部共有されたスナップショット_アカウントID

マルウェアスキャンが Clean となってスナップショットは消去されましたが、この外部の AWS アカウントに EBS スナップショットが共有されたのはなぜでしょうか。

どうしてこのような事象が発生するの?

GuardDuty で自動的に起動されるマルウェアスキャンまたはオンデマンドマルウェアスキャンが開始されると、GuardDuty はリソースにアタッチされた EBS ボリュームのスナップショットを作成し、GuardDuty サービスアカウントへの共有を行います。そしてこのスナップショットから、サービスアカウントに暗号化されたレプリカ EBS ボリュームを作成するという仕様があります。

マルウェアスキャン_Eng

先ほど見覚えのない AWS アカウントとして記載した 447226417196 は、私が GuardDuty を有効化しているオレゴンリージョンの GuardDuty サービスアカウントとなります。

作成された EBS ボリュームとスナップショットはスキャン後どうなるの?

GuardDuty によるスキャンが完了した際にマルウェアが検知されなかった場合、暗号化されたレプリカ EBS ボリュームとそのスナップショットは削除されます。

その一方でマルウェアが検知され、スナップショットの保持設定を有効にしている場合は EBS ボリュームとスナップショットは削除されず、アカウントに自動的に保持されます。

GuardDuty EBS ボリュームのスナップショットをアカウント内に保持するオプションが用意されています。 AWS デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。

参照

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.