翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルウェアスキャンでサポートされている Amazon EBS ボリューム
<a name="gdu-malpro-supported-volumes"></a>

GuardDuty AWS リージョン が Malware Protection for EC2 機能をサポートしているすべての で、暗号化されていない、または暗号化されていない Amazon EBS ボリュームをスキャンできます。Amazon EBS ボリュームは、[AWS マネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) または[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)で暗号化できます。現在、Malware Protection for EC2 が利用可能なリージョンの中には、Amazon EBS ボリュームを暗号化する方法の両方をサポートするものもあれば、カスタマーマネージドキーのみをサポートするものもあります。サポートされるリージョンの詳細については、「[による GuardDuty サービスアカウント AWS リージョン](gdu-service-account-region-list.md)」を参照してください。GuardDuty は使用できるが Malware Protection for EC2 は使用できないリージョンについては、「[リージョン固有機能の可用性](guardduty_regions.md#gd-regional-feature-availability)」を参照してください。

次のリストは、Amazon EBS ボリュームが暗号化されているかどうかに関係なく、GuardDuty が使用するキーを示しています。
+ **暗号化されていないか、 AWS マネージドキーで暗号化されている Amazon EBS ボリューム** – GuardDuty は独自のキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。

  [デフォルトで Amazon EBS 暗号化](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)を使用して暗号化された Amazon EBS ボリュームのスキャンをリージョンがポートしていない場合は、デフォルトキーをカスタマーマネージドキーに変更する必要があります。これにより、GuardDuty はこれらの EBS ボリュームにアクセスできます。キーを変更することで、将来の EBS ボリュームでも更新されたキーを使用して作成され、GuardDuty がマルウェアスキャンをサポートできるようになります。デフォルトキーを変更するステップについては、次のセクションの「[Amazon EBS ボリュームのデフォルト AWS KMS キー ID を変更する](#regional-parity-supported-volumes-encrypt)」を参照してください。
+ **カスタマーマネージドキーで暗号化された Amazon EBS ボリューム** – GuardDuty は同じキーを使用してレプリカ EBS ボリュームを暗号化します。サポートされている AWS KMS 暗号化関連ポリシーについては、「」を参照してください[Malware Protection for EC2 のためのサービスにリンクされたロールの許可](slr-permissions-malware-protection.md)。

## Amazon EBS ボリュームのデフォルト AWS KMS キー ID を変更する
<a name="regional-parity-supported-volumes-encrypt"></a>

Amazon EBS [暗号化を使用して Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html#encryption-parameters) ボリュームを作成し、 AWS KMS キー ID を指定しない場合、Amazon EBS ボリュームは暗号化[用のデフォルトキーで暗号化](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)されます。デフォルトで暗号化を有効にすると、Amazon EBS は Amazon EBS 暗号化のデフォルト KMS キーを使用して、新しいボリュームとスナップショットを自動的に暗号化します。

デフォルト暗号化キーを変更し、Amazon EBS 暗号化にカスタマーマネージドキーを使用できます。これにより、GuardDuty はこれらの Amazon EBS ボリュームにアクセスできます。EBS デフォルトキー ID を変更するには、次の必要な許可を IAM ポリシーに追加します - `ec2:modifyEbsDefaultKmsKeyId`。暗号化することを選択し、関連付けられた KMS キー ID を指定しない新しく作成された Amazon EBS ボリュームは、デフォルトキー ID を使用します。次のいずれかの方法を使用して、EBS デフォルトキー ID を更新します。

**Amazon EBS ボリュームのデフォルト KMS キー ID を変更するには**

次のいずれかを行います。
+ **API の使用** - [ModifyEbsDefaultKmsKeyId](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyEbsDefaultKmsKeyId.html) API を使用できます。ボリュームの暗号化ステータスを表示する方法については、「[Amazon EBS ボリュームの作成](https://docs.aws.amazon.com/)」を参照してください。
+ ** AWS CLI コマンドの使用** – 次の例では、KMS キー ID を指定しない場合に Amazon EBS ボリュームを暗号化するデフォルトの KMS キー ID を変更します。リージョンを KM キー ID AWS リージョン の に置き換えてください。

  ```
  aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE
  ```

  上記のコマンドは、次の出力と同様な出力を生成します。

  ```
  { 
    "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
  }
  ```

  詳細については、「[modify-ebs-default-kms-key-id](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ebs-default-kms-key-id.html)」を参照してください。