本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为您的存储桶启用 S3 的恶意软件防护
本节提供了有关如何为自己账户中的选定存储桶启用 S3 恶意软件防护的详细步骤。
为存储桶启用 S3 恶意软件防护的步骤
输入 S3 存储桶详细信息
使用以下步骤提供 Amazon S3 存储桶的详细信息:
-
登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 -
使用页面右上角的 Amazon Web Services 区域 选择器,选择要为 S3 启用恶意软件防护的区域。
-
在导航窗格中,选择 S3 的恶意软件防护。
-
在 “受保护的存储桶” 部分中,选择 “启用”,为属于您自己 Amazon Web Services 账户的 S3 存储桶启用 S3 的恶意软件防护。
-
在输入 S3 存储桶详细信息下,输入 Amazon S3 存储桶名称。或者,选择 “浏览 S3” 以选择 S3 存储桶。
S3 存储桶和为 S3 启用恶意软件防护的 Amazon Web Services 账户 位置必须相同。 Amazon Web Services 区域 例如,如果您的账户属于该
us-east-1
区域,则您的 Amazon S3 存储桶区域也必须属于该区域us-east-1
。 -
在 “前缀” 下,您可以选择 S3 存储桶中的所有对象或以特定前缀开头的对象。
-
如果您想 GuardDuty 扫描选定存储桶中所有新上传的对象,请选择 S3 存储桶中的所有对象。
-
如果要扫描新上传的属于特定前缀的对象,请选择以特定前缀开头的对象。此选项可帮助您将恶意软件扫描的范围仅集中在选定的对象前缀上。有关使用前缀的更多信息,请参阅 Amazon S3 用户指南中的使用文件夹在 Amazon S 3 控制台中组织对象。
选择添加前缀并输入前缀。您最多可以添加五个前缀。
-
(可选)为扫描的对象添加标签
此为可选步骤。当您在对象上传到存储桶之前启用标记选项时,在完成扫描后, GuardDuty 将添加一个预定义的标签,键为GuardDutyMalwareScanStatus
,值为扫描结果。要以最佳方式使用 S3 的恶意软件防护,我们建议启用扫描结束后向 S3 对象添加标签的选项。适用标准 S3 对象标签费用。有关更多信息,请参阅 S3 恶意软件防护的定价。
- 为什么要启用标记?
-
-
启用标记是了解恶意软件扫描结果的方法之一。有关 S3 恶意软件扫描结果的信息,请参阅监控 S3 对象扫描状态。
-
在包含潜在恶意对象的 S3 存储桶上设置基于标签的访问控制 (TBAC) 策略。有关注意事项以及如何实现基于标签的访问控制 (TBAC) 的信息,请参阅。使用基于标签的访问控制 (TBAC) 和 S3 的恶意软件防护
-
GuardDuty 向 S3 对象添加标签的注意事项:
-
默认情况下,您最多可以将 10 个标签与一个对象关联。有关更多信息,请参阅 Amazon S3 用户指南中的使用标签对存储进行分类。
如果所有 10 个标签都已在使用中,则 GuardDuty 无法将预定义的标签添加到扫描的对象。 GuardDuty 还会将扫描结果发布到您的默认 EventBridge 事件总线。有关更多信息,请参阅 使用亚马逊 EventBridge。
-
当所选的 IAM 角色不包括标记 S3 对象的权限时,即使为受保护的存储桶启用了标记, GuardDuty 也无法向扫描的 S3 对象添加标签。 GuardDuty 有关标记所需的 IAM 角色权限的更多信息,请参阅先决条件-创建或更新 IAM PassRole 策略。
GuardDuty 还会将扫描结果发布到您的默认 EventBridge 事件总线。有关更多信息,请参阅 使用亚马逊 EventBridge。
在 “标记已扫描对象” 下选择一个选项
-
如果 GuardDuty 要为扫描的 S3 对象添加标签,请选择标记对象。
-
如果您不 GuardDuty 想为扫描的 S3 对象添加标签,请选择不标记对象。
权限
使用以下步骤选择具有代表您执行恶意软件扫描操作的必要权限的 IAM 角色。这些操作可能包括扫描新上传的 S3 对象以及(可选)向这些对象添加标签。
选择 IAM 角色名称
-
如果您已经执行了以下步骤先决条件-创建或更新 IAM PassRole 策略,请执行以下操作:
-
在 “权限” 部分下,为 IAM 角色名称选择包含必要权限的 IAM 角色名称。
-
-
如果您尚未执行以下步骤先决条件-创建或更新 IAM PassRole 策略,请执行以下操作:
-
选择 “查看权限”。
-
在 “权限详细信息” 下,选择 “策略” 选项卡。这显示了所需 IAM 权限的模板。
复制此模板,然后在 “权限详细信息” 窗口末尾选择 “关闭”。
-
选择在新选项卡中打开 IAM 控制台的附加策略。您可以选择创建新的 IAM 角色或使用复制的模板中的权限更新现有 IAM 角色。
此模板包含占位符值,您必须将其替换为与您的存储桶关联的相应值和 Amazon Web Services 账户。
-
使用 GuardDuty 控制台返回浏览器选项卡。再次选择 “查看权限”。
-
在 “权限详细信息” 下,选择 “信任关系” 选项卡。这显示了您的 IAM 角色的信任关系策略模板。
复制此模板,然后在 “权限详细信息” 窗口末尾选择 “关闭”。
-
转到已打开 IAM 控制台的浏览器选项卡。将此信任关系策略添加到您的首选 IAM 角色。
-
-
要向为此受保护资源创建的恶意软件防护计划 ID 添加标签,请继续下一节;否则,请选择此页面末尾的启用,将 S3 存储桶添加为受保护资源。
(可选)标记恶意软件防护计划 ID
这是一个可选步骤,可帮助您向将为您的 S3 存储桶资源创建的恶意软件防护计划资源添加标签。
每个标签分为两部分:标签键和可选标签值。有关标记及其优势的更多信息,请参阅为资源添加标签。 Amazon
向您的恶意软件防护计划资源添加标签
-
输入标签的密钥和可选值。标签键和标签值均区分大小写。有关标签键名称和标签值的信息,请参阅标签命名限制和要求。
要向您的恶意软件防护计划资源添加更多标签,请选择添加新标签并重复上一步操作。您最多可以为每个 资源添加 50 个标签。
-
请选择 启用。
启用 S3 恶意软件防护之后的步骤
为存储桶(或特定对象前缀)启用 S3 恶意软件防护后,请按所列顺序执行以下步骤:
-
添加基于标签的访问控制 (TBAC) 资源策略 — 启用标记时,在将对象上传到所选存储桶之前,请确保将 TBAC 策略添加到您的 S3 存储桶资源。有关更多信息,请参阅 在 S3 存储桶资源上添加 TBAC。
-
监控恶意软件防护计划状态-监控每个受保护存储桶的 “保护状态” 列。有关潜在状态及其含义的信息,请参阅恶意软件防护计划资源状态。
-
上传对象:
打开 Amazon S3 控制台,网址为:https://console.aws.amazon.com/s3/
。 -
将文件上传到启用此功能的 S3 存储桶或对象前缀。有关上传文件的步骤,请参阅 Amazon S3 用户指南中的将对象上传到您的存储桶。
-
监控 S3 对象扫描状态-此步骤包括有关如何检查 S3 对象的恶意软件扫描状态的信息。
已启用 S3 GuardDuty 和恶意软件防护 仅为 S3 启用恶意软件防护 -
启用后,它可能会生成,适用于 S3 查找类型的恶意软件防护以表明扫描的 S3 对象中存在恶意软件。 GuardDuty
-
您可以使用下方的一个或多个选项来检查 S3 对象扫描结果监控 S3 对象扫描状态。其中包括使用 Amazon EventBridge、恶意软件防护计划的 CloudWatch 指标以及标记扫描的对象。
您可以使用下方的一个或多个选项来检查 S3 对象扫描结果监控 S3 对象扫描状态。其中包括使用 Amazon EventBridge、恶意软件防护计划的 CloudWatch 指标以及标记扫描的对象。
-