本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
恶意软件防护功能
弹性块存储(EBS)卷
本节介绍恶意软件防护(包括 GuardDuty启动的恶意软件扫描和按需恶意软件扫描)如何扫描与您的 Amazon EC2 实例和容器工作负载关联的 Amazon EBS 卷。在继续之前,请考虑以下自定义项:
扫描选项:恶意软件防护提供指定标签的功能,以便在扫描过程中包括或排除 Amazon EC2 实例和 Amazon EBS 卷。只有 GuardDuty启动的恶意软件扫描才支持带有用户定义标签的扫描选项。 GuardDuty启动的恶意软件扫描和按需恶意软件扫描都支持全局
GuardDutyExcluded标记。有关更多信息,请参阅 使用用户定义的标签扫描选项。快照保留 — 恶意软件防护提供了在 Amazon 账户中保留 Amazon EBS 卷快照的选项。默认情况下,此选项处于关闭状态。您可以为 GuardDuty 已启动和按需的恶意软件扫描选择快照保留。有关更多信息,请参阅 快照保留。
当 GuardDuty 生成表明在 Amazon EC2 实例或容器工作负载中可能存在恶意软件的调查结果,并且您已在 “恶意软件保护” 中启用 GuardDuty 了已 GuardDuty启动的扫描类型时,可能会根据您的扫描选项调用已启动的恶意软件扫描。
要在与 Amazon EC2 实例关联的 Amazon EBS 卷上启动按需恶意软件扫描,请提供 Amazon EC2 实例的 Amazon 资源名称(ARN)。
作为对按需恶意软件扫描或自动调用的 GuardDuty恶意软件扫描的响应, GuardDuty 创建附加到可能受影响的资源的相关 EBS 卷的快照,并与共享。GuardDuty 服务账户根据这些快照,在服务账户中 GuardDuty 创建加密副本 EBS 卷。
扫描完成后, GuardDuty 删除加密副本 EBS 卷和 EBS 卷的快照。如果发现恶意软件并且您已开启快照保留设置,则 EBS 卷的快照不会被删除,而是会自动保留在您的 Amazon 帐户中。如果未发现任何恶意软件,则无论快照保留设置如何,系统都不会保留您 EBS 卷的快照。默认情况下,快照保留设置处于关闭状态。有关快照成本及快照保留的信息,请参阅 Amazon EBS 定价
GuardDuty 将在服务帐户中保留每个副本 EBS 卷最多 55 小时。如果服务中断,或者副本 EBS 卷及其恶意软件扫描出现故障,则 GuardDuty 将这样的 EBS 卷保留不超过七天。延长卷保留期是为了对中断或故障进行分类和解决。 GuardDuty 在中断或故障得到解决后,或者延长保留期过后,恶意软件防护将从服务帐户中删除副本 EBS 卷。