在 Guarduty 中启动按需恶意软件扫描
本节列出了启动按需恶意软件扫描之前的先决条件,以及首次对资源启动扫描的步骤。
作为 GuardDuty 管理员账户,对于账户中设置了以下先决条件的活动成员账户,您可以代表这些账户启动按需恶意软件扫描。GuardDuty 中的独立账户和活动成员账户也可以为自己的 Amazon EC2 实例启动按需恶意软件扫描。
先决条件
在启动按需恶意软件扫描之前,您的账户必须满足以下先决条件:
-
必须在要启动按需恶意软件扫描的 Amazon Web Services 区域中启用 GuardDuty。
-
确保将 Amazon 托管式策略:AmazonGuardDutyFullAccess_v2(推荐) 附加到 IAM 用户或 IAM 角色。您需要与 IAM 用户或 IAM 角色关联的访问密钥和私有密钥。
-
作为委派 GuardDuty 管理员账户,您可以选择代表活动成员账户启动按需恶意软件扫描。
-
在启动按需恶意软件扫描之前,请确保在过去 1 小时内没有对同一资源启动扫描,否则,扫描中的重复数据将被删除。有关更多信息,请参阅 重新扫描之前已扫描的 Amazon EC2 实例。
-
如果您是没有EC2 恶意软件防护的服务相关角色权限的成员账户,则对属于您账户的 Amazon EC2 实例启动按需恶意软件扫描后,系统将自动创建用于 EC2 恶意软件防护的 SLR。
重要
当恶意软件扫描仍在进行时,确保没有人删除 EC2 恶意软件防护的 SLR 权限。此恶意软件扫描可以由 GuardDuty 启动,也可以按需启动。删除 SLR 会使扫描无法成功完成,也无法提供明确的扫描结果。
启动按需恶意软件扫描
您可以通过 GuardDuty 控制台或使用 Amazon CLI 启动按需恶意软件扫描。您需要提供要启动扫描的 Amazon EC2 的 Amazon 资源名称(ARN)。详细步骤详见下一节中有关控制台和 API/Amazon CLI 的说明。
选择您偏好的访问方法来启动按需恶意软件扫描。
1有关您的 Amazon EC2 实例 ARN 格式的信息,请参阅 Amazon 资源名称(ARN)。对于 Amazon EC2 实例,您可以通过替换分区、区域、Amazon Web Services 账户 ID 和 Amazon EC2 实例 ID 的值,来使用以下示例 ARN 格式。有关您的实例 ID 长度的信息,请参阅资源 ID。
arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f
Amazon Organizations 服务控制策略:拒绝访问
通过在 Amazon Organizations 中使用服务控制策略(SCP),委派 GuardDuty 管理员账户可以限制权限和禁止某些操作,例如,对您账户拥有的 Amazon EC2 实例启动按需恶意软件扫描。
当您以 GuardDuty 成员账户身份为 Amazon EC2 实例启动按需恶意软件扫描时,可能会收到错误消息。您可以连接管理账户,了解为何系统为您的成员账户设置 SCP。有关更多信息,请参阅 SCP 对权限的影响。