亚马逊中的亚马逊 S3 保护GuardDuty - Amazon GuardDuty
怎么样GuardDuty使用 S3 数据事件为独立账户配置 S3 保护在多账户环境中配置 S3 保护
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊中的亚马逊 S3 保护GuardDuty

S3 保护为亚马逊提供帮助GuardDuty显示器Amazon CloudTrail亚马逊简单存储服务 (Amazon S3) 的数据事件,包括对象级 API 操作,用于识别您的 Amazon S3 存储桶中数据的潜在安全风险。

GuardDuty同时显示两者Amazon CloudTrail管理活动和Amazon CloudTrail用于识别您的 Amazon S3 资源中潜在威胁的 S3 数据事件。这两个数据源都监视不同类型的活动。的例子CloudTrailS3 的管理事件包括列出或配置 Amazon S3 存储桶的操作,例如ListBucketsDeleteBuckets,以及PutBucketReplication。的例子CloudTrailS3 的数据事件包括对象级 API 操作,例如GetObjectListObjectsDeleteObject,以及PutObject

当您启用亚马逊时GuardDuty对于Amazon Web Services 账户,GuardDuty开始监控CloudTrail管理事件,这是不可配置的。您可以启用或禁用 S3 保护功能(用于监控)CloudTrail任何账户中任何账户的 S3 (数据事件)Amazon Web Services 区域此功能在亚马逊上可用GuardDuty,在任何时候。一个Amazon Web Services 账户那已经启用了GuardDuty现在可以在 30 天免费试用期内首次启用 S3 保护。为了一个Amazon Web Services 账户这使得GuardDutyS3 保护首次启用并包含在 30 天免费试用期内。有关更多信息,请参阅 估计GuardDuty成本

我们建议您在中启用 S3 保护GuardDuty。如果未启用此功能,GuardDuty将无法完全监控您的 Amazon S3 存储桶,也无法生成对存储在 S3 存储桶中的数据的可疑访问结果。

怎么样GuardDuty使用 S3 数据事件

当您启用 S3 数据事件(S3 保护)时,GuardDuty开始分析来自所有 S3 存储段的 S3 数据事件,并监控它们是否存在恶意和可疑活动。有关更多信息,请参阅Amazon CloudTrailS3 的数据事件

GuardDuty不会处理对您已设为可公开访问的对象的请求,但是当存储桶被公开访问时,它会提醒您。什么时候GuardDuty基于 S3 数据事件监控检测到威胁,它会生成安全发现。有关发现类型的信息GuardDuty可以为 Amazon S3 存储桶生成,请参阅GuardDuty S3 查找类型

如果您禁用 S3 保护,GuardDuty停止 S3 数据事件监视存储在 S3 存储桶中的数据。

为独立账户配置 S3 保护

适用于关联的账户Amazon Organizations,可以通过控制台设置自动执行此过程。有关更多信息,请参阅在多账户环境中配置 S3 保护

启用或禁用 S3 保护

选择您的首选访问方法,为独立账户配置 S3 保护。

Console

  1. 登录到Amazon Web Services Management Console然后打开GuardDuty控制台在https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择S3 防护

  3. S3 防护页面提供您的账户的 S3 保护的当前状态。选择启用要么禁用随时启用或禁用 S3 保护。

  4. 选择确认以确认您的选择。

API/CLI

  1. updateDetector使用您在当前区域的有效探测器 ID 并传递features宾语name如同S3_DATA_EVENTS设置为ENABLED要么DISABLED分别启用或禁用 S3 保护。

    注意

    你可以找到你自己的detectorId适用于您当前所在的区域设置中的页面https://console.aws.amazon.com/guardduty/控制台。

  2. 或者,你可以使用Amazon Command Line Interface。要启用 S3 保护,请运行以下命令并确保使用您自己的有效检测器 ID。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

    要禁用 S3 保护,请替换ENABLEDDISABLED在示例中。

在多账户环境中配置 S3 保护

在多账户环境中,只有GuardDuty委托管理员帐户可以选择为其中的成员账户配置(启用或禁用)S3 保护Amazon组织。该GuardDuty成员账户无法从其账户修改此配置。该GuardDuty委托管理员账户使用以下方式管理其成员账户Amazon Organizations。委托管理员可以选择在组织中的所有帐户、仅新帐户或不启用任何帐户 S3 Protection。有关更多信息,请参阅使用以下方式管理账户Amazon Organizations

选择您的首选访问方法,为委托管理员账户配置 S3 保护。

Console

  1. 打开GuardDuty控制台在https://console.aws.amazon.com/guardduty/

    确保使用管理账户证书。

  2. 在导航窗格中,选择S3 防护

  3. S3 防护页面,选择编辑

  4. 请执行下列操作之一:

    使用为所有账户启用

    • 选择为所有账户启用。这将为所有活跃人员启用保护计划GuardDuty您的账户Amazon组织,包括加入该组织的新账户。

    • 选择保存

    使用手动配置账户

    • 要仅为委派管理员帐户启用保护计划,请选择手动配置账户

    • 选择启用在下面委派管理员(此账户)部分。

    • 选择保存

API/CLI

updateDetector使用当前区域的委托管理员帐户的探测器 ID 并传递features宾语name如同S3_DATA_EVENTSstatus如同ENABLED要么DISABLED

或者,您可以使用配置 S3 保护Amazon Command Line Interface。运行以下命令,并确保替换12abc34d567e8fa901bc2d34e56789f0使用当前区域的委托管理员帐户的探测器 ID 和555555555555和Amazon Web Services 账户委托管理员账户的 ID。

你可以找到你自己的detectorId适用于您当前所在的区域设置中的页面https://console.aws.amazon.com/guardduty/控制台。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --acountids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
Console

  1. 打开GuardDuty控制台在https://console.aws.amazon.com/guardduty/

    使用您的管理员帐户登录。

  2. 请执行下列操作之一:

    使用S3 防护

    1. 在导航窗格中,选择S3 防护

    2. 选择为所有账户启用。此操作会自动为组织中的现有和新帐户启用 S3 保护。

    3. 选择保存

      注意

      更新成员帐户的配置最多可能需要 24 小时。

    使用账户

    1. 在导航窗格中,选择 Accounts (账户)

    2. 账户页面,选择自动启用之前的偏好通过邀请添加账户

    3. 在里面管理自动启用的首选项窗口,选择为所有账户启用S3 防护

    4. 选择保存

    如果你不能使用为所有账户启用选项,请参见有选择地在成员账户中启用或禁用 S3 保护

API/CLI

  • 要有选择地为您的成员账户启用或禁用 S3 保护,请调用updateMemberDetectors使用你自己的 API 操作探测器 ID

  • 以下示例说明如何为单个成员账户启用 S3 保护。一定要更换12abc34d567e8fa901bc2d34e56789f0detector-id委托管理员账户的,以及111122223333。要禁用 S3 保护,请替换ENABLEDDISABLED

    你可以找到你自己的detectorId适用于您当前所在的区域设置中的页面https://console.aws.amazon.com/guardduty/控制台。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    注意

    您也可以传递以空格分隔的账户 ID 列表。

  • 成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的探测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。

选择您的首选访问方式,为组织中的所有现有活跃成员账户启用 S3 保护。

Console

  1. 登录到Amazon Web Services Management Console然后打开GuardDuty控制台在https://console.aws.amazon.com/guardduty/

    使用委派的管理员凭据登录。

  2. 在导航窗格中,选择S3 防护

  3. S3 防护页面,您可以查看配置的当前状态。在下面活跃的会员账户部分,选择行动

  4. 来自行动下拉菜单,选择为所有现有的活跃成员账户启用

  5. 选择 Confirm(确认)。

API/CLI

  • 要有选择地为您的成员账户启用或禁用 S3 保护,请调用updateMemberDetectors使用你自己的 API 操作探测器 ID

  • 以下示例说明如何为单个成员账户启用 S3 保护。一定要更换12abc34d567e8fa901bc2d34e56789f0detector-id委托管理员账户的,以及111122223333。要禁用 S3 保护,请替换ENABLEDDISABLED

    你可以找到你自己的detectorId适用于您当前所在的区域设置中的页面https://console.aws.amazon.com/guardduty/控制台。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    注意

    您也可以传递以空格分隔的账户 ID 列表。

  • 成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的探测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。

选择您的首选访问方式,为加入您的组织的新账户启用 S3 保护。

Console

委托管理员可以通过控制台在组织中启用新成员帐户,使用以下任一方法S3 防护要么账户页面。

为新成员账户自动启用 S3 保护

  1. 打开GuardDuty控制台在https://console.aws.amazon.com/guardduty/

    确保使用委派管理员账户凭证。

  2. 请执行下列操作之一:

    • 使用S3 防护页面:

      1. 在导航窗格中,选择S3 防护

      2. S3 防护页面,选择编辑

      3. 选择手动配置账户

      4. 选择自动为新成员账户启用。此步骤可确保每当有新账户加入您的组织时,都会自动为其账户启用 S3 保护。只有组织委托的管理员可以修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择 Accounts (账户)

      2. 账户页面,选择自动启用首选项。

      3. 在里面管理自动启用的首选项窗口,选择为新账户启用S3 防护

      4. 选择保存

API/CLI

  • 要有选择地为您的成员账户启用或禁用 S3 保护,请调用UpdateOrganizationConfiguration使用你自己的 API 操作探测器 ID

  • 以下示例说明如何为单个成员账户启用 S3 保护。要将其禁用,请参见有选择地为成员账户启用或禁用 RDS 保护。将首选项设置为在该地区为新账户自动启用或禁用保护计划 (NEW) 加入该组织的所有账户 (ALL),或者没有一个账户(NONE)在组织中。有关更多信息,请参见autoEnableOrganization会员。根据您的喜好,您可能需要更换NEWALL要么NONE

    你可以找到你自己的detectorId适用于您当前所在的区域设置中的页面https://console.aws.amazon.com/guardduty/控制台。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": NEW}]'
    注意

    您也可以传递以空格分隔的账户 ID 列表。

  • 成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的探测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。

选择您的首选访问方法,有选择地为成员账户启用或禁用 S3 保护。

Console

  1. 打开GuardDuty控制台在https://console.aws.amazon.com/guardduty/

    确保使用委派管理员账户凭证。

  2. 在导航窗格中,选择 Accounts (账户)

    账户页面,查看S3 防护列显示您的会员账户的状态。

  3. 有选择地启用或禁用 S3 保护

    选择要为其配置 S3 保护的账户。您可以一次选择多个账户。在里面编辑保护计划下拉菜单,选择S3Pro,然后选择相应的选项。

API/CLI

要有选择地为您的成员账户启用或禁用 S3 保护,请运行updateMemberDetectors使用您自己的探测器 ID 进行 API 操作。以下示例说明如何为单个成员账户启用 S3 保护。要禁用它,请替换truefalse

你可以找到你自己的detectorId适用于您当前所在的区域设置中的页面https://console.aws.amazon.com/guardduty/控制台。

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
注意

您也可以传递以空格分隔的账户 ID 列表。

成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的探测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。

注意

如果您使用脚本登录新帐户并想在新帐户中禁用 S3 保护,则可以修改createDetector带有可选的 API 操作dataSources对象,如本主题所述。

重要

默认情况下,S3 保护会自动启用Amazon Web Services 账户那个加入GuardDuty这是第一次。

如果你是一个GuardDuty管理员启用GuardDuty这是第一次使用新账户并且不想在默认情况下启用 S3 保护,您可以通过修改将其禁用createDetector带有可选的 API 操作features对象。以下示例使用Amazon CLI启用新的GuardDuty禁用 S3 保护的探测器。

 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'