本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# GuardDuty S3 防护
<a name="s3-protection"></a>

S3 保护可帮助您检测亚马逊简单存储服务 (Amazon S3) 存储桶中数据的潜在安全风险，例如数据泄露和破坏。 GuardDuty 监控 Amazon S3 Amazon CloudTrail 的数据事件，其中包括对象级 API 操作，用于识别您账户中所有 Amazon S3 存储桶中的这些风险。

当基于 S3 数据事件监控 GuardDuty 检测到潜在威胁时，它会生成安全发现。有关启用 S3 保护时 GuardDuty 可能生成的查找类型的信息，请参阅[GuardDuty S3 保护查找类型](guardduty_finding-types-s3.md)。

默认情况下，基础威胁检测包括通过监控 [Amazon CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane) 来识别 Amazon S3 资源中的潜在威胁。此数据来源与 S3 的 Amazon CloudTrail 数据事件不同，因为两者会监控环境中不同类型的活动。

您可以在任何 GuardDuty [支持此功能](https://docs.amazonaws.cn/guardduty/latest/ug/guardduty_regions.html)的区域的账户中启用 S3 保护。这将帮助您监控该账户和区域中 S3 CloudTrail 的数据事件。启用 S3 保护后， GuardDuty 将能够全面监控您的 Amazon S3 存储桶，并针对存储在 S3 存储桶中的数据的可疑访问生成调查结果。

要使用 S3 防护，您无需在 Amazon CloudTrail中显式启用或配置 S3 数据事件日志记录。

**30 天免费试用期**  
以下列表说明了 30 天免费试用期用于账户的方式：  
+ 首次在新区域 GuardDuty Amazon Web Services 账户 中启用时，您将获得 30 天的免费试用。在这种情况下， GuardDuty 还将启用免费试用版中包含的 S3 保护。
+ 如果您已经在使用 GuardDuty 并决定首次启用 S3 保护，那么您在该区域的账户将获得 30 天的 S3 保护免费试用。
+ 您可以随时选择禁用任何区域的 S3 防护。
+ 在 30 天免费试用期内，您可以估算该账户在该区域的使用成本。30 天免费试用期结束后，S3 防护不会自动禁用。您的账户在该区域将开始产生使用成本。有关更多信息，请参阅 [监控 GuardDuty 使用情况和估算成本](monitoring_costs.md)。

## Amazon CloudTrail S3 的数据事件
<a name="guardduty_s3dataplane"></a>

数据事件也称为数据面板操作，提供对在资源上或资源内执行的资源操作的见解。数据事件通常是高容量活动。

以下是 S3 中 GuardDuty 可以监控 CloudTrail 的数据事件示例：  
+ `GetObject` API 操作
+ `PutObject` API 操作
+ `ListObjects` API 操作
+ `DeleteObject` API 操作
有关这些内容的更多信息 APIs，请参阅 [Amazon 简单存储服务 API 参考](https://docs.amazonaws.cn/AmazonS3/latest/API/API_Operations_Amazon_Simple_Storage_Service.html)。

## 如何在 S3 中 GuardDuty 使用 CloudTrail 数据事件
<a name="s3-data-source"></a>

启用 S3 保护后， GuardDuty 开始分析来自所有 S3 存储桶的 S3 CloudTrail 数据事件，并监控这些事件中是否存在恶意和可疑活动。有关更多信息，请参阅 [Amazon CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)。

当未通过身份验证的用户访问某个 S3 对象时，意味着该 S3 对象可以公开访问。因此， GuardDuty 不处理此类请求。 GuardDuty 使用有效的 IAM (Amazon Identity and Access Management) 或 Amazon STS (Amazon Security Token Service) 凭证处理对 S3 对象发出的请求。

**备注**  
启用 S3 保护后，将 GuardDuty 监控位于您启用的 GuardDuty同一区域的 Amazon S3 存储桶中的数据事件。

如果您在特定区域的账户中禁用 S3 保护，则 GuardDuty 会停止对存储在 S3 存储桶中的数据的 S3 数据事件监控。 GuardDuty 将不再为您的账户在该区域生成 S3 保护查找类型。

### GuardDuty 将 S3 CloudTrail 的数据事件用于攻击序列
<a name="s3-protection-attack-sequence"></a>

[GuardDuty 扩展威胁检测](guardduty-extended-threat-detection.md) 可检测账户中跨越基础数据来源、 Amazon 资源和时间线的多阶段攻击序列。当 GuardDuty 观察到一系列事件表明您的账户中最近或正在进行可疑活动时， GuardDuty 会生成相关的攻击序列发现。

默认情况下，当您启用时 GuardDuty，扩展威胁检测也会在您的账户中启用。此功能涵盖了与 CloudTrail 管理事件相关的威胁场景，无需支付额外费用。但是，要充分发挥扩展威胁检测的潜力， GuardDuty 建议启用 S3 防护以涵盖与 S3 CloudTrail 数据事件相关的威胁场景。

启用 S3 保护后， GuardDuty 将自动涵盖可能涉及您的 Amazon S3 资源的攻击序列威胁场景，例如数据泄露或损坏。