Amazon S3 保护 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3 保护

S3 保护使能Amazon GuardDuty来监控对象级别 API 操作,以确定 S3 存储桶中数据的潜在安全风险。

GuardDuty 监控针对您的 Amazon S3 资源的威胁Amazon CloudTrail管理事件和 CloudTrail S3 数据事件。这些数据源监视不同类型的活动,例如,S3 的 CloudTrail 管理事件包括列出或配置 S3 存储桶的操作,例如ListBucketsDeleteBuckets, 和PutBucketReplication。S3 的数据事件示例包括对象级 API 操作,例如GetObjectListObjectsDeleteObject, 和PutObject

默认情况下,对于已启用 GuardDuty 且不可配置的所有帐户,CloudTrail 管理事件的保护责任监控处于启用状态。CloudTrail S3 数据事件日志是 GuardDuty 中的可配置数据源。默认情况下,对于新检测器启用 S3 保护,对于在添加 S3 保护之前创建的帐户,必须手动启用此数据源。本主题介绍了启用或禁用 S3 数据事件监视的过程。

强烈建议您在 GuardDuty 中启用 S3 保护。如果禁用此功能,GuardDuty 将无法完全监控或生成可疑访问 S3 存储桶中存储的数据的调查结果。

了解卫队如何使用 S3 数据事件

GuardDuty 中的 S3 保护功能是指 S3 数据事件是否作为 GuardDuty 的数据源启用。启用 S3 数据事件监控后,GuardDuty 立即开始分析来自您的所有 S3 存储桶的 S3 数据事件,并监控它们是否存在恶意和可疑活动。有关更多信息,请参阅 Amazon GuardDuty 如何使用其数据源

GuardDuty 不会处理对您已公开访问的对象的请求,但它会在存储桶被公开访问时提醒您。当 GuardDuty 检测到基于 S3 数据事件监控的威胁时,它会生成一个安全查找结果。有关可以为 Amazon S3 生成的搜 GuardDuty 结果类型的信息,请参阅GuardDuty S3 调查结果类型

如果禁用 S3 保护,GuardDuty 会立即停止使用此数据源,并停止监控存储在 S3 存储桶中的数据的访问。

为独立账户配置 S3 保护

对于由Amazon Organizations,则可以通过控制台设置自动执行此过程,如下一节所述。

在添加 S3 保护之前使用 GuardDuty Duty 的帐户可以通过控制台或UpdateDetectorAPI 操作。

要将 Amazon S3 数据事件配置为账户的数据源,请参阅以下配置选项。

启用或禁用 S3 保护

选择以下访问方法,了解有关启用或禁用独立账户 S3 保护的说明。

Console
  1. 登录https://console.aws.amazon.com/guardduty/控制台。

  2. 在导航窗格中的设置中,选择S3 保护

  3. 这些区域有:S3 保护窗格中列出了您账户的 S3 保护的当前状态。您可以随时启用或禁用它,方法是选择启用或者禁用,然后确认您的选择。

API
  • 运行UpdateDetectorAPI 操作使用您自己的区域检测器 ID 并传递dataSources使用对象执行"S3 Logs":"enable"分别设置为 true 或 false。

    您还可以使用Amazon命令行工具,方法是运行以下AmazonCLI 命令。务必使用您自己的有效探测器 ID。

    注意

    以下示例代码启用 S3 保护。要禁用它,请将true替换为false

    Amazon guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"S3Logs":{"Enable":true}}'

在多账户环境中配置 S3 保护

在多账户环境中,只有 GuardDuty 管理员帐户可以配置 S3 保护。GuardDuty 管理员帐户可以为其成员帐户启用或禁用 S3 保护。GuardDuty 成员帐户无法启用或禁用此数据源。

用于管理其成员帐户的 GuardTay 管理员帐户Amazon Organizations支持可以选择在组织中的所有新帐户上自动启用 S3 保护。有关更多信息,请参阅 使用管理 GuardDuty 账户Amazon Organizations

自动为组织成员帐户启用 S3 保护

注意

此功能仅适 GuardDuty 通过Amazon Organizations。

  1. 登录https://console.aws.amazon.com/guardduty/控制台使用管理员帐户执行。

  2. 在导航窗格中的 Settings 下,选择 Accounts

  3. 确保自动启用已打开 GuardDuty 职责。如果它处于关闭状态,则可以通过选择启用或通过选择自动启用已关闭。此功能将自动为组织中的新成员帐户启用 GuardDuty,并且必须启用此功能才能自动启用 S3 保护。

  4. 启用 “自动启用” 后,您可以为新成员启用 S3 保护,除了通过选择S3 保护切换图标。选择更新设置进行确认。

在成员帐户中有选择地启用或禁用 S3 保护

选择以下访问方法,了解有关为成员账户启用或禁用 S3 保护的说明。

Console

为所有账户启用 S3 保护

  1. 登录https://console.aws.amazon.com/guardduty/控制台。

  2. 如果要同时为所有账户启用 S3 保护,请选择S3 保护从导航窗格中。

  3. 您将看到一个反映您管理的已启用 S3 保护的账户数量的语句。选择启用所有为所有账户启用 S3 保护。

    注意

    如果您管理组织内的帐户,此操作还会启用自动启用功能为组织中的未来成员帐户自动启用 S3 保护。

在成员帐户中有选择地启用或禁用 S3 保护

  1. 登录https://console.aws.amazon.com/guardduty/控制台。

  2. 在导航窗格中的 Settings 下,选择 Accounts

    注意

    在 “帐户” 表中,查看S3 保护column. 绿色复选标记图标表示已启用 S3 保护,蓝色破折号图标表示已禁用。如果此列为空,则该账户不符合 S3 保护条件。您还可以按ENABLED或者已禁用

  3. 选择要配置 S3 保护的账户。从操作菜单选择启用 S3 保护或者禁用 S3 保护,然后确认您的选择以更改所选帐户的设置。表格将自动更新以显示您的更改。

API

要有选择地启用或禁用成员帐户的 S3 保护,请运行更新成员检测器使用您自己的检测器 ID 进行 API 操作。以下示例说明了如何为单个成员账户启用 S3 保护。要禁用它,请将true替换为false

Amazon guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"S3Logs":{"Enable":true}}'
注意

还可以传递用空格分隔的帐户 ID 列表。

当代码成功执行时,它会返回UnprocessedAccounts。如果更改某个帐户的检测器设置时出现任何问题,则会列出该帐户 ID 以及问题摘要。

注意

如果您使用脚本加入新账户并希望在新账户中禁用 S3 保护,则可以修改createDetectorAPI 操作与可选dataSources对象,如本主题中所述。

自动禁用新的 GuardDuty 帐户的 S3 保护

重要

默认情况下,S3 保护会自动为新的检测器启用。

如果您是 GuardDuty 管理员首次在新帐户上启用 GuardDuty,并且您不希望默认启用 S3 保护,则可以通过修改createDetectorAPI 操作与可选dataSources对象。以下示例使用AmazonCLI 以启用禁用 S3 保护的新的 GuardDuty 检测器。

Amazon guardduty create-detector --enable --data-sources '{"S3Logs":{"Enable":false}}'