Amazon S3 功能支持 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon S3 功能支持

下表说明了 S3 恶意软件防护是否支持所列 Amazon S3 功能。

S3 功能名称 是否提供支持? 描述

S3 存储类 – S3 Standard

S3 存储类 – S3 Standard-Infrequent Access

S3 存储类 – S3 One Zone-Infrequent Access

S3 存储类 – S3 Glacier Instant Retrieval

无需不异步还原即可检索 S3 对象。

S3 存储类 – S3 Intelligent-Tiering

条件

  • Intelligent Tiering 支持适用于频繁、不频繁和归档实例访问层中的 S3 对象。

  • 不支持选择加入型归档和深度归档访问层。

  • Intelligent Tiering 始终会在频繁访问层中创建新对象。因此,支持在创建时进行对象扫描。

  • 未来的 Intelligent Tiering 功能可能会从存档访问层中的对象开始。因此,不支持此功能。

S3 存储类 – S3 Express One Zone(目录存储桶)

GuardDuty 仅为通用存储桶使用 S3 恶意软件防护。

S3 存储类 – S3 Glacier Flexible Retrieval

S3 存储类 – S3 Glacier Deep Archive

必须首先还原 S3 对象,然后才能访问这些对象。

Amazon S3 on Outposts

Outposts 上不支持 S3 恶意软件防护。

S3 版本控制

所有上传的 S3 对象都经过恶意软件扫描。如果您上传了文件版本为 v1 的对象,然后立即上传了另一个替换版本 v2,那么 GuardDuty 将同时扫描对象文件版本 v1 和 v2。但是,扫描开始的时间顺序可能不同。

S3 复制 – 扫描复制的对象

如果目标存储桶是受保护的资源,则 GuardDuty 将扫描所有复制到受保护且被监控的前缀的 S3 对象。

S3 复制:基于扫描结果标签复制

您无法定义基于扫描结果标签的复制规则。Amazon S3 不支持复制标签,但在创建时除外。

数据加密 – S3-SSE

数据加密 – SSE-KMS

数据加密 – DSSE-KMS

Amazon KMS – 客户自主管理型密钥

GuardDuty 支持对使用托管式密钥和客户自主管理型密钥加密的 S3 对象进行恶意软件扫描。确保 IAM 角色包含使用该密钥的权限。有关更多信息,请参阅 添加 IAM 策略权限

数据加密 – SSE-C

S3 恶意软件防护不支持扫描使用不可访问的密钥加密的 S3 对象。

客户端加密

当 Amazon S3 对象使用 Amazon S3 加密客户端加密时,您的对象不会暴露给任何第三方,包括 Amazon。要了解不支持此功能的原因,请参阅 Protecting data by using client-side encryption

注意

CSE-KMS 加密对象作为无法确定加密的加密 blob 接收。因此,GuardDuty 会在收到这些对象时对其进行处理,并将加密的 blob 作为常规文件进行扫描。GuardDuty 不会返回此类对象的 UNSUPPORTED 扫描状态,除非其中任何一个 S3 恶意软件防护中的配额 超出限制。

S3 对象锁定和诉讼保全

锁定的 S3 对象是基于 WORM(一次写入多次读取)技术锁定的。S3 恶意软件防护可以访问和扫描对象。

申请方付款

S3 恶意软件防护可以扫描使用申请方付款设置的存储桶。申请方负责支付 S3 调用费用。有关更多信息,请参阅《Amazon S3 用户指南》中的使用申请方付款存储桶进行存储传输和使用

S3:存储生命周期

您可以定义基于扫描结果标签的生命周期策略。例如,自动删除恶意对象。有关生命周期配置的更多信息,请参阅《Amazon S3 用户指南》中的管理存储生命周期

S3:基于标签的访问控制(TBAC)

您可以定义基于 S3 对象扫描结果标签的存储桶资源策略。例如,阻止访问尚未扫描或 GuardDuty 检测到威胁的 S3 对象。有关更多信息,请参阅 将基于标签的访问控制(TBAC)与 S3 恶意软件防护结合使用