本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon S3 功能支持
下表说明了 S3 恶意软件防护是否支持所列 Amazon S3 功能。
| S3 功能名称 | 是否提供支持? | 描述 |
|---|---|---|
|
S3 存储类 – S3 Standard S3 存储类 – S3 Standard-Infrequent Access S3 存储类 – S3 One Zone-Infrequent Access S3 存储类 – S3 Glacier Instant Retrieval |
是 |
无需不异步还原即可检索 S3 对象。 |
|
S3 存储类 – S3 Intelligent-Tiering |
条件 |
|
|
S3 存储类 – S3 Express One Zone(目录存储桶) |
否 |
GuardDuty 仅支持 S3 恶意软件防护的通用存储桶。 |
|
S3 存储类 – S3 Glacier Flexible Retrieval S3 存储类 – S3 Glacier Deep Archive |
否 |
必须首先还原 S3 对象,然后才能访问这些对象。 |
|
Amazon S3 on Outposts |
否 |
Outposts 上不支持 S3 恶意软件防护。 |
|
S3 版本控制 |
是 |
所有上传的 S3 对象都经过恶意软件扫描。如果您上传了文件版本 v1 的对象,并立即上传了另一个版本替换为 v2,则 GuardDuty 将同时扫描目标文件版本 v1 和 v2。但是,扫描开始的时间顺序可能不同。 |
|
S3 复制 – 扫描复制的对象 |
是 |
如果目标存储桶是受保护的资源,则 GuardDuty 将扫描所有复制到受保护和监控的前缀的 S3 对象。 |
|
S3 复制:基于扫描结果标签复制 |
否 |
您无法定义基于扫描结果标签的复制规则。Amazon S3 不支持复制标签,但在创建时除外。 |
|
数据加密 – S3-SSE 数据加密 – SSE-KMS 数据加密 – DSSE-KMS Amazon KMS -客户管理的密钥 |
是 |
GuardDuty 支持对使用托管密钥和客户托管密钥加密的 S3 对象进行恶意软件扫描。确保 IAM 角色包含使用该密钥的权限。有关更多信息,请参阅 添加 IAM 策略权限。 |
|
数据加密 – SSE-C |
否 |
S3 恶意软件防护不支持扫描使用不可访问的密钥加密的 S3 对象。 |
|
客户端加密 |
否 |
当 S3 对象使用 Amazon S3 加密客户端加密时,您的对象不会暴露给任何第三方,包括 Amazon。要详细了解不支持此功能的原因,请参阅《Amazon S3 用户指南》中的使用客户端加密保护数据。 |
|
S3 对象锁定和诉讼保全 |
是 |
锁定的 S3 对象是基于 WORM(一次写入多次读取)技术锁定的。S3 恶意软件防护可以访问和扫描对象。 |
|
申请方付款 |
是 |
S3 恶意软件防护可以扫描使用申请方付款设置的存储桶。申请方负责支付 S3 调用费用。有关更多信息,请参阅《Amazon S3 用户指南》中的使用申请方付款存储桶进行存储传输和使用。 |
|
S3:存储生命周期 |
是 |
您可以定义基于扫描结果标签的生命周期策略。例如,自动删除恶意对象。有关生命周期配置的更多信息,请参阅《Amazon S3 用户指南》中的管理存储生命周期。 |
|
S3:基于标签的访问控制(TBAC) |
是 |
您可以定义基于 S3 对象扫描结果标签的存储桶资源策略。例如,阻止访问尚未扫描的 S3 对象或 GuardDuty 检测到的威胁。有关更多信息,请参阅 将基于标签的访问控制(TBAC)与 S3 恶意软件防护结合使用。 |