恶意软件防护计划状态故障排除 - Amazon GuardDuty
此 S3 存储桶已禁用 EventBridge 通知缺少用于接收 S3 存储桶事件的 EventBridge 托管式规则S3 存储桶已不再存在无法放置测试对象
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

恶意软件防护计划状态故障排除

对于任何受保护的存储桶,GuardDuty 都会根据排名显示状态。例如,假设受保护的存储桶存在错误警告类别下的问题,则 GuardDuty 将首先显示与错误状态相关的问题。

以下列表包括有关恶意软件防护计划状态的错误和警告。

错误
警告

无法放置测试对象

此 S3 存储桶已禁用 EventBridge 通知

相关状态原因代码是 EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED

状态详细信息

当有新对象上传到此 S3 存储桶时,GuardDuty 将通过 EventBridge 接收到通知。您的 IAM 角色中缺少此权限。

故障排除步骤

选项 1:将以下权限语句添加到您的 IAM 角色中:

{
          "Sid": "AllowEnableS3EventBridgeEvents",
          "Effect": "Allow",
          "Action": [
             "s3:PutBucketNotification",
             "s3:GetBucketNotification"
             ],
          "Resource": [
             "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
}

amzn-s3-demo-bucket 替换为您的 Amazon S3 存储桶名称。

选项 2:使用 Amazon S3 控制台启用 EventBridge 通知

  1. 通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 存储桶页面的通用存储桶选项卡下,选择与此错误关联的存储桶名称。

  3. 在此存储桶的页面上,选择属性选项卡。

  4. Amazon EventBridge 部分下,选择编辑

  5. 编辑 Amazon EventBridge 页面上,对于向 Amazon EventBridge 发送此存储桶中所有事件的通知,选择开启

  6. 选择保存更改

状态列的值可能需要几分钟时间才会变为活动

缺少用于接收 S3 存储桶事件的 EventBridge 托管式规则

相关状态原因代码是 EVENTBRIDGE_MANAGED_RULE_DISABLED

状态详细信息

缺少用于管理 EventBridge 规则设置的 EventBridge 托管式规则权限。

故障排除步骤

将以下权限语句添加到您的 IAM 角色中:

{
         "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
        "Effect": "Allow",
        "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
        "Resource": [
           "arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
           ],
        "Condition": {
           "StringEquals": {
              "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
              }
           }
}

状态列的值可能需要几分钟时间才会变为活动

S3 存储桶已不再存在

相关状态原因代码是 PROTECTED_RESOURCE_DELETED

状态详细信息

此 S3 存储桶已从您的账户中删除,不复存在。

故障排除步骤

如果 S3 存储桶的删除并非有意,则可以使用 Amazon S3 控制台创建新的存储桶。

成功创建存储桶后,按照为存储桶配置 S3 恶意软件防护页面下方的步骤启用 S3 恶意软件防护。

无法放置测试对象

相关状态原因代码是 INSUFFICIENT_TEST_OBJECT_PERMISSIONS

注意

添加测试对象的权限是可选的。您的 IAM 角色缺少此权限并不妨碍 S3 恶意软件防护对新上传的对象启动恶意软件扫描。成功启动扫描后,恶意软件防护计划的状态可能需要几分钟时间才会从警告变为 活动

如果 IAM 角色已经包含此权限,则此警告表示存在限制性的 Amazon S3 存储桶策略,不允许将测试对象放入此 S3 存储桶中的 IAM 访问权限。

状态详细信息

为了验证所选存储桶的设置,GuardDuty 在您的存储桶中放置了一个测试对象。

故障排除步骤

您可以选择更新该 IAM 角色以包含缺失的权限。为选定的 IAM 角色添加以下权限,以便 GuardDuty 可以将测试对象放入选定的资源:

{
         "Sid": "AllowPutValidationObject",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
           ],
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
           ]
}

amzn-s3-demo-bucket 替换为您的 Amazon S3 存储桶名称。有关 IAM 角色权限的信息,请参阅创建或更新 IAM 角色策略

状态列的值可能需要几分钟时间才会变为活动