Malware-Schutz für S3 für Ihren Bucket aktivieren - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Malware-Schutz für S3 für Ihren Bucket aktivieren

Dieser Abschnitt enthält detaillierte Schritte zur Aktivierung von Malware Protection for S3 für einen Bucket in Ihrem eigenen Konto.

Sie können eine bevorzugte Zugriffsmethode wählen, um Malware Protection for S3 für Ihre Buckets zu aktivieren — GuardDuty Konsole oderAPI/AWS CLI.

Themen

    In den folgenden Abschnitten finden Sie eine step-by-step exemplarische Vorgehensweise, wie Sie sie in der GuardDuty Konsole erleben werden.

    So aktivieren Sie den Malware-Schutz für S3 mithilfe der Konsole GuardDuty

    Geben Sie die S3-Bucket-Details ein

    Gehen Sie wie folgt vor, um die Amazon S3 S3-Bucket-Details bereitzustellen:

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Malware Protection for S3 aktivieren möchten.

    3. Wählen Sie im Navigationsbereich die Option Malware Protection for S3 aus.

    4. Wählen Sie im Abschnitt Geschützte Buckets die Option Aktivieren aus, um Malware Protection for S3 für einen S3-Bucket zu aktivieren, der Ihrem eigenen AWS-Konto gehört.

    5. Geben Sie unter S3-Bucket-Details eingeben den Namen des Amazon S3 S3-Buckets ein. Wählen Sie alternativ Browse S3, um einen S3-Bucket auszuwählen.

      Der AWS-Region Name des S3-Buckets und der Bereich AWS-Konto , in dem Sie den Malware-Schutz für S3 aktivieren, müssen identisch sein. Wenn Ihr Konto beispielsweise zur us-east-1 Region gehört, muss dies auch Ihre Amazon S3 S3-Bucket-Region seinus-east-1.

    6. Unter Präfix können Sie entweder Alle Objekte im S3-Bucket oder Objekte, die mit einem bestimmten Präfix beginnen, auswählen.

      • Wählen Sie Alle Objekte im S3-Bucket aus, wenn Sie alle neu hochgeladenen Objekte im ausgewählten Bucket scannen möchten GuardDuty .

      • Wählen Sie Objekte, die mit einem bestimmten Präfix beginnen, wenn Sie die neu hochgeladenen Objekte scannen möchten, die zu einem bestimmten Präfix gehören. Mit dieser Option können Sie den Umfang des Malware-Scans nur auf die ausgewählten Objektpräfixe konzentrieren. Weitere Informationen zur Verwendung von Präfixen finden Sie unter Objekte in der Amazon S3 S3-Konsole mithilfe von Ordnern organisieren im Amazon S3 S3-Benutzerhandbuch.

        Wählen Sie Präfix hinzufügen und geben Sie Präfix ein. Sie können bis zu fünf Präfixe hinzufügen.

    Aktivieren Sie das Tagging für gescannte Objekte

    Dies ist ein optionaler Schritt. Wenn Sie die Tagging-Option aktivieren, bevor ein Objekt in Ihren Bucket hochgeladen wird, GuardDuty wird nach Abschluss des Scans ein vordefiniertes Tag mit dem Schlüssel as GuardDutyMalwareScanStatus und dem Wert als Scanergebnis hinzugefügt. Um den Malware-Schutz für S3 optimal nutzen zu können, empfehlen wir, die Option zum Hinzufügen von Tags zu den S3-Objekten nach Abschluss des Scans zu aktivieren. Es fallen die Standardkosten für das S3-Objekt-Tagging an. Weitere Informationen finden Sie unter Preise und Nutzungskosten für Malware Protection for S3.

    Warum sollten Sie Tagging aktivieren?

    Überlegungen GuardDuty zum Hinzufügen eines Tags zu Ihrem S3-Objekt:

    • Standardmäßig können Sie einem Objekt bis zu 10 Tags zuordnen. Weitere Informationen finden Sie unter Kategorisieren Ihres Speichers mithilfe von Tags im Amazon S3 S3-Benutzerhandbuch.

      Wenn alle 10 Tags bereits verwendet werden, GuardDuty kann das vordefinierte Tag dem gescannten Objekt nicht hinzugefügt werden. GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter Überwachung von S3-Objektscans mit Amazon EventBridge.

    • Wenn die gewählte IAM Rolle nicht über die Berechtigung GuardDuty zum Taggen des S3-Objekts verfügt, können Sie diesem gescannten S3-Objekt auch dann kein Tag hinzufügen, GuardDuty wenn das Tagging für Ihren geschützten Bucket aktiviert ist. Weitere Informationen zu den erforderlichen IAM Rollenberechtigungen für das Tagging finden Sie unter. IAMRollenrichtlinie erstellen oder aktualisieren

      GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter Überwachung von S3-Objektscans mit Amazon EventBridge.

    Um eine Option unter Gescannte Objekte taggen auszuwählen

    • Wenn Sie Ihren gescannten S3-Objekten Tags hinzufügen möchten GuardDuty , wählen Sie Objekte kennzeichnen.

    • Wenn Sie Ihren gescannten S3-Objekten keine Tags hinzufügen möchten GuardDuty , wählen Sie Objekte nicht taggen.

    Zugriff auf Services

    Gehen Sie wie folgt vor, um eine bestehende Servicerolle auszuwählen oder eine neue Servicerolle zu erstellen, die über die erforderlichen Berechtigungen verfügt, um Malware-Scanaktionen in Ihrem Namen durchzuführen. Zu diesen Aktionen können das Scannen der neu hochgeladenen S3-Objekte und (optional) das Hinzufügen von Tags zu diesen Objekten gehören.

    Im Bereich Servicezugriff können Sie einen der folgenden Schritte ausführen:

    1. Eine neue Servicerolle erstellen und verwenden — Sie können eine neue Servicerolle erstellen, die über die erforderlichen Berechtigungen verfügt, um einen Malware-Scan durchzuführen.

      Unter dem Rollennamen können Sie den Namen verwenden, mit dem die Rolle bereits ausgefüllt ist, GuardDuty oder Sie können einen aussagekräftigen Namen Ihrer Wahl eingeben, um die Rolle zu identifizieren. Zum Beispiel GuardDutyS3MalwareScanRole. Der Rollenname muss aus 1—64 Zeichen bestehen. Zulässige Zeichen sind a-z, A-Z, 0-9 und '+=, .@-_'.

    2. Eine bestehende Servicerolle verwenden — Sie können eine vorhandene Servicerolle aus der Liste der Servicerollennamen auswählen.

      1. Unter Richtlinienvorlage können Sie die Richtlinie für Ihren S3-Bucket einsehen. Stellen Sie sicher, dass Sie im Abschnitt S3-Bucket-Details eingeben einen S3-Bucket eingegeben oder ausgewählt haben.

      2. Wählen Sie unter Name der Servicerolle eine Servicerolle aus der Liste der Servicerollen aus.

    Sie können je nach Ihren Anforderungen Änderungen an der Richtlinie vornehmen. Weitere Informationen dazu, wie Sie eine IAM Rolle erstellen oder aktualisieren können, finden Sie unter IAMRollenrichtlinie erstellen oder aktualisieren.

    (Optional) Taggen Sie die ID des Malware-Schutzplans

    Dies ist ein optionaler Schritt, mit dem Sie der Ressource des Malware-Schutzplans, die für Ihre S3-Bucket-Ressource erstellt werden würde, Tags hinzufügen können.

    Jedes Tag besteht aus zwei Teilen: einem Tag-Schlüssel und einem optionalen Tag-Wert. Weitere Informationen zu Tagging und seinen Vorteilen finden Sie unter Ressourcen zum Taggen AWS.

    So fügen Sie Tags zur Ressource Ihres Malware-Schutzplans hinzu

    1. Geben Sie einen Schlüssel und einen optionalen Wert für das Tag ein. Sowohl beim Tag-Schlüssel als auch beim Tag-Wert wird zwischen Groß- und Kleinschreibung unterschieden. Informationen zu den Namen von Tag-Schlüsseln und Tag-Werten finden Sie unter Einschränkungen und Anforderungen für die Benennung von Tags.

    2. Um weitere Tags zur Ressource Ihres Malware-Schutzplans hinzuzufügen, wählen Sie Neues Tag hinzufügen und wiederholen Sie den vorherigen Schritt. Sie können bis zu 50 Tags für jede -Ressource hinzufügen.

    3. Wählen Sie Enable (Aktivieren) aus.

    Dieser Abschnitt enthält die Schritte für den Fall, dass Sie Malware Protection for S3 programmgesteuert in Ihrer AWS Umgebung aktivieren möchten. Dies erfordert die IAM Rolle Amazon Resource Name (ARN), die Sie in diesem Schritt erstellt haben -IAMRollenrichtlinie erstellen oder aktualisieren.

    Um den Malware-Schutz für S3 programmgesteuert mit/zu aktivieren API CLI

    • Durch die Verwendung von API

      Führen Sie den aus CreateMalwareProtectionPlan, um den Malware-Schutz für S3 für einen Bucket zu aktivieren, der zu Ihrem eigenen Konto gehört.

    • Durch die Verwendung von AWS CLI

      Je nachdem, wie Sie den Malware-Schutz für S3 aktivieren möchten, enthält die folgende Liste AWS CLI Beispielbefehle für einen bestimmten Anwendungsfall. Wenn Sie diese Befehle ausführen, ersetzen Sie dieplaceholder examples shown in red, durch die Werte, die für Ihr Konto geeignet sind.

      AWS CLI Beispielbefehle

      • Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket ohne Tagging für gescannte S3-Objekte zu aktivieren:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}

      • Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket mit bestimmten Objektpräfixen und ohne Tagging für gescannte S3-Objekte zu aktivieren:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'

      • Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket zu aktivieren, für den das Tagging von gescannten S3-Objekten aktiviert ist:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}

      Nachdem Sie diese Befehle erfolgreich ausgeführt haben, wird eine eindeutige ID für den Malware-Schutzplan generiert. Um Aktionen wie das Aktualisieren oder Deaktivieren des Schutzplans für Ihren Bucket durchzuführen, benötigen Sie diese ID des Malware-Schutzplans.