Habilitar la protección contra malware para S3 en su bucket - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar la protección contra malware para S3 en su bucket

En esta sección, se proporcionan pasos detallados sobre cómo habilitar la protección contra malware para S3 en un bucket de tu propia cuenta. Antes de seguir los pasos de esta sección, necesitarás un IAM rol con permisos que te ayuden a GuardDuty tomar medidas en tu nombre. Para obtener más información, consulte Requisito previo: crear o actualizar la política de IAM roles.

Puede elegir el método de acceso que prefiera para habilitar la protección contra malware para S3 en sus buckets: GuardDuty consola oAPI/AWS CLI.

Temas

    En las siguientes secciones se proporciona un step-by-step tutorial tal y como se verá en la GuardDuty consola.

    Para habilitar la protección contra malware para S3 mediante la consola GuardDuty

    Introduzca los detalles del bucket de S3

    Siga los siguientes pasos para proporcionar los detalles del bucket de Amazon S3:

    1. Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    2. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee activar la protección contra malware para S3.

    3. En el panel de navegación, elija Malware Protection for S3.

    4. En la sección Depósitos protegidos, seleccione Activar para activar la protección contra malware para S3 en un depósito de S3 que le Cuenta de AWS pertenezca.

    5. En Introducir los detalles del bucket de S3, introduce el nombre del bucket de Amazon S3. También puede elegir Browse S3 para seleccionar un bucket de S3.

      El depósito Región de AWS de S3 y el Cuenta de AWS lugar en el que se habilita la protección contra malware para S3 deben ser los mismos. Por ejemplo, si su cuenta pertenece a la us-east-1 región, la región de su bucket de Amazon S3 también debe estarlous-east-1.

    6. En Prefijo, puede seleccionar Todos los objetos del bucket de S3 u Objetos que comiencen con un prefijo específico.

      • Seleccione Todos los objetos del depósito de S3 cuando lo desee y GuardDuty podrá escanear todos los objetos recién cargados del depósito seleccionado.

      • Seleccione Objetos que comiencen por un prefijo específico cuando desee escanear los objetos recién cargados que pertenecen a un prefijo específico. Esta opción le ayuda a centrar el análisis de malware únicamente en los prefijos de los objetos seleccionados. Para obtener más información sobre el uso de prefijos, consulte Organizar objetos en la consola de Amazon S3 mediante carpetas en la Guía del usuario de Amazon S3.

        Elija Añadir prefijo e introduzca el prefijo. Puede añadir hasta cinco prefijos.

    Habilite el etiquetado de los objetos escaneados

    Se trata de un paso opcional. Si activas la opción de etiquetado antes de que un objeto se cargue en tu depósito, después de completar el escaneo, GuardDuty añadirá una etiqueta predefinida con la clave as GuardDutyMalwareScanStatus y el valor como resultado del escaneo. Para utilizar la protección contra malware para S3 de forma óptima, recomendamos activar la opción de añadir una etiqueta a los objetos de S3 una vez finalizado el escaneo. Se aplica el costo estándar de etiquetado de objetos de S3. Para obtener más información, consulte Precios y costes de uso de Malware Protection for S3.

    ¿Por qué deberías habilitar el etiquetado?

    Consideraciones GuardDuty para añadir una etiqueta a su objeto S3:

    Para seleccionar una opción en Etiquetar objetos escaneados

    • Cuando desee añadir etiquetas GuardDuty a los objetos S3 escaneados, seleccione Etiquetar objetos.

    • Si no desea añadir etiquetas GuardDuty a los objetos S3 escaneados, seleccione No etiquetar objetos.

    Permisos

    Siga estos pasos para elegir un IAM rol que tenga los permisos necesarios para realizar acciones de análisis de malware en su nombre. Estas acciones pueden incluir escanear los objetos S3 recién cargados y (opcionalmente) añadir etiquetas a esos objetos.

    Para elegir el nombre de un IAM rol

    1. Si ya ha realizado los pasos que se indican a continuaciónRequisito previo: crear o actualizar la política de IAM roles, haga lo siguiente:

      1. En la sección Permisos, para el nombre de la IAM función, elija un nombre de IAM función que incluya los permisos necesarios.

    2. Si aún no ha realizado los pasos que se indican a continuaciónRequisito previo: crear o actualizar la política de IAM roles, haga lo siguiente:

      1. Selecciona Ver permisos.

      2. En Detalles del permiso, selecciona la pestaña Política. Aquí se muestra una plantilla de los IAM permisos necesarios.

        Copie esta plantilla y, a continuación, seleccione Cerrar al final de la ventana de detalles del permiso.

      3. Seleccione Adjuntar política para abrir la IAM consola en una pestaña nueva. Puede optar por crear un nuevo IAM rol o actualizar uno existente IAM con los permisos de la plantilla copiada.

        Esta plantilla incluye valores marcadores de posición que debes reemplazar por los valores adecuados asociados a tu bucket y Cuenta de AWS.

      4. Vuelve a la pestaña del navegador con la GuardDuty consola. Vuelve a seleccionar Ver permisos.

      5. En Detalles del permiso, selecciona la pestaña Relación de confianza. Aquí se muestra una plantilla de la política de relaciones de confianza para su IAM función.

        Copie esta plantilla y, a continuación, seleccione Cerrar al final de la ventana de detalles del permiso.

      6. Ve a la pestaña del navegador que tiene abierta la IAM consola. A su IAM función preferida, añada esta política de relaciones de confianza.

    3. Para añadir etiquetas al ID del plan de protección contra malware que se crea para este recurso protegido, continúe con la siguiente sección; de lo contrario, elija Activar al final de esta página para añadir el bucket de S3 como recurso protegido.

    (Opcional) Etiquete el ID del plan de protección contra malware

    Se trata de un paso opcional que le ayuda a añadir etiquetas al recurso del plan de protección contra el malware que se crearía para su recurso de bucket de S3.

    Cada etiqueta consta de dos partes: una clave de etiqueta y un valor de etiqueta opcional. Para obtener más información sobre el etiquetado y sus ventajas, consulta los recursos de etiquetado AWS.

    Para añadir etiquetas al recurso del plan de protección contra el malware

    1. Introduzca la clave y un valor opcional para la etiqueta. Tanto la clave de la etiqueta como el valor de la etiqueta distinguen entre mayúsculas y minúsculas. Para obtener información sobre los nombres de la clave de etiqueta y el valor de la etiqueta, consulte Límites y requisitos de denominación de etiquetas.

    2. Para añadir más etiquetas al recurso del plan de protección contra malware, seleccione Añadir nueva etiqueta y repita el paso anterior. Puede agregar hasta 50 etiquetas a cada recurso de .

    3. Seleccione Habilitar.

    En esta sección se incluyen los pasos que debe seguir para activar la protección contra malware para S3 mediante programación en su AWS entorno. Esto requiere el IAM rol Amazon Resource Name (ARN) que creaste en este paso -Requisito previo: crear o actualizar la política de IAM roles.

    Para habilitar la protección contra malware para S3 mediante programación mediante/APICLI

    • Mediante el uso de API

      Ejecute CreateMalwareProtectionPlanpara habilitar la protección contra malware para S3 en un bucket que pertenezca a su propia cuenta.

    • Mediante el uso de AWS CLI

      En función de cómo desee activar la protección contra malware para S3, en la siguiente lista se proporcionan AWS CLI ejemplos de comandos para un caso de uso específico. Cuando ejecute estos comandos, sustituya el placeholder examples shown in red, con los valores adecuados para su cuenta.

      AWS CLI comandos de ejemplo

      • Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito sin etiquetar los objetos de S3 escaneados:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}

      • Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito con prefijos de objetos específicos y sin etiquetar los objetos de S3 escaneados:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'

      • Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito con el etiquetado de objetos escaneados de S3 activado:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}

      Cuando ejecute estos comandos correctamente, se generará un identificador único del plan de protección contra malware. Para realizar acciones como actualizar o deshabilitar el plan de protección de su paquete, necesitará este identificador del plan de protección contra malware.