Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitar la protección contra malware para S3 para el bucket
En esta sección se indican los pasos detallados que se deben seguir para habilitar la protección contra malware para S3 en un bucket de una cuenta propia.
Puede elegir un método de acceso preferido para habilitar Malware Protection for S3 en sus buckets: GuardDuty consola oAPI/AWS CLI.
Temas
En las siguientes secciones se proporciona un step-by-step tutorial tal y como se verá en la GuardDuty consola.
Para habilitar la protección contra malware para S3 mediante la consola GuardDuty
Ingrese los detalles del bucket de S3
Siga los pasos que se indican a continuación para proporcionar los detalles del bucket de Amazon S3:
-
Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/
. -
Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee activar la protección contra malware para S3.
-
En el panel de navegación, elija Protección contra malware para S3.
-
En la sección Depósitos protegidos, seleccione Activar para activar la protección contra malware para S3 en un depósito de S3 que le Cuenta de AWS pertenezca.
-
En Ingresar detalles del bucket de S3, ingrese el nombre del bucket de Amazon S3. O bien, seleccione Examinar S3 para seleccionar un bucket de S3.
El compartimento Región de AWS de S3 y el lugar en el que Cuenta de AWS se habilita la protección contra malware para S3 deben ser iguales. Por ejemplo, si la cuenta pertenece a la región
us-east-1, la región del bucket de Amazon S3 también debe serus-east-1. -
En Prefijo, puede seleccionar Todos los objetos del bucket de S3 u Objetos que comiencen con un prefijo específico.
-
Seleccione Todos los objetos del depósito de S3 cuando desee y GuardDuty podrá escanear todos los objetos recién cargados del depósito seleccionado.
-
Seleccione Objetos que comienzan con un prefijo específico cuando desee analizar los objetos recién cargados que pertenezcan a un prefijo específico. Esta opción sirve para focalizar el alcance del análisis de malware únicamente en los prefijos de objetos seleccionados. Para obtener más información sobre el uso de prefijos, consulte Organizar objetos en la Consola de Amazon S3 mediante carpetas en la Guía del usuario de Amazon S3.
Elija Agregar prefijo e ingrese el prefijo. Puede agregar hasta cinco prefijos.
-
Habilite el etiquetado para los objetos analizados
Se trata de un paso opcional. Si activas la opción de etiquetado antes de que un objeto se cargue en tu depósito, después de completar el escaneo, GuardDuty añadirá una etiqueta predefinida con la clave as GuardDutyMalwareScanStatus y el valor como resultado del escaneo. Para utilizar la protección contra malware para S3 de forma óptima, recomendamos habilitar la opción de agregar etiquetas a los objetos de S3 una vez finalizado el análisis. Se aplica el costo estándar de etiquetado de objetos de S3. Para obtener más información, consulte Precios y costo de uso de la protección contra malware para S3.
- ¿Por qué debería habilitar el etiquetado?
-
-
Habilitar el etiquetado es una de las formas de conocer el resultado del análisis de malware. Para obtener información sobre el resultado de un análisis de malware de S3, consulte Supervisión de los análisis de objetos de S3 en la protección contra malware para S3.
-
Configure una política de control de acceso basada en etiquetas (TBAC) en el bucket de S3 que contenga el objeto potencialmente malicioso. Para obtener información sobre las consideraciones y sobre cómo implementar el control de acceso basado en etiquetas (TBAC), consulte. Uso del control de acceso basado en etiquetas (TBAC) con protección contra malware para S3
-
Consideraciones GuardDuty para añadir una etiqueta a su objeto S3:
-
De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto. Para obtener más información, consulte Categorizar el almacenamiento mediante etiquetas en la Guía del usuario de Amazon S3.
Si las 10 etiquetas ya están en uso, no GuardDuty se puede añadir la etiqueta predefinida al objeto escaneado. GuardDuty también publica el resultado del escaneo en el bus de EventBridge eventos predeterminado. Para obtener más información, consulte Supervisión de escaneos de objetos de S3 con Amazon EventBridge.
-
Si la IAM función seleccionada no incluye el permiso para GuardDuty etiquetar el objeto de S3, ni siquiera con el etiquetado activado en el depósito protegido, no GuardDuty podrá añadir una etiqueta a este objeto de S3 escaneado. Para obtener más información sobre el permiso de IAM rol necesario para etiquetar, consulte. Crear o actualizar la política de IAM roles
GuardDuty también publica el resultado del escaneo en el bus de EventBridge eventos predeterminado. Para obtener más información, consulte Supervisión de escaneos de objetos de S3 con Amazon EventBridge.
Para seleccionar una opción en Etiquetar objetos analizados
-
Cuando desee añadir etiquetas GuardDuty a los objetos S3 escaneados, seleccione Etiquetar objetos.
-
Si no desea añadir etiquetas GuardDuty a los objetos S3 escaneados, seleccione No etiquetar objetos.
Acceso a los servicios
Siga los pasos que se indican a continuación para elegir un rol de servicio existente o crear un nuevo rol de servicio que cuente con los permisos necesarios para realizar acciones de análisis de malware en su nombre. Entre esas acciones se incluye el análisis de objetos de S3 recién cargados y (opcionalmente) la adición de etiquetas a esos objetos.
En la sección Acceso al servicio, puede realizar una de las siguientes acciones:
-
Crear y utilizar un nuevo rol de servicio: puede utilizar la opción de crear un nuevo rol de servicio que cuente con los permisos necesarios para realizar el análisis de malware.
En el nombre del rol, puede elegir usar el nombre rellenado previamente GuardDuty o introducir un nombre significativo de su elección para identificar el rol. Por ejemplo,
GuardDutyS3MalwareScanRole. El nombre del rol debe tener entre 1 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9 y '+=,.@-_'. -
Utilizar un rol de servicio existente: puede elegir un rol de servicio existente de la lista Nombre del rol de servicio.
En Plantilla de política puede ver la política que corresponde al bucket de S3. Asegúrese de que ha ingresado o seleccionado un bucket de S3 en la sección de detalles Ingrese el bucket de S3.
En Nombre de rol de servicio, elija un rol de servicio de la lista de roles de servicio.
Puede realizar cambios en la política en función de sus requisitos. Para obtener más información sobre cómo crear o actualizar un IAM rol, consulte la política de creación o actualización de IAM roles.
(Opcional) Etiquetar el ID del plan de protección contra malware
Este es un paso opcional que ayuda a agregar etiquetas al recurso del plan de protección contra malware que se creará para el recurso de bucket de S3.
Cada etiqueta consta de dos partes: una clave de etiqueta y un valor de etiqueta opcional. Para obtener más información sobre el etiquetado y sus ventajas, consulte Recursos de etiquetado AWS.
Para agregar etiquetas al recurso del plan de protección contra malware
-
Ingrese la Clave y un Valor opcional para la etiqueta. Tanto la clave como el valor de la etiqueta distinguen entre mayúsculas y minúsculas. Para obtener información sobre los nombres de clave y valor de etiqueta, consulte Límites y requisitos al asignar nombres a las etiquetas.
-
Para agregar más etiquetas al recurso del plan de protección contra malware, seleccione Agregar nueva etiqueta y repita el paso anterior. Puede agregar hasta 50 etiquetas a cada recurso de .
-
Seleccione Habilitar.
En esta sección se incluyen los pasos que debe seguir para activar la protección contra malware para S3 mediante programación en su AWS entorno. Esto requiere el IAM rol Amazon Resource Name (ARN) que creaste en este paso -Crear o actualizar la política de IAM roles.
Para habilitar la protección contra malware para S3 mediante programación mediante/APICLI
-
Mediante el uso de API
Ejecute CreateMalwareProtectionPlanpara habilitar la protección contra malware para S3 en un bucket que pertenezca a su propia cuenta.
-
Mediante el uso de AWS CLI
En función de cómo desee activar la protección contra malware para S3, en la siguiente lista se proporcionan AWS CLI ejemplos de comandos para un caso de uso específico. Cuando ejecute estos comandos, sustituya el
placeholder examples shown in red, por los valores adecuados para su cuenta.AWS CLI comandos de ejemplo
-
Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito sin etiquetar los objetos de S3 escaneados:
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} -
Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito con prefijos de objetos específicos y sin etiquetar los objetos de S3 escaneados:
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}' -
Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito con el etiquetado de objetos escaneados de S3 activado:
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
Después de ejecutar estos comandos correctamente, se generará un ID único de plan de protección contra malware. Para realizar acciones, como actualizar o desactivar el plan de protección del bucket, necesitará este ID de plan de protección contra malware.
-
