Crear o actualizar la política del rol de IAM
Para que la protección contra malware para S3 analice y (opcionalmente) agregue etiquetas a los objetos de S3, puede utilizar roles de servicio que tengan los permisos necesarios para realizar acciones de análisis de malware en su nombre. Para obtener más información sobre el uso de roles de servicio para habilitar la protección contra malware para S3, consulte Acceso a servicios. Este rol es diferente del rol vinculado al servicio de la protección contra malware de GuardDuty.
Si prefiere utilizar roles de IAM, puede asociar un rol de IAM que incluya los permisos necesarios para analizar y (opcionalmente) agregar etiquetas a los objetos de S3. Debe crear un rol de IAM o actualizar un rol existente para incluir estos permisos. Dado que estos permisos son necesarios para cada bucket de Amazon S3 para el que habilite la protección contra malware para S3, deberá seguir este paso para cada bucket de Amazon S3 que desee proteger.
En la siguiente lista se explica cómo ciertos permisos ayudan a GuardDuty a realizar el análisis de malware en su nombre:
-
Permita que las acciones de Amazon EventBridge creen y administren la regla administrada de EventBridge para que la protección contra malware para S3 pueda escuchar las notificaciones de los objetos de S3.
Para obtener más información, consulte las reglas administradas de Amazon EventBridge en la Guía del usuario de Amazon EventBridge.
-
Permia que las acciones de Amazon S3 y EventBridge envíen notificaciones a EventBridge para todos los eventos de este bucket.
Para obtener más información, consulte Habilitar Amazon EventBridge en la Guía del usuario de Amazon S3.
-
Permita que las acciones de Amazon S3 accedan al objeto de S3 cargado y agreguen una etiqueta predefinida,
GuardDutyMalwareScanStatus
, al objeto de S3 analizado. Al utilizar un prefijo de objeto, agregue una condicións3:prefix
únicamente en los prefijos de destino. Esto evita que GuardDuty acceda a todos los objetos de S3 en el bucket. -
Permita que las acciones de clave de KMS accedan al objeto antes de analizar y colocar un objeto de prueba en buckets con el cifrado DSSE-KMS y SSE-KMS admitido.
nota
Este paso es necesario cada vez que habilite la protección contra malware para S3 para un bucket en la cuenta. Si ya cuenta con un rol de IAM existente, puede actualizar su política de forma que incluya los detalles de otro recurso de bucket de Amazon S3. El tema Agregar permisos de política de IAM proporciona un ejemplo de cómo hacerlo.
Utilice las siguientes políticas para crear o actualizar un rol de IAM.
Agregar permisos de política de IAM
Puede optar por actualizar la política en línea de un rol de IAM existente o crear un nuevo rol de IAM. Para obtener información sobre los pasos, consulte Crear un rol de IAM o Modificar una política de permisos de rol en la Guía del usuario de IAM.
Agregue la siguiente plantilla de permisos al rol de IAM que prefiera. Sustituya los siguientes valores de marcador de posición por los valores apropiados asociados a la cuenta:
-
Sustituya
amzn-s3-demo-bucket
por el nombre del bucket de Amazon S3.Para utilizar el mismo rol de IAM para más de un recurso de bucket de S3, actualice una política existente como se muestra en el siguiente ejemplo:
... ... "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
/*", "arn:aws:s3:::amzn-s3-demo-bucket2
/*" ], ... ...Asegúrese de agregar una coma (,) antes de agregar un nuevo ARN asociado al bucket de S3. Repita este paso siempre que haga referencia a un
Resource
de bucket de S3 en la plantilla de política. -
Sustituya
111122223333
por el ID de la Cuenta de AWS. -
Sustituya
us-east-1
por la Región de AWS. -
Sustituya
APKAEIBAERJR2EXAMPLE
por el ID de clave administrada por el cliente. Si el bucket de S3 está cifrado con una clave de AWS KMS, agregaremos los permisos pertinentes si eligió la opción Crear un nuevo rol al configurar la protección contra malware para el bucket."Resource": "arn:aws:kms:
us-east-1
:111122223333
:key/*
"
Plantilla de la política del rol de IAM
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty", "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:
us-east-1
:111122223333
:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ], "Condition": { "StringLike": { "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com" } } }, { "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": [ "arn:aws:events:us-east-1
:111122223333
:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ] }, { "Sid": "AllowPostScanTag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:PutObjectVersionTagging", "s3:GetObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] }, { "Sid": "AllowEnableS3EventBridgeEvents", "Effect": "Allow", "Action": [ "s3:PutBucketNotification", "s3:GetBucketNotification" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
" ] }, { "Sid": "AllowPutValidationObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/malware-protection-resource-validation-object" ] }, { "Sid": "AllowCheckBucketOwnership", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
" ] }, { "Sid": "AllowMalwareScan", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] }, { "Sid": "AllowDecryptForMalwareScan", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1
:111122223333
:key/APKAEIBAERJR2EXAMPLE
", "Condition": { "StringLike": { "kms:ViaService": "s3.us-east-1
.amazonaws.com" } } } ] }
Agregar la política de relación de confianza
Asocie la siguiente política de confianza al rol de IAM. Para obtener más información sobre los pasos, consulte Modificar una política de confianza del rol.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection-plan.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }