Uso del control de acceso basado en etiquetas (TBAC) con protección contra malware para S3 - Amazon GuardDuty
Agregar un TBAC recurso de bucket de S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del control de acceso basado en etiquetas (TBAC) con protección contra malware para S3

Al habilitar la protección contra malware para S3 para el bucket, podrá optar por habilitar el etiquetado. Tras intentar escanear un objeto S3 recién cargado en el depósito seleccionado, GuardDuty añade una etiqueta al objeto escaneado para indicar el estado del análisis de malware. Habilitar el etiquetado conlleva un costo de uso directo. Para obtener más información, consulte Precios y costo de uso de la protección contra malware para S3.

GuardDuty utiliza una etiqueta predefinida con la clave como GuardDutyMalwareScanStatus y el valor como uno de los estados de detección de malware. Para obtener información sobre estos valores, consulte Estado potencial de análisis de objeto de S3 y estado del producto.

Consideraciones GuardDuty para añadir una etiqueta a su objeto S3:

  • De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto. Para obtener más información, consulte Categorizar el almacenamiento mediante etiquetas en la Guía del usuario de Amazon S3.

    Si las 10 etiquetas ya están en uso, no GuardDuty se puede añadir la etiqueta predefinida al objeto escaneado. GuardDuty también publica el resultado del escaneo en el bus de EventBridge eventos predeterminado. Para obtener más información, consulte Supervisión de escaneos de objetos de S3 con Amazon EventBridge.

  • Si la IAM función seleccionada no incluye el permiso para GuardDuty etiquetar el objeto de S3, ni siquiera con el etiquetado activado en el depósito protegido, no GuardDuty podrá añadir una etiqueta a este objeto de S3 escaneado. Para obtener más información sobre el permiso de IAM rol necesario para etiquetar, consulte. Crear o actualizar la política de IAM roles

    GuardDuty también publica el resultado del escaneo en el bus de EventBridge eventos predeterminado. Para obtener más información, consulte Supervisión de escaneos de objetos de S3 con Amazon EventBridge.

Agregar un TBAC recurso de bucket de S3

Puede usar las políticas de recursos del bucket de S3 para administrar el control de acceso basado en etiquetas (TBAC) para sus objetos de S3. Puede proporcionar acceso a usuarios específicos para acceder y leer el objeto de S3. Si tiene una organización que se creó mediante el uso AWS Organizations, debe garantizar que nadie pueda modificar las etiquetas añadidas por GuardDuty. Para obtener más información, consulte Impedir que las etiquetas sean modificadas salvo por las entidades principales autorizadas en la Guía del usuario de AWS Organizations . El ejemplo utilizado en el tema vinculado menciona ec2. Cuando utilice este ejemplo, ec2 sustitúyalo pors3.

En la siguiente lista se explica lo que puede hacer conTBAC:

  • Impida que todos los usuarios, excepto la entidad principal del servicio de protección contra malware para S3, lean los objetos de S3 que aún no estén etiquetados con el siguiente par de clave y valor de etiqueta:

    GuardDutyMalwareScanStatus:Potential key value

  • Permita GuardDuty añadir únicamente la clave de etiqueta GuardDutyMalwareScanStatus con un valor como resultado del escaneo a un objeto S3 escaneado. La siguiente plantilla de política puede autorizar a determinados usuarios con acceso a anular potencialmente el par de clave y valor de la etiqueta.

Ejemplo de política de recursos del bucket de S3:

Sustituya los siguientes valores de marcador de posición en la política de ejemplo:

  • IAM-role-name- Indique en su bucket la IAM función que utilizó para configurar la protección contra malware para S3.

  • 555555555555- Proporcione lo Cuenta de AWS asociado al depósito protegido.

  • amzn-s3-demo-bucket- Proporcione el nombre del depósito protegido.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NoReadExceptForClean",
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND",
                    "aws:PrincipalArn": [
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
                    "arn:aws:iam::555555555555:role/IAM-role-name"
                    ]
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTag",
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:PutObjectTagging",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
                    "arn:aws:iam::555555555555:role/IAM-role-name"
                    ]
                }
            }
        }
    ]
}

Podrá obtener más información sobre el etiquetado del recurso S3 en Etiquetado y políticas de control de acceso.