Utilisation du contrôle d'accès basé sur des balises (TBAC) avec Malware Protection pour S3 - Amazon GuardDuty
Ajout TBAC d'une ressource de compartiment S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du contrôle d'accès basé sur des balises (TBAC) avec Malware Protection pour S3

Lorsque vous activez Malware Protection for S3 pour votre compartiment, vous pouvez éventuellement choisir d'activer le balisage. Après avoir tenté de scanner un objet S3 récemment chargé dans le compartiment sélectionné, GuardDuty ajoute une balise à l'objet scanné pour indiquer l'état de l'analyse des programmes malveillants. Un coût d'utilisation direct est associé à l'activation du balisage. Pour de plus amples informations, veuillez consulter Tarification et coût d'utilisation de Malware Protection for S3.

GuardDuty utilise une balise prédéfinie avec la clé as GuardDutyMalwareScanStatus et la valeur comme l'un des statuts d'analyse des programmes malveillants. Pour plus d'informations sur ces valeurs, consultezÉtat du scan potentiel de l'objet S3 et état des résultats.

Considérations relatives GuardDuty à l'ajout d'une balise à votre objet S3 :

  • Par défaut, vous pouvez associer jusqu'à 10 balises à un objet. Pour plus d'informations, consultez la section Catégorisation de votre stockage à l'aide de balises dans le guide de l'utilisateur Amazon S3.

    Si les 10 balises sont déjà utilisées, GuardDuty vous ne pouvez pas ajouter la balise prédéfinie à l'objet numérisé. GuardDuty publie également le résultat de l'analyse sur votre bus d' EventBridge événements par défaut. Pour de plus amples informations, veuillez consulter Surveillance des scans d'objets S3 avec Amazon EventBridge.

  • Lorsque le IAM rôle sélectionné n'inclut pas l'autorisation de GuardDuty baliser l'objet S3, même si le balisage est activé pour votre compartiment protégé, vous ne GuardDuty pourrez pas ajouter de balise à cet objet S3 scanné. Pour plus d'informations sur l'autorisation de IAM rôle requise pour le balisage, consultezPrérequis : créer ou mettre à jour une politique de IAM rôle.

    GuardDuty publie également le résultat de l'analyse sur votre bus d' EventBridge événements par défaut. Pour de plus amples informations, veuillez consulter Surveillance des scans d'objets S3 avec Amazon EventBridge.

Ajout TBAC d'une ressource de compartiment S3

Vous pouvez utiliser les politiques de ressources du compartiment S3 pour gérer le contrôle d'accès basé sur des balises (TBAC) pour vos objets S3. Vous pouvez autoriser des utilisateurs spécifiques à accéder à l'objet S3 et à le lire. Si votre organisation a été créée en utilisant AWS Organizations, vous devez faire en sorte que personne ne puisse modifier les balises ajoutées par GuardDuty. Pour plus d'informations, consultez la section Empêcher la modification des balises, sauf par des personnes autorisées, dans le Guide de l'AWS Organizations utilisateur. L'exemple utilisé dans le sujet lié mentionneec2. Lorsque vous utilisez cet exemple, remplacez ec2 avec s3.

La liste suivante explique ce que vous pouvez faire en utilisant TBAC :

  • Empêchez tous les utilisateurs, à l'exception du principal de service Malware Protection for S3, de lire les objets S3 qui ne sont pas encore balisés avec la paire clé-valeur de balise suivante :

    GuardDutyMalwareScanStatus:Potential key value

  • GuardDuty Autoriser uniquement l'ajout de la clé de balise GuardDutyMalwareScanStatus avec une valeur comme résultat de numérisation, à un objet S3 scanné. Le modèle de politique suivant peut permettre à des utilisateurs spécifiques ayant accès de potentiellement remplacer la paire clé-valeur du tag.

Exemple de politique de ressources du compartiment S3 :

Remplacez IAM-role-name avec le IAM rôle que vous avez utilisé pour configurer Malware Protection pour S3 dans votre compartiment.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NoReadExceptForClean",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTag",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": "s3:PutObjectTagging",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Pour plus d'informations sur le balisage de votre ressource S3, les politiques de balisage et de contrôle d'accès.