Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prasyarat - Membuat atau memperbarui kebijakan IAM PassRole
Agar Perlindungan Malware untuk S3 dapat memindai dan (opsional) menambahkan tag ke objek S3 Anda, Anda harus membuat dan melampirkan peran IAM yang mencakup izin yang diperlukan berikut untuk:
-
Izinkan EventBridge tindakan Amazon membuat dan mengelola aturan EventBridge terkelola sehingga Perlindungan Malware untuk S3 dapat mendengarkan pemberitahuan objek S3 Anda.
Untuk informasi selengkapnya, lihat Aturan EventBridge terkelola Amazon di Panduan EventBridge Pengguna Amazon.
-
Izinkan Amazon S3 dan EventBridge tindakan mengirim pemberitahuan ke semua peristiwa di bucket EventBridge ini
Untuk informasi selengkapnya, lihat Mengaktifkan Amazon EventBridge di Panduan Pengguna Amazon S3.
-
Izinkan tindakan Amazon S3 mengakses objek S3 yang diunggah dan menambahkan tag yang telah ditentukan
GuardDutyMalwareScanStatus
, ke objek S3 yang dipindai. Saat menggunakan awalan objek, tambahkans3:prefix
kondisi pada awalan yang ditargetkan saja. Ini GuardDuty mencegah mengakses semua objek S3 di bucket Anda. -
Izinkan tindakan kunci KMS untuk mengakses objek sebelum memindai dan meletakkan objek uji pada ember dengan enkripsi DSSE-KMS dan SSE-KMS yang didukung.
catatan
Langkah ini diperlukan setiap kali Anda mengaktifkan Perlindungan Malware untuk S3 untuk ember di akun Anda. Jika sudah memiliki IAM yang sudah ada PassRole, Anda dapat memperbarui kebijakannya untuk menyertakan detail sumber daya bucket S3 lainnya. Menambahkan izin kebijakan IAMTopik ini memberikan contoh tentang cara melakukan ini.
Gunakan kebijakan berikut untuk membuat atau memperbarui IAM PassRole.
Menambahkan izin kebijakan IAM
Anda dapat memilih untuk memperbarui kebijakan inline IAM yang ada PassRole, atau membuat IAM baru. PassRole Untuk selengkapnya tentang langkah-langkahnya, lihat Membuat peran IAM atau Memodifikasi kebijakan izin peran di Panduan Pengguna IAM.
Tambahkan templat izin berikut ke peran IAM pilihan Anda. Ganti nilai placeholder berikut dengan nilai yang sesuai yang terkait dengan akun Anda:
-
Untuk
DOC-EXAMPLE-BUCKET, ganti dengan nama bucket
Amazon S3 Anda.Untuk menggunakan IAM yang sama PassRole untuk lebih dari satu sumber daya bucket S3, perbarui kebijakan yang ada seperti yang ditampilkan dalam contoh berikut:
... ... "Resource": [ "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2
/*" ], ... ...Pastikan untuk menambahkan koma (,) sebelum menambahkan ARN baru yang terkait dengan bucket S3. Lakukan ini di mana pun Anda merujuk ke bucket S3
Resource
di template kebijakan. -
Untuk
111122223333
, ganti dengan ID Anda. Akun AWS -
Untuk
us-east-1
, ganti dengan Anda. Wilayah AWS -
Untuk
APKAEIBAERJR2EXAMPLE
, ganti dengan ID kunci terkelola pelanggan Anda. Jika bucket Anda dienkripsi menggunakan AWS KMS key, ganti nilai placeholder dengan*
, seperti yang ditunjukkan pada contoh berikut:"Resource": "arn:aws:kms:
us-east-1
:111122223333
:key/*
"
Templat PassRole kebijakan IAM
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty", "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:
us-east-1
:111122223333
:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ], "Condition": { "StringLike": { "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com" } } }, { "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": [ "arn:aws:events:us-east-1
:111122223333
:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ] }, { "Sid": "AllowPostScanTag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:PutObjectVersionTagging", "s3:GetObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET
/*" ] }, { "Sid": "AllowEnableS3EventBridgeEvents", "Effect": "Allow", "Action": [ "s3:PutBucketNotification", "s3:GetBucketNotification" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET
" ] }, { "Sid": "AllowPutValidationObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET
/malware-protection-resource-validation-object" ] }, { "Sid": "AllowCheckBucketOwnership", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET
" ] }, { "Sid": "AllowMalwareScan", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET
/*" ] }, { "Sid": "AllowDecryptForMalwareScan", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1
:111122223333
:key/APKAEIBAERJR2EXAMPLE
", "Condition": { "StringLike": { "kms:ViaService": "s3.us-east-1
.amazonaws.com" } } } ] }
Menambahkan kebijakan hubungan Trust
Lampirkan kebijakan kepercayaan berikut ke peran IAM Anda. Untuk selengkapnya tentang langkah-langkah, lihat Memodifikasi kebijakan kepercayaan peran.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection-plan.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }