Prasyarat - Membuat atau memperbarui kebijakan IAM PassRole - Amazon GuardDuty
Menambahkan izin kebijakan IAMMenambahkan kebijakan hubungan Trust

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat - Membuat atau memperbarui kebijakan IAM PassRole

Agar Perlindungan Malware untuk S3 dapat memindai dan (opsional) menambahkan tag ke objek S3 Anda, Anda harus membuat dan melampirkan peran IAM yang mencakup izin yang diperlukan berikut untuk:

  • Izinkan EventBridge tindakan Amazon membuat dan mengelola aturan EventBridge terkelola sehingga Perlindungan Malware untuk S3 dapat mendengarkan pemberitahuan objek S3 Anda.

    Untuk informasi selengkapnya, lihat Aturan EventBridge terkelola Amazon di Panduan EventBridge Pengguna Amazon.

  • Izinkan Amazon S3 dan EventBridge tindakan mengirim pemberitahuan ke semua peristiwa di bucket EventBridge ini

    Untuk informasi selengkapnya, lihat Mengaktifkan Amazon EventBridge di Panduan Pengguna Amazon S3.

  • Izinkan tindakan Amazon S3 mengakses objek S3 yang diunggah dan menambahkan tag yang telah ditentukanGuardDutyMalwareScanStatus, ke objek S3 yang dipindai. Saat menggunakan awalan objek, tambahkan s3:prefix kondisi pada awalan yang ditargetkan saja. Ini GuardDuty mencegah mengakses semua objek S3 di bucket Anda.

  • Izinkan tindakan kunci KMS untuk mengakses objek sebelum memindai dan meletakkan objek uji pada ember dengan enkripsi DSSE-KMS dan SSE-KMS yang didukung.

catatan

Langkah ini diperlukan setiap kali Anda mengaktifkan Perlindungan Malware untuk S3 untuk ember di akun Anda. Jika sudah memiliki IAM yang sudah ada PassRole, Anda dapat memperbarui kebijakannya untuk menyertakan detail sumber daya bucket S3 lainnya. Menambahkan izin kebijakan IAMTopik ini memberikan contoh tentang cara melakukan ini.

Gunakan kebijakan berikut untuk membuat atau memperbarui IAM PassRole.

Menambahkan izin kebijakan IAM

Anda dapat memilih untuk memperbarui kebijakan inline IAM yang ada PassRole, atau membuat IAM baru. PassRole Untuk selengkapnya tentang langkah-langkahnya, lihat Membuat peran IAM atau Memodifikasi kebijakan izin peran di Panduan Pengguna IAM.

Tambahkan templat izin berikut ke peran IAM pilihan Anda. Ganti nilai placeholder berikut dengan nilai yang sesuai yang terkait dengan akun Anda:

  • Untuk DOC-EXAMPLE-BUCKET, ganti dengan nama bucket Amazon S3 Anda.

    Untuk menggunakan IAM yang sama PassRole untuk lebih dari satu sumber daya bucket S3, perbarui kebijakan yang ada seperti yang ditampilkan dalam contoh berikut:

    
                    ...
                    ...
                    "Resource": [
                        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                        "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
                    ],
                    ...
                    ...

    Pastikan untuk menambahkan koma (,) sebelum menambahkan ARN baru yang terkait dengan bucket S3. Lakukan ini di mana pun Anda merujuk ke bucket S3 Resource di template kebijakan.

  • Untuk 111122223333, ganti dengan ID Anda. Akun AWS

  • Untuk us-east-1, ganti dengan Anda. Wilayah AWS

  • Untuk APKAEIBAERJR2EXAMPLE, ganti dengan ID kunci terkelola pelanggan Anda. Jika bucket Anda dienkripsi menggunakan AWS KMS key, ganti nilai placeholder dengan*, seperti yang ditunjukkan pada contoh berikut:

    "Resource": "arn:aws:kms:us-east-1:111122223333:key/*"

Templat PassRole kebijakan IAM

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
            ],
            "Condition": {
                "StringLike": {
                    "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:ListTargetsByRule"
            ],
            "Resource": [
                "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
            ]
        },
        {
            "Sid": "AllowPostScanTag",
            "Effect": "Allow",
            "Action": [
                "s3:PutObjectTagging",
                "s3:GetObjectTagging",
                "s3:PutObjectVersionTagging",
                "s3:GetObjectVersionTagging"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Sid": "AllowEnableS3EventBridgeEvents",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketNotification",
                "s3:GetBucketNotification"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
        },
        {
            "Sid": "AllowPutValidationObject",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/malware-protection-resource-validation-object"
            ]
        },
        {
            "Sid": "AllowCheckBucketOwnership",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
        },
        {
           "Sid": "AllowMalwareScan",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Sid": "AllowDecryptForMalwareScan",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Menambahkan kebijakan hubungan Trust

Lampirkan kebijakan kepercayaan berikut ke peran IAM Anda. Untuk selengkapnya tentang langkah-langkah, lihat Memodifikasi kebijakan kepercayaan peran.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection-plan.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}