Prerequisito: creare o aggiornare la policy IAM PassRole - Amazon GuardDuty
Aggiungere le autorizzazioni delle policy IAMAggiungere una politica di relazione di fiducia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisito: creare o aggiornare la policy IAM PassRole

Affinché Malware Protection for S3 esegua la scansione e (facoltativamente) aggiunga tag agli oggetti S3, devi creare e associare un ruolo IAM che includa le seguenti autorizzazioni richieste per:

  • Consenti ad Amazon EventBridge Actions di creare e gestire la regola EventBridge gestita in modo che Malware Protection for S3 possa ascoltare le notifiche degli oggetti S3.

    Per ulteriori informazioni, consulta Amazon EventBridge managed rules nella Amazon EventBridge User Guide.

  • Consenti ad Amazon S3 e alle EventBridge azioni di inviare notifiche per tutti gli eventi in questo bucket EventBridge

    Per ulteriori informazioni, consulta Enabling Amazon EventBridge nella Amazon S3 User Guide.

  • Consenti alle azioni di Amazon S3 di accedere all'oggetto S3 caricato e aggiungi un tag predefinito all'oggetto S3 GuardDutyMalwareScanStatus scansionato. Quando usi un prefisso di oggetto, aggiungi una s3:prefix condizione solo sui prefissi di destinazione. Ciò GuardDuty impedisce l'accesso a tutti gli oggetti S3 nel bucket.

  • Consenti alle azioni chiave KMS di accedere all'oggetto prima di scansionare e inserire un oggetto di test sui bucket con la crittografia DSSE-KMS e SSE-KMS supportata.

Nota

Questo passaggio è necessario ogni volta che attivi Malware Protection for S3 per un bucket nel tuo account. Se disponi già di un IAM PassRole, puoi aggiornarne la policy per includere i dettagli di un'altra risorsa del bucket S3. L'Aggiungere le autorizzazioni delle policy IAMargomento fornisce un esempio su come eseguire questa operazione.

Utilizza le seguenti politiche per creare o aggiornare un IAM PassRole.

Aggiungere le autorizzazioni delle policy IAM

Puoi scegliere di aggiornare la policy in linea di un IAM PassRole esistente o crearne uno nuovo. PassRole Per informazioni sui passaggi, consulta Creazione di un ruolo IAM o Modifica della politica di autorizzazione di un ruolo nella Guida per l'utente IAM.

Aggiungi il seguente modello di autorizzazioni al tuo ruolo IAM preferito. Sostituisci i seguenti valori segnaposto con i valori appropriati associati al tuo account:

  • Per DOC-EXAMPLE-BUCKET, sostituiscilo con il nome del tuo bucket Amazon S3.

    Per utilizzare lo stesso IAM PassRole per più di una risorsa bucket S3, aggiorna una policy esistente come mostrato nell'esempio seguente:

    
                    ...
                    ...
                    "Resource": [
                        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                        "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
                    ],
                    ...
                    ...

    Assicurati di aggiungere una virgola (,) prima di aggiungere un nuovo ARN associato al bucket S3. Esegui questa operazione ogni volta che fai riferimento a un bucket Resource S3 nel modello di policy.

  • Per 111122223333, sostituiscilo con il tuo ID. Account AWS

  • Per us-east-1, sostituisci con il tuo. Regione AWS

  • Per APKAEIBAERJR2EXAMPLE, sostituiscilo con l'ID della chiave gestita dal cliente. Se il bucket è crittografato utilizzando un AWS KMS key, sostituisci il valore segnaposto con un, come mostrato nell'esempio seguente: *

    "Resource": "arn:aws:kms:us-east-1:111122223333:key/*"

Modello di policy IAM PassRole 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
            ],
            "Condition": {
                "StringLike": {
                    "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:ListTargetsByRule"
            ],
            "Resource": [
                "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
            ]
        },
        {
            "Sid": "AllowPostScanTag",
            "Effect": "Allow",
            "Action": [
                "s3:PutObjectTagging",
                "s3:GetObjectTagging",
                "s3:PutObjectVersionTagging",
                "s3:GetObjectVersionTagging"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Sid": "AllowEnableS3EventBridgeEvents",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketNotification",
                "s3:GetBucketNotification"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
        },
        {
            "Sid": "AllowPutValidationObject",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/malware-protection-resource-validation-object"
            ]
        },
        {
            "Sid": "AllowCheckBucketOwnership",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
        },
        {
           "Sid": "AllowMalwareScan",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Sid": "AllowDecryptForMalwareScan",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Aggiungere una politica di relazione di fiducia

Allega la seguente politica di fiducia al tuo ruolo IAM. Per informazioni sui passaggi, consulta Modifica di una policy di fiducia per i ruoli.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection-plan.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}