기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사전 조건 - IAM 역할 정책 생성 또는 업데이트
새 Amazon S3 객체 업로드에 대한 맬웨어 스캔을 시작하려면 S3 객체를 스캔하고 (선택 사항) 태그를 추가하는 데 필요한 권한이 포함된 IAM 역할을 GuardDuty 가정합니다. 이러한 권한을 포함하려면 IAM 역할을 생성하거나 기존 역할을 업데이트해야 합니다. 이러한 권한은 SAmazon S3S3 버킷에 필요하므로 보호해야 하는 각 Amazon S3 버킷에 대해 이 단계를 수행해야 합니다.
다음 목록은 특정 권한이 사용자를 대신하여 맬웨어 스캔을 GuardDuty 수행하는 데 어떻게 도움이 되는지 설명합니다.
-
S3용 Malware Protection이 S3 객체 알림을 수신할 수 있도록 Amazon EventBridge 작업이 EventBridge 관리형 규칙을 생성하고 관리하도록 허용합니다.
자세한 내용은 Amazon 사용 설명서의 Amazon EventBridge 관리형 규칙을 참조하세요. EventBridge
-
Amazon S3 및 EventBridge 작업이 이 버킷의 모든 이벤트에 EventBridge 대해 에 알림을 보내도록 허용
자세한 내용은 Amazon S3 사용 설명서의 Amazon 활성화 EventBridge를 참조하세요. Amazon S3
-
Amazon S3 작업이 업로드된 S3 객체에 액세스하고 스캔된 S3 객체에 사전 정의된 태그인 를 추가할
GuardDutyMalwareScanStatus수 있도록 허용합니다. 객체 접두사를 사용하는 경우 대상 접두사에만s3:prefix조건을 추가합니다. 이렇게 하면 GuardDuty 가 버킷의 모든 S3 객체에 액세스할 수 없습니다. -
지원되는KMS 암호화 및 SSE암호화를 사용하여 버킷에서 테스트 객체를 스캔DSSE하고KMS 배치하기 전에 KMS 키 작업이 객체에 액세스하도록 허용합니다.
참고
이 단계는 계정의 버킷에 대해 S3용 맬웨어 방지를 활성화할 때마다 필요합니다. 기존 IAM 역할이 이미 있는 경우 정책을 업데이트하여 다른 Amazon S3 버킷 리소스의 세부 정보를 포함할 수 있습니다. 이 IAM 정책 권한 추가 주제에서는 이를 수행하는 방법에 대한 예를 제공합니다.
다음 정책을 사용하여 IAM 역할을 생성하거나 업데이트합니다.
IAM 정책 권한 추가
기존 IAM 역할의 인라인 정책을 업데이트하거나 새 IAM 역할을 생성하도록 선택할 수 있습니다. 단계에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할 생성 또는 역할 권한 정책 수정을 참조하세요.
원하는 IAM 역할에 다음 권한 템플릿을 추가합니다. 다음 자리 표시자 값을 계정과 연결된 적절한 값으로 바꿉니다.
-
에 대해
amzn-s3-demo-bucket를 Amazon S3 버킷 이름으로 바꿉니다.둘 이상의 S3 버킷 리소스에 동일한 IAM 역할을 사용하려면 다음 예제에 표시된 대로 기존 정책을 업데이트합니다.
... ... "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ], ... ...S3 버킷과 ARN 연결된 새 를 추가하기 전에 쉼표(,)를 추가해야 합니다. 정책 템플릿
Resource에서 S3 버킷을 참조할 때마다 이 작업을 수행합니다. -
에 대해
111122223333를 AWS 계정 ID로 바꿉니다. -
에 대해
us-east-1를 로 바꿉니다 AWS 리전. -
에 대해
APKAEIBAERJR2EXAMPLE를 고객 관리형 키 ID로 바꿉니다. 를 사용하여 버킷을 암호화한 경우 다음 예제와*같이 자리 표시자 값을 로 AWS KMS key바꿉니다."Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
IAM 역할 정책 템플릿
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty", "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ], "Condition": { "StringLike": { "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com" } } }, { "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": [ "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ] }, { "Sid": "AllowPostScanTag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:PutObjectVersionTagging", "s3:GetObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "AllowEnableS3EventBridgeEvents", "Effect": "Allow", "Action": [ "s3:PutBucketNotification", "s3:GetBucketNotification" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "AllowPutValidationObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object" ] }, { "Sid": "AllowCheckBucketOwnership", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "AllowMalwareScan", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "AllowDecryptForMalwareScan", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE", "Condition": { "StringLike": { "kms:ViaService": "s3.us-east-1.amazonaws.com" } } } ] }
신뢰 관계 정책 추가
다음 신뢰 정책을 IAM 역할에 연결합니다. 단계에 대한 자세한 내용은 역할 신뢰 정책 수정을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection-plan.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
