기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
S3용 맬웨어 방지가 S3 객체를 스캔하고 (선택 사항으로) 태그를 추가하려면 사용자를 대신하여 맬웨어 스캔 작업을 수행하는 데 필요한 권한이 있는 서비스 역할을 사용할 수 있습니다. 서비스 역할을 사용하여 S3에 대한 맬웨어 보호를 활성화하는 방법에 대한 자세한 내용은 서비스 액세스 섹션을 참조하세요. 이 역할은 GuardDuty 맬웨어 보호 서비스 연결 역할과 다릅니다.
IAM 역할을 사용하려면 S3 객체를 스캔하고 (선택 사항) 태그를 추가하는 데 필요한 권한이 포함된 IAM 역할을 연결할 수 있습니다. 이러한 권한을 포함하려면 IAM 역할을 만들거나 기존 역할을 업데이트해야 합니다. 이러한 권한은 S3용 맬웨어 보호를 사용 설정하는 각 Amazon S3 버킷에 필요하므로 보호하려는 각 Amazon S3 버킷에 대해 이 단계를 수행해야 합니다.
다음 목록에서는 특정 권한이 GuardDuty가 사용자를 대신하여 멀웨어 검사를 수행하는 데 어떻게 도움이 되는지 설명합니다.
-
S3용 맬웨어 방지가 S3 객체 알림을 수신할 수 있도록 Amazon EventBridge 작업이 EventBridge 관리형 규칙을 생성하고 관리하도록 허용합니다.
자세한 내용은 Amazon EventBridge 사용 설명서에서 Amazon EventBridge 관리 규칙을 참조하세요.
-
이 버킷의 모든 이벤트에 대해 Amazon S3 및 EventBridge 작업이 EventBridge로 알림을 보내도록 허용합니다.
자세한 내용은 Amazon S3 사용 설명서에서 Amazon EventBridge 활성화를 참조하세요.
-
Amazon S3 작업이 업로드된 S3 객체에 액세스하고 스캔된 S3 객체에 사전 정의된 태그인
GuardDutyMalwareScanStatus를 추가할 수 있도록 허용합니다. 객체 접두사를 사용하는 경우 대상 접두사에만s3:prefix조건을 추가합니다. 이렇게 하면 GuardDuty가 버킷의 모든 S3 객체에 액세스하지 못합니다. -
지원되는 DSSE-KMS 및 SSE-KMS 암호화를 사용하여 테스트 객체를 스캔하고 버킷에 넣기 전에 KMS 키 작업이 객체에 액세스할 수 있도록 허용합니다.
참고
이 단계는 계정의 버킷에 대해 S3용 맬웨어 보호를 사용 설정할 때마다 필요합니다. 이미 기존 IAM 역할이 있는 경우 다른 Amazon S3 버킷 리소스의 세부 정보를 포함하도록 해당 정책을 업데이트할 수 있습니다. 이 IAM 정책 권한 추가 주제에서는 이를 수행하는 방법에 대한 예를 제공합니다.
다음 정책을 사용하여 IAM 역할을 만들거나 업데이트하세요.
IAM 정책 권한 추가
기존 IAM 역할의 인라인 정책을 업데이트하거나 새 IAM 역할을 만들도록 선택할 수 있습니다. 단계에 대한 자세한 내용은 IAM 역할 만들기 또는 IAM 사용 가이드에서 역할 권한 정책 수정하기를 참조하세요.
선호하는 IAM 역할에 다음 권한 템플릿을 추가합니다. 다음 자리 표시자 값을 계정과 관련된 적절한 값으로 바꿉니다.
-
amzn-s3-demo-bucket의 경우 Amazon S3 버킷 이름으로 바꿉니다.둘 이상의 S3 버킷 리소스에 대해 동일한 IAM 역할을 사용하려면 다음 예시와 같이 기존 정책을 업데이트하세요.
... ... "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ], ... ...S3 버킷과 연결된 새 ARN을 추가하기 전에 쉼표(,)를 추가해야 합니다. 정책 템플릿에서 S3 버킷
Resource을 참조할 때마다 이 작업을 수행합니다. -
111122223333의 경우, AWS 계정 아이디로 대체합니다. -
us-east-1의 경우 AWS 리전으로 바꿉니다. -
의 경우를 고객 관리형 키 ID로
APKAEIBAERJR2EXAMPLE바꿉니다. AWS KMS 키를 사용하여 S3 버킷을 암호화하는 경우 버킷에 대한 맬웨어 보호를 구성할 때 새 역할 생성 옵션을 선택하면 관련 권한이 추가됩니다."Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
IAM 역할 정책 템플릿
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}신뢰 관계 정책 추가
다음 신뢰 정책을 IAM 역할에 첨부하세요. 단계에 대한 자세한 내용은 역할 신뢰 정책 수정을 참조하세요.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}