Amazon S3 기능의 지원 가능성 - Amazon GuardDuty

Amazon S3 기능의 지원 가능성

다음 표에는 S3용 맬웨어 보호가 나열된 Amazon S3 기능을 지원하는지 여부가 명시되어 있습니다.

S3 기능 이름 지원을 받을 수 있나요? 설명

S3 스토리지 클래스 - S3 표준

S3 스토리지 클래스 - S3 표준-빈번하지 않은 액세스

S3 스토리지 클래스 - S3 One Zone-빈번하지 않은 액세스

S3 스토리지 클래스 - S3 Glacier 인스턴트 검색

S3 개체는 비동기적으로 복원하지 않고도 검색할 수 있습니다.

S3 스토리지 클래스 - S3 인텔리전트 계층화

조건

  • 지능형 계층화 지원은 자주, 자주, 아카이브 인스턴스 액세스 계층의 S3 개체에 대해 사용할 수 있습니다.

  • 옵트인 아카이브 및 딥 아카이브 계층은 지원되지 않습니다.

  • 인텔리전트 티어링은 항상 Frequent Access 티어에 새 객체를 생성합니다. 따라서 생성 시 개체 스캔이 지원됩니다.

  • 향후 지능형 계층화 기능은 아카이브의 오브젝트부터 시작할 수 있습니다. 따라서 이 기능은 지원되지 않습니다.

S3 스토리지 클래스 - S3 Express One Zone(디렉토리 버킷)

아니요

GuardDuty는 S3용 멀웨어 보호를 위한 범용 버킷만 지원합니다.

S3 스토리지 클래스 - S3 Glacier 유연한 검색

S3 스토리지 클래스 - S3 글레이셔 딥 아카이브

아니요

S3 객체에 액세스하려면 먼저 복원해야 합니다.

Outposts에서의 Amazon S3

아니요

S3용 맬웨어 보호는 Outposts에서 지원되지 않습니다.

S3 버전 관리

업로드된 모든 S3 객체가 맬웨어에 대해 스캔됩니다. 파일 버전 v1로 개체를 업로드하고 즉시 v2로 다른 버전 오버라이드를 업로드한 경우 GuardDuty는 개체 파일 버전 v1과 v2를 모두 검사합니다. 그러나 스캔 시작 시간은 동일한 순서가 아닐 수 있습니다.

S3 복제 - 복제된 객체 스캔

대상 버킷이 보호된 리소스인 경우 GuardDuty는 보호 및 모니터링되는 접두사에 복제된 모든 S3 개체를 스캔합니다.

S3 복제: 스캔 결과 태그에서 복제

아니요

스캔 결과 태그를 기반으로 복제 규칙을 정의할 수 없습니다. Amazon S3는 생성 시를 제외하고 태그에 대한 복제를 지원하지 않습니다.

데이터 암호화 - S3-SSE

데이터 암호화 - SSE-KMS

데이터 암호화 - DSSE-KMS

AWS KMS - 고객 관리형 키

GuardDuty는 관리형 및 고객 관리형 키로 암호화된 S3 개체에 대한 맬웨어 검사를 지원합니다. IAM 역할에 키를 사용할 수 있는 권한이 포함되어 있는지 확인하세요. 자세한 내용은 IAM 정책 권한 추가 단원을 참조하십시오.

데이터 암호화 - SSE-C

아니요

S3용 멀웨어 보호는 액세스할 수 없는 키로 암호화된 S3 개체에 대한 스캔을 지원하지 않습니다.

클라이언트 측 암호화

아니요

Amazon S3 암호화 클라이언트를 사용하여 S3 개체를 암호화하면 AWS를 포함한 제3자에게 개체가 노출되지 않습니다. 이 기능이 지원되지 않는 이유에 대한 자세한 내용은 Amazon S3 사용 설명서클라이언트 측 암호화를 사용하여 데이터 보호를 참조하세요.

S3 개체 잠금 및 법적 보류

잠긴 S3 객체는 WORM - Write Once Read Many를 기반으로 잠깁니다. S3용 맬웨어 보호는 개체에 액세스하고 스캔할 수 있습니다.

요청자 지불

S3용 맬웨어 보호는 요청자 지불로 설정된 버킷을 스캔할 수 있습니다. 요청자는 S3 호출 비용을 지불합니다. 자세한 내용은 Amazon S3 사용 설명서스토리지 전송 및 사용량에 대한 요청자 지불액 버킷 사용을 참조하세요.

S3: 스토리지 수명 주기

스캔 결과 태그를 기반으로 수명 주기 정책을 정의할 수 있습니다. 예를 들어 악성 개체를 자동 삭제합니다. 수명 주기 구성에 대한 자세한 내용은 Amazon S3 사용 설명서스토리지 수명 주기 관리를 참조하세요.

S3: 태그 기반 액세스 제어(TBAC)

S3 개체 스캔 결과 태그를 기반으로 버킷 리소스 정책을 정의할 수 있습니다. 예를 들어, 아직 검사되지 않은 S3 개체 또는 GuardDuty가 탐지한 위협에 대한 액세스를 차단합니다. 자세한 내용은 S3용 맬웨어 보호와 함께 태그 기반 액세스 제어(TBAC) 사용 단원을 참조하십시오.