S3용 맬웨어 보호와 함께 태그 기반 액세스 제어(TBAC) 사용 - Amazon GuardDuty
S3 버킷 리소스에 TBAC 추가

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

S3용 맬웨어 보호와 함께 태그 기반 액세스 제어(TBAC) 사용

버킷에 대해 S3용 맬웨어 보호를 사용하도록 설정할 때 선택적으로 태깅을 사용하도록 선택할 수 있습니다. 선택한 버킷에 새로 업로드된 S3 객체를 스캔한 후 GuardDuty는 스캔한 객체에 태그를 추가하여 멀웨어 스캔 상태를 제공합니다. 태그 지정을 활성화할 때 직접 사용 비용이 발생합니다. 자세한 내용은 S3용 맬웨어 보호의 가격 및 사용 비용 단원을 참조하십시오.

GuardDuty는 키를 GuardDutyMalwareScanStatus로 하고 값을 맬웨어 스캔 상태 중 하나로 하는 사전 정의된 태그를 사용합니다. 이러한 값에 대한 자세한 내용은 S3 객체 전위 스캔 상태 및 결과 상태 단원을 참조하세요.

GuardDuty가 S3 객체에 태그를 추가하기 위한 고려 사항:

  • 기본적으로 최대 10개의 태그를 객체에 연결할 수 있습니다. 자세한 내용은 Amazon S3 사용 설명서태그를 사용하여 스토리지 분류를 참조하세요.

    10개의 태그가 모두 이미 사용 중인 경우 GuardDuty는 미리 정의된 태그를 스캔한 객체에 추가할 수 없습니다. GuardDuty는 또한 스캔 결과를 기본 EventBridge 이벤트 버스에 게시합니다. 자세한 내용은 Amazon EventBridge로 S3 객체 스캔 모니터링하기 단원을 참조하십시오.

  • 선택한 IAM 역할에 GuardDuty가 S3 객체에 태그를 지정할 수 있는 권한이 포함되지 않은 경우 보호 버킷에 대해 태그 지정이 활성화된 경우에도 GuardDuty는 스캔된 이 S3 객체에 태그를 추가할 수 없습니다. 태그 지정에 필요한 IAM 역할 권한에 대한 자세한 내용은 IAM 역할 정책 생성 또는 업데이트을 참조하세요.

    GuardDuty는 또한 스캔 결과를 기본 EventBridge 이벤트 버스에 게시합니다. 자세한 내용은 Amazon EventBridge로 S3 객체 스캔 모니터링하기 단원을 참조하십시오.

S3 버킷 리소스에 TBAC 추가

S3 버킷 리소스 정책을 사용하여 S3 객체에 대한 태그 기반 액세스 제어(TBAC)를 관리할 수 있습니다. 특정 사용자에게 S3 객체에 액세스하고 읽을 수 있는 액세스 권한을 제공할 수 있습니다. 를 사용하여 생성된 조직이 있는 경우 GuardDuty에서 추가한 태그를 아무도 수정할 수 없도록 해야 AWS Organizations합니다. 자세한 내용은 AWS Organizations 사용 설명서승인된 보안 주체를 제외한 태그 수정 방지를 참조하세요. 연결된 주제에 사용된 예제에서는 ec2를 언급합니다. 이 예제를 사용하면 ec2s3로 바꿉니다.

다음 목록에서는 TBAC를 사용하여 수행할 수 있는 작업에 대해 설명합니다.

  • S3용 맬웨어 보호 서비스 보안 주체를 제외한 모든 사용자가 다음 태그 키-값 페어로 아직 태그가 지정되지 않은 S3 객체를 읽지 못하도록 합니다.

    GuardDutyMalwareScanStatus:Potential key value

  • GuardDuty만 스캔 결과로 값이 GuardDutyMalwareScanStatus인 태그 키를 스캔된 S3 객체에 추가하도록 허용합니다. 다음 정책 템플릿을 사용하면 액세스 권한이 있는 특정 사용자가 태그 키-값 쌍을 잠재적으로 재정의할 수 있습니다.

S3 버킷 리소스 정책 예시:

예제 정책에서 다음 자리 표시자 값을 바꿉니다.

  • IAM-role-name - 버킷에서 S3용 맬웨어 보호를 구성하는 데 사용한 IAM 역할을 제공합니다.

  • 555555555555 - 보호된 버킷과 AWS 계정 연결된를 제공합니다.

  • amzn-s3-demo-bucket - 보호된 버킷 이름을 제공합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NoReadExceptForClean",
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND",
                    "aws:PrincipalArn": [
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
                    "arn:aws:iam::555555555555:role/IAM-role-name"
                    ]
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTag",
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:PutObjectTagging",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
                    "arn:aws:iam::555555555555:role/IAM-role-name"
                    ]
                }
            }
        }
    ]
}

S3 리소스 태그 지정, 태그 지정 및 액세스 제어 정책에 대한 자세한 내용은 섹션을 참조하세요.