S3용 맬웨어 보호와 함께 태그 기반 액세스 제어(TBAC) 사용 - Amazon GuardDuty

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

S3용 맬웨어 보호와 함께 태그 기반 액세스 제어(TBAC) 사용

버킷에 대해 S3용 맬웨어 방지를 활성화할 때 선택적으로 태그 지정을 활성화하도록 선택할 수 있습니다. 선택한 버킷에서 새로 업로드된 S3 객체를 스캔하려고 시도한 후 는 스캔한 객체에 태그를 GuardDuty 추가하여 맬웨어 스캔 상태를 제공합니다. 태그 지정을 활성화할 때 직접 사용 비용이 발생합니다. 자세한 내용은 S3용 맬웨어 방지에 대한 요금 및 사용 비용 단원을 참조하십시오.

GuardDuty 는 키를 로 GuardDutyMalwareScanStatus 하고 값을 맬웨어 스캔 상태 중 하나로 하는 사전 정의된 태그를 사용합니다. 이러한 값에 대한 자세한 내용은 섹션을 참조하세요S3 객체 전위 스캔 상태 및 결과 상태.

가 S3 객체에 태그를 추가 GuardDuty 하기 위한 고려 사항:

  • 기본적으로 최대 10개의 태그를 객체와 연결할 수 있습니다. 자세한 내용은 Amazon S3 사용 설명서태그를 사용하여 스토리지 분류를 참조하세요.

    10개의 태그가 모두 이미 사용 중인 경우 는 사전 정의된 태그를 스캔된 객체에 추가할 수 GuardDuty 없습니다. GuardDuty 또한 는 스캔 결과를 기본 EventBridge 이벤트 버스에 게시합니다. 자세한 내용은 Amazon을 사용한 S3 객체 스캔 모니터링 EventBridge 단원을 참조하십시오.

  • 선택한 IAM 역할에 S3 객체에 태그를 지정할 GuardDuty 수 있는 권한이 포함되지 않은 경우 보호 버킷에 대해 태그 지정이 활성화된 경우에도 이 스캔된 S3 객체에 태그를 추가할 GuardDuty 수 없습니다. 태깅에 필요한 IAM 역할 권한에 대한 자세한 내용은 섹션을 참조하세요사전 조건 - IAM 역할 정책 생성 또는 업데이트.

    GuardDuty 또한 는 스캔 결과를 기본 EventBridge 이벤트 버스에 게시합니다. 자세한 내용은 Amazon을 사용한 S3 객체 스캔 모니터링 EventBridge 단원을 참조하십시오.

S3 버킷 리소스TBAC에 추가

S3 버킷 리소스 정책을 사용하여 S3 객체에 대한 태그 기반 액세스 제어(TBAC)를 관리할 수 있습니다. 특정 사용자에게 S3 객체에 액세스하고 읽을 수 있는 액세스 권한을 제공할 수 있습니다. 를 사용하여 생성된 조직이 있는 경우 에서 추가한 태그를 수정할 수 없도록 적용 AWS Organizations해야 합니다 GuardDuty. 자세한 내용은 AWS Organizations 사용 설명서승인된 보안 주체를 제외한 태그 수정 방지를 참조하세요. 연결된 주제에 사용된 예제에서는 를 언급합니다ec2. 이 예제를 사용하면 를 바꿉니다.ec2 를 사용합니다s3.

다음 목록은 를 사용하여 수행할 수 있는 작업을 설명합니다TBAC.

  • Malware Protection for S3 서비스 보안 주체를 제외한 모든 사용자가 다음 태그 키-값 페어로 아직 태그가 지정되지 않은 S3 객체를 읽지 못하도록 합니다.

    GuardDutyMalwareScanStatus:Potential key value

  • GuardDuty 만 스캔 결과로 값이 GuardDutyMalwareScanStatus 인 태그 키를 스캔된 S3 객체에 추가할 수 있습니다. 다음 정책 템플릿은 액세스 권한이 있는 특정 사용자가 태그 키-값 페어를 잠재적으로 재정의하도록 허용할 수 있습니다.

S3 버킷 리소스 정책의 예:

Replace IAM-role-name 버킷에서 S3에 대한 맬웨어 방지를 구성하는 데 사용한 IAM 역할.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "NoReadExceptForClean", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::555555555555:root", "arn:aws:iam::555555555555:role/IAM-role-name", "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection" ] }, "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND" } } }, { "Sid": "OnlyGuardDutyCanTag", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::555555555555:root", "arn:aws:iam::555555555555:role/IAM-role-name", "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection" ] }, "Action": "s3:PutObjectTagging", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] }

S3 리소스 태그 지정, 태그 지정 및 액세스 제어 정책에 대한 자세한 내용은 섹션을 참조하세요.