Habilitando a proteção contra malware para S3 para seu bucket

Esta seção fornece etapas detalhadas sobre como habilitar a Proteção contra Malware para S3 para um bucket em sua própria conta.

Você pode escolher um método de acesso preferencial para ativar o Malware Protection for S3 em seus buckets: GuardDuty console ouAPI/.AWS CLI

Tópicos

As seções a seguir fornecem uma step-by-step explicação passo a passo, como você experimentará no GuardDuty console.

Para habilitar a Proteção contra Malware para S3 usando o console GuardDuty

Entre nos detalhes do bucket do S3

Use as etapas a seguir para fornecer detalhes do bucket do Amazon S3:

Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja ativar a Proteção contra Malware para o S3.
No painel de navegação, escolha Proteção contra Malware para S3
Na seção Buckets protegidos, escolha Habilitar para ativar a Proteção contra Malware para S3 para um bucket S3 que pertence ao seu Conta da AWS.
Em Inserir detalhes do bucket do S3, insira o nome do Bucket do Amazon S3. Como alternativa, escolha Browse S3 para selecionar um bucket S3.

O Região da AWS do bucket do S3 e o Conta da AWS local em que você ativa a Proteção contra Malware para o S3 devem ser os mesmos. Por exemplo, se sua conta pertence à região us-east-1, a região do bucket do Amazon S3 também deve ser us-east-1.
Em Prefixo, você pode selecionar Todos os objetos no bucket do S3 ou Objetos que começam com um prefixo específico.
- Selecione Todos os objetos no bucket do S3 quando quiser GuardDuty escanear todos os objetos recém-carregados no bucket selecionado.
- Selecione Objetos que começam com um prefixo específico quando quiser verificar os objetos recém-carregados que pertencem a um prefixo específico. Essa opção ajuda você a focar no escopo da verificação de malware somente nos prefixos de objeto selecionados. Para obter informações sobre como usar pastas no Amazon S3, consulte Organizar objetos no console do Amazon S3 usando pastas no Manual do usuário do Amazon S3.
  
  Escolha Adicionar prefixo e insira o prefixo. Você pode adicionar até cinco prefixos.

Ativar marcação para objetos verificados

Esta é uma etapa opcional. Quando você ativa a opção de marcação antes de um objeto ser carregado no seu bucket, depois de concluir a verificação, GuardDuty adicionará uma tag predefinida com a chave como GuardDutyMalwareScanStatus e o valor como resultado da verificação. Para usar a Proteção contra Malware para S3 de forma otimizada, recomendamos ativar a opção de adicionar uma tag aos objetos do S3 após o término da verificação. O custo padrão da atribuição de tags de objetos do S3 é aplicável. Para obter mais informações, consulte Preço e custo de uso da Proteção contra Malware para S3.

Por que você deve ativar a marcação?

Ativar a marcação é uma das maneiras de saber sobre o resultado da verificação de malware. Para obter informações sobre o resultado de uma verificação de malware do S3, consulte Monitorando verificações de objetos do S3 na Proteção contra Malware para S3.
Configure a política de controle de acesso (TBAC) baseada em tags em seu bucket do S3 que contém o objeto potencialmente malicioso. Para obter informações sobre considerações e como implementar o controle de acesso baseado em tags (TBAC), consulte. Usando controle de acesso baseado em tags (TBAC) com proteção contra malware para S3

Considerações GuardDuty para adicionar uma tag ao seu objeto do S3:

Por padrão. você pode associar até 10 tags a um objeto. Para obter informações, consulte Categorizando o armazenamento usando tags no Guia do usuário do Amazon S3.

Se todas as 10 tags já estiverem em uso, não GuardDuty será possível adicionar a tag predefinida ao objeto digitalizado. GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para obter mais informações, consulte Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge.
Quando a IAM função selecionada não inclui a permissão GuardDuty para marcar o objeto do S3, mesmo com a marcação ativada para seu bucket protegido, não GuardDuty será possível adicionar uma tag a esse objeto escaneado do S3. Para obter mais informações sobre a permissão de IAM função necessária para marcação, consulteCriar ou atualizar a política de IAM função.

GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para obter mais informações, consulte Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge.

Para selecionar uma opção em Marcar objetos verificados

Quando quiser adicionar tags GuardDuty aos objetos digitalizados do S3, selecione Marcar objetos.
Quando você não quiser adicionar tags GuardDuty aos objetos digitalizados do S3, selecione Não marcar objetos.

Acesso ao serviço

Use as etapas a seguir para escolher um perfil de serviço existente ou criar um novo perfil de serviço que tenha as permissões necessárias para executar ações de verificação de malware em seu nome. Essas ações podem incluir a verificação dos objetos S3 recém-carregados e (opcionalmente) a adição de tags a esses objetos.

Na seção Acesso ao serviço selecione uma das seguintes opções:

Criar e usar um novo perfil de serviço — Você pode criar e usar um novo perfil de serviço que tenha as permissões necessárias para realizar a verificação de malware.

Em Nome da função, você pode escolher usar o nome pré-preenchido por GuardDuty ou inserir um nome significativo de sua escolha para identificar a função. Por exemplo, GuardDutyS3MalwareScanRole. O nome do perfil deve ter de 1 a 64 caracteres. Os caracteres válidos são a-z, A-Z, 0-9 e caracteres '+=, .@-_'.
Usar um perfil de serviço existente — Você pode escolher um perfil de serviço existente na lista de Nome do perfil de serviço.
1. Em Modelo de política, você pode visualizar a política do seu bucket do S3. Verifique se você inseriu ou selecionou um bucket do S3 na seção de detalhes Inserir bucket do S3.
2. Em Nome do perfil de serviço, escolha um perfil de serviço na lista de perfis de serviço.

Você pode fazer alterações na política com base em seus requisitos. Para obter mais detalhes sobre como criar ou atualizar uma IAM função, consulte Criar ou atualizar a política de IAM função.

(Opcional) Etiquetar ID do plano de proteção contra malware

Essa é uma etapa opcional que ajuda você a adicionar tags ao recurso do plano de proteção contra malware que seriam criadas para seu recurso de bucket do S3.

Cada tag tem duas partes: uma chave de tag e um valor de tag opcional. Para obter mais informações sobre marcação e seus benefícios, consulte Recursos de marcação AWS.

Para adicionar tags ao seu recurso de plano de proteção contra malware

Digite uma chave e, opcionalmente, um valor para a tag. A chave e o valor da tag diferenciam maiúsculas de minúsculas. Para obter informações sobre os nomes da chave e do valor da tag, consulte Limites e requisitos de nomenclatura da tag.
Para adicionar mais tags ao seu recurso do plano de Proteção contra Malware, escolha Adicionar nova tag e repita a etapa anterior. Você pode adicionar até 50 tags a cada recurso.
Escolha Habilitar.

Esta seção inclui as etapas para quando você deseja habilitar o Malware Protection for S3 programaticamente em seu ambiente. AWS Isso requer a IAM função Amazon Resource Name (ARN) que você criou nesta etapa -Criar ou atualizar a política de IAM função.

Para ativar a Proteção contra Malware para S3 programaticamente usando/APICLI

Ao usar o API

Execute o CreateMalwareProtectionPlanpara ativar o Malware Protection for S3 em um bucket que pertence à sua própria conta.
Usando AWS CLI

Dependendo de como você deseja habilitar a Proteção contra Malware para S3, a lista a seguir fornece AWS CLI exemplos de comandos para casos de uso específicos. Ao executar esses comandos, substitua oplaceholder examples shown in red, pelos valores apropriados para sua conta.
AWS CLI exemplos de comandos
- Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 em um bucket sem marcação para objetos escaneados do S3:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
- Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 para um bucket com prefixos de objeto específicos e sem marcação para objetos escaneados do S3:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
- Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 para um bucket com a marcação de objetos escaneados do S3 ativada:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Depois de executar esses comandos com êxito, um ID exclusivo do plano de Proteção contra Malware será gerado. Para realizar ações como atualizar ou desativar o plano de proteção do seu bucket, você precisará desse ID do plano de proteção contra malware.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurando a proteção contra malware para S3 para seu bucket

IAMpermissões de função