為您的儲存貯體啟用適用於 S3 的惡意軟體防護 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為您的儲存貯體啟用適用於 S3 的惡意軟體防護

本節提供如何為您自己帳戶中的儲存貯體啟用 Malware Protection for S3 的詳細步驟。在遵循本節中的步驟之前,您將需要具有許可IAM的角色,以協助代表您 GuardDuty 採取行動。如需詳細資訊,請參閱先決條件 - 建立或更新IAM角色政策

您可以選擇偏好的存取方法,為您的儲存貯體 GuardDuty 主控台或 API/ 啟用 Malware Protection for S3 AWS CLI。

主題

    以下各節提供 step-by-step您將體驗到的 GuardDuty 主控台演練。

    使用 GuardDuty 主控台啟用惡意軟體防護 S3

    輸入 S3 儲存貯體詳細資訊

    使用下列步驟提供 Amazon S3 儲存貯體詳細資訊:

    1. 登入 AWS Management Console 並在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

    2. 使用頁面右上角的 AWS 區域 選取器,選取您要啟用 Malware Protection for S3 的區域。

    3. 在導覽窗格中,選擇惡意軟體防護 S3

    4. 受保護的儲存貯體區段中,選擇啟用,為屬於您自己的 S3 儲存貯體啟用適用於 S3 的惡意軟體保護 AWS 帳戶。

    5. 輸入 S3 儲存貯體詳細資訊 下,輸入 Amazon S3 儲存貯體名稱。或者,選擇瀏覽 S3 以選取 S3 儲存貯體。

      S3 儲存貯體 AWS 區域 的 和您啟用 Malware Protection for S3 AWS 帳戶 的 必須是相同的。例如,如果您的帳戶屬於 us-east-1區域,則您的 Amazon S3 儲存貯體區域也必須是 us-east-1

    6. 字首 下,您可以選取 S3 儲存貯體中的所有物件,或選取以特定字首開頭的物件

      • 當您 GuardDuty 想要掃描所選儲存貯體中所有新上傳的物件時,請選取 S3 儲存貯體中的所有物件。

      • 當您想要掃描屬於特定字首的新上傳物件時,請選取以特定字首開頭的物件。此選項可協助您僅將惡意軟體掃描的範圍集中在選取的物件字首上。如需使用字首的詳細資訊,請參閱 Amazon S3 使用者指南 中的使用資料夾在 Amazon S3 主控台中組織物件Amazon S3

        選擇新增字首並輸入字首。您最多可以新增五個字首。

    啟用掃描物件的標記

    這是選用步驟。當您在物件上傳到儲存貯體之前啟用標記選項時, 會在完成掃描後新增預先定義的標籤GuardDutyMalwareScanStatus,金鑰為 , GuardDuty值為 作為掃描結果。若要以最佳方式使用 Malware Protection for S3,建議您在掃描結束後啟用 選項,將標籤新增至 S3 物件。標準 S3 物件標記成本適用。如需詳細資訊,請參閱S3 惡意軟體防護的價格和使用成本

    為什麼您應該啟用標記?

    GuardDuty 將標籤新增至 S3 物件的考量:

    • 根據預設,您最多可以將 10 個標籤與物件建立關聯。如需詳細資訊,請參閱 Amazon S3 使用者指南 中的使用標籤將儲存體分類

      如果所有 10 個標籤都已在使用中, GuardDuty 則無法將預先定義的標籤新增至掃描的物件。 GuardDuty 也會將掃描結果發佈至您的預設 EventBridge 事件匯流排。如需詳細資訊,請參閱使用 Amazon 監控 S3 物件掃描 EventBridge

    • 當選取的IAM角色不包含 標記 S3 物件 GuardDuty 的許可時,即使已啟用受保護儲存貯體的標記, GuardDuty 也無法將標籤新增至此掃描的 S3 物件。如需標記所需IAM角色許可的詳細資訊,請參閱 先決條件 - 建立或更新IAM角色政策

      GuardDuty 也會將掃描結果發佈至您的預設 EventBridge 事件匯流排。如需詳細資訊,請參閱使用 Amazon 監控 S3 物件掃描 EventBridge

    標籤掃描物件下選取選項

    • 當您想要 GuardDuty 將標籤新增至掃描的 S3 物件時,請選取標籤物件

    • 當您不想 GuardDuty 將標籤新增至掃描的 S3 物件時,請選取不要標記物件

    許可

    使用下列步驟,選擇具有代表您執行惡意軟體掃描動作必要許可IAM的角色。這些動作可能包括掃描新上傳的 S3 物件,以及 (選擇性) 將標籤新增至這些物件。

    選擇IAM角色名稱

    1. 如果您已在 下執行步驟先決條件 - 建立或更新IAM角色政策,請執行下列動作:

      1. 許可區段下,針對IAM角色名稱,選擇包含必要許可IAM的角色名稱。

    2. 如果您尚未在 下執行步驟先決條件 - 建立或更新IAM角色政策,請執行下列動作:

      1. 選擇檢視許可

      2. 許可詳細資訊 下,選擇政策索引標籤。這會顯示所需IAM許可的範本。

        複製此範本,然後在許可詳細資訊視窗結尾選擇關閉

      3. 選擇在新索引標籤中開啟IAM主控台的連接政策。您可以選擇建立新的IAM角色,或更新具有複製範本許可的現有IAM角色。

        此範本包含預留位置值,您必須將其取代為與儲存貯體 和 相關聯的適當值 AWS 帳戶。

      4. 使用 GuardDuty 主控台返回瀏覽器索引標籤。再次選擇檢視許可

      5. 許可詳細資訊 下,選擇信任關係索引標籤。這會顯示IAM角色的信任關係政策範本。

        複製此範本,然後在許可詳細資訊視窗結尾選擇關閉

      6. 前往開啟IAM主控台的瀏覽器索引標籤。在偏好的IAM角色中,新增此信任關係政策。

    3. 若要將標籤新增至為此受保護資源建立的惡意軟體保護計畫 ID,請繼續下一個區段;否則,請在此頁面結尾選擇啟用,將 S3 儲存貯體新增為受保護資源。

    (選用) 標籤惡意軟體防護計劃 ID

    這是一個選用步驟,可協助您將標籤新增至為 S3 儲存貯體資源建立的惡意軟體防護計劃資源。

    每個標籤有兩個部分:標籤索引鍵和選用的標籤值。如需標記及其優點的詳細資訊,請參閱標記 AWS 資源

    將標籤新增至您的惡意軟體防護計劃資源

    1. 輸入標籤的金鑰和選用。標籤索引鍵和標籤值都區分大小寫。如需標籤索引鍵名稱和標籤值的相關資訊,請參閱標籤命名限制和需求

    2. 若要將更多標籤新增至您的惡意軟體防護計劃資源,請選擇新增標籤並重複上一個步驟。每個 資源最多可新增 50 個標籤。

    3. 選擇 啟用

    本節包含您希望在 AWS 環境中以程式設計方式啟用 Malware Protection for S3 時的步驟。這需要您在此步驟中建立的 Amazon Resource Name (ARN) IAM角色 - 先決條件 - 建立或更新IAM角色政策

    使用 API/ 以程式設計方式啟用 Malware Protection for S3 CLI

    • 使用 API

      執行 CreateMalwareProtectionPlan,為屬於您帳戶的儲存貯體啟用 Malware Protection for S3。

    • 使用 AWS CLI

      根據您要啟用 Malware Protection for S3 的方式,下列清單提供特定使用案例 AWS CLI 的範例命令。當您執行這些命令時,請取代 placeholder examples shown in red,具有適用於您帳戶的 值。

      AWS CLI 範例命令

      • 使用下列 AWS CLI 命令,為沒有掃描 S3 物件標籤的儲存貯體啟用 Malware Protection for S3:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}

      • 使用下列 AWS CLI 命令,為具有特定物件字首的儲存貯體啟用 Malware Protection for S3,且不會為掃描的 S3 物件加上標籤:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'

      • 使用下列 AWS CLI 命令,針對已啟用掃描 S3 物件標記的儲存貯體啟用 Malware Protection for S3:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}

      成功執行這些命令後,會產生唯一的惡意軟體防護計劃 ID。若要執行更新或停用儲存貯體的保護計劃等動作,您將需要此惡意軟體保護計劃 ID。