為您的儲存貯體啟用 S3 的惡意軟體防護 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為您的儲存貯體啟用 S3 的惡意軟體防護

本節提供如何為您自己帳戶中的儲存貯體啟用惡意軟體防護 S3 的詳細步驟。

您可以選擇偏好的存取方法,為您的儲存貯體 - GuardDuty 主控台或 API/ 啟用惡意軟體防護S3 AWS CLI

主題

    以下各節提供 step-by-step您將體驗到的 GuardDuty 主控台演練。

    使用 GuardDuty 主控台啟用 S3 的惡意軟體防護

    輸入 S3 儲存貯體詳細資訊

    使用下列步驟提供 Amazon S3 儲存貯體詳細資訊:

    1. 登入 AWS Management Console 並在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

    2. 使用頁面右上角的 AWS 區域 選取器,選取您要啟用惡意軟體防護 S3 的區域。

    3. 在導覽窗格中,選擇適用於 S3 的惡意軟體防護

    4. 受保護的儲存貯體區段中,選擇啟用,為屬於您自己的 S3 儲存貯體啟用適用於 S3 的惡意軟體防護 AWS 帳戶。

    5. 輸入 S3 儲存貯體詳細資訊下,輸入 Amazon S3 儲存貯體名稱。或者,選擇瀏覽 S3 以選取 S3 儲存貯體。

      S3 儲存貯 AWS 區域 體的 和您為 S3 啟用惡意軟體防護 AWS 帳戶 的 必須是相同的。例如,如果您的帳戶屬於 us-east-1區域,則您的 Amazon S3 儲存貯體區域也必須是 us-east-1

    6. 字首下,您可以選取 S3 儲存貯體中的所有物件,或是以特定字首開頭的物件

      • 當您想要 GuardDuty 掃描所選儲存貯體中所有新上傳的物件時,請選取 S3 儲存貯體中的所有物件。

      • 當您想要掃描屬於特定字首的新上傳物件時,請選取以特定字首開頭的物件。此選項可協助您僅將惡意軟體掃描的範圍集中在選取的物件字首上。如需使用字首的詳細資訊,請參閱《Amazon S3 使用者指南》中的使用資料夾在 Amazon S3 主控台中組織物件Amazon S3

        選擇新增字首並輸入字首。您最多可以新增五個字首。

    啟用掃描物件的標記

    這是選用步驟。當您在物件上傳到儲存貯體之前啟用標記選項時, 會在完成掃描後新增預先定義的標籤GuardDutyMalwareScanStatus,金鑰為 , GuardDuty值為 作為掃描結果。若要以最佳方式使用適用於 S3 的惡意軟體防護,建議您在掃描結束後啟用 選項,將標籤新增至 S3 物件。標準 S3 物件標記成本適用。如需詳細資訊,請參閱S3 惡意軟體防護的價格和使用成本

    為什麼應該啟用標記?

    GuardDuty 將標籤新增至 S3 物件的考量:

    • 根據預設,您最多可以將 10 個標籤與 物件建立關聯。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用標籤將儲存體分類

      如果所有 10 個標籤都已在使用中,則 GuardDuty 無法將預先定義的標籤新增至掃描的物件。 GuardDuty 也會將掃描結果發佈至您的預設 EventBridge 事件匯流排。如需詳細資訊,請參閱使用 Amazon 監控 S3 物件掃描 EventBridge

    • 當所選IAM角色不包含 GuardDuty 標記 S3 物件的許可,即使已啟用受保護儲存貯體的標記, GuardDuty 也無法將標籤新增至此掃描的 S3 物件。如需標記所需IAM角色許可的詳細資訊,請參閱建立或更新IAM角色政策

      GuardDuty 也會將掃描結果發佈至您的預設 EventBridge 事件匯流排。如需詳細資訊,請參閱使用 Amazon 監控 S3 物件掃描 EventBridge

    標籤掃描物件下選取選項

    • 當您想要 GuardDuty 將標籤新增至掃描的 S3 物件時,請選取標籤物件

    • 當您不想 GuardDuty 將標籤新增至掃描的 S3 物件時,請選取不要標記物件

    服務存取

    使用下列步驟來選擇現有的服務角色,或建立新的服務角色,其具有代表您執行惡意軟體掃描動作的必要許可。這些動作可能包括掃描新上傳的 S3 物件,以及 (選擇性) 將標籤新增至這些物件。

    服務存取區段中,您可以執行下列其中一項操作:

    1. 建立和使用新的服務角色 — 您可以使用具有執行惡意軟體掃描必要許可的新服務角色。

      角色名稱下,您可以選擇使用預先填入的名稱, GuardDuty 或輸入您選擇的有意義的名稱來識別角色。例如 GuardDutyS3MalwareScanRole。角色名稱必須為 1-64 個字元。有效字元為 a-z、A-Z、0-9 和 '+=、.@-_' 字元。

    2. 使用現有的服務角色 — 您可以從服務角色名稱清單中選擇現有的服務角色

      1. 政策範本下,您可以檢視 S3 儲存貯體的政策。請確定您已在輸入 S3 儲存貯體詳細資訊區段中輸入或選取 S3 儲存貯體。

      2. 服務角色名稱下,從服務角色清單中選擇服務角色。

    您可以根據您的需求變更政策。如需如何建立或更新IAM角色的詳細資訊,請參閱建立或更新IAM角色政策

    (選用) 標記惡意軟體防護計劃 ID

    這是一個選用步驟,可協助您將標籤新增至惡意軟體防護計劃資源,該資源會針對 S3 儲存貯體資源建立。

    每個標籤有兩個部分:標籤索引鍵和選用的標籤值。如需標記及其優點的詳細資訊,請參閱標記 AWS 資源

    將標籤新增至惡意軟體防護計劃資源

    1. 輸入標籤的金鑰和選用。標籤索引鍵和標籤值都區分大小寫。如需標籤索引鍵名稱和標籤值的相關資訊,請參閱標籤命名限制和要求

    2. 若要將更多標籤新增至惡意軟體防護計劃資源,請選擇新增標籤並重複上一個步驟。每個 資源最多可新增 50 個標籤。

    3. 選擇 啟用

    本節包含您希望在 AWS 環境中以程式設計方式啟用惡意軟體防護 S3 時的步驟。這需要您在此步驟 - 中建立的 Amazon Resource Name (ARN) IAM角色建立或更新IAM角色政策

    使用 API/ 以程式設計方式啟用惡意軟體防護 S3 CLI

    • 使用 API

      執行 CreateMalwareProtectionPlan,為屬於您自身帳戶的儲存貯體啟用惡意軟體防護 S3。

    • 使用 AWS CLI

      根據您要如何啟用適用於 S3 的惡意軟體防護,下列清單提供特定使用案例 AWS CLI 的範例命令。當您執行這些命令時,請將 取代placeholder examples shown in red為適用於您 帳戶的 值。

      AWS CLI 範例命令

      • 使用下列 AWS CLI 命令,為沒有掃描 S3 物件標記的儲存貯體啟用惡意軟體防護S3 

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}

      • 使用下列 AWS CLI 命令,為具有特定物件字首的儲存貯體啟用惡意軟體防護 S3,且不會為掃描的 S3 物件加上標籤:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'

      • 使用下列 AWS CLI 命令,為已啟用掃描 S3 物件標記的儲存貯體啟用惡意軟體防護S3 

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}

      成功執行這些命令後,將產生唯一的惡意軟體防護計劃 ID。若要執行更新或停用儲存貯體保護計劃等動作,您需要此惡意軟體保護計劃 ID。