選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

搭配 Malware Protection for S3 使用標籤型存取控制 (TBAC)

PDF
RSS
焦點模式
搭配 Malware Protection for S3 使用標籤型存取控制 (TBAC) - Amazon GuardDuty
在 S3 儲存貯體資源上新增 TBAC

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為儲存貯體啟用惡意軟體防護S3,您可以選擇啟用標記。嘗試掃描所選儲存貯體中新上傳的 S3 物件後,GuardDuty 會將標籤新增至掃描的物件,以提供惡意軟體掃描狀態。當您啟用標記時,會有相關的直接用量成本。如需詳細資訊,請參閱S3 惡意軟體防護的定價和使用成本

GuardDuty 使用預先定義的標籤,將金鑰做為 GuardDutyMalwareScanStatus,並將值做為其中一個惡意軟體掃描狀態。如需這些值的資訊,請參閱 S3 物件潛在掃描狀態和結果狀態

GuardDuty 將標籤新增至 S3 物件的考量:

  • 根據預設,您最多可以將 10 個標籤與 物件建立關聯。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用標籤將儲存體分類

    如果所有 10 個標籤都已在使用中,GuardDuty 無法將預先定義的標籤新增至掃描的物件。GuardDuty 也會將掃描結果發佈至您的預設 EventBridge 事件匯流排。如需詳細資訊,請參閱使用 Amazon EventBridge 監控 S3 物件掃描

  • 當選取的 IAM 角色不包含 GuardDuty 標記 S3 物件的許可時,即使已啟用受保護儲存貯體的標記,GuardDuty 將無法將標籤新增至此掃描的 S3 物件。如需標記所需 IAM 角色許可的詳細資訊,請參閱建立或更新 IAM 角色政策

    GuardDuty 也會將掃描結果發佈至您的預設 EventBridge 事件匯流排。如需詳細資訊,請參閱使用 Amazon EventBridge 監控 S3 物件掃描

在 S3 儲存貯體資源上新增 TBAC

您可以使用 S3 儲存貯體資源政策來管理 S3 物件的標籤型存取控制 (TBAC)。您可以提供特定使用者的存取權,以存取和讀取 S3 物件。如果您有使用 建立的組織 AWS Organizations,您必須強制執行沒有人可以修改 GuardDuty 新增的標籤。如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的防止標籤遭到修改,但授權委託人除外。連結主題中使用的範例提及 ec2。當您使用此範例時,請將 ec2 取代為 s3

下列清單說明您可以使用 TBAC 執行的操作:

  • 防止惡意軟體防護 S3 服務主體以外的所有使用者讀取尚未標記下列標籤鍵值對的 S3 物件:

    GuardDutyMalwareScanStatus:Potential key value

  • 僅允許 GuardDuty 將GuardDutyMalwareScanStatus值為掃描結果的標籤金鑰新增至掃描的 S3 物件。下列政策範本可以允許具有存取權的特定使用者,可能覆寫標籤鍵/值對。

S3 儲存貯體資源政策範例:

在範例政策中取代下列預留位置值:

  • IAM-role-name - 提供您在儲存貯體中用於設定 S3 惡意軟體防護的 IAM 角色。

  • 555555555555 - 提供與受保護儲存貯體 AWS 帳戶 相關聯的 。

  • amzn-s3-demo-bucket - 提供受保護的儲存貯體名稱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NoReadExceptForClean",
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND",
                    "aws:PrincipalArn": [
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
                    "arn:aws:iam::555555555555:role/IAM-role-name"
                    ]
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTag",
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:PutObjectTagging",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
                    "arn:aws:iam::555555555555:role/IAM-role-name"
                    ]
                }
            }
        }
    ]
}

如需標記 S3 資源、標記和存取控制政策的詳細資訊。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。