Malware-Schutz für S3 für Ihren Bucket aktivieren - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Malware-Schutz für S3 für Ihren Bucket aktivieren

Dieser Abschnitt enthält detaillierte Schritte zur Aktivierung von Malware Protection for S3 für einen Bucket in Ihrem eigenen Konto. Bevor Sie fortfahren, sollten Sie sich die folgenden Überlegungen ansehen:

Erwägen Sie die Drosselung des Amazon S3 S3-Buckets

S3-Drosselung kann die Geschwindigkeit einschränken, mit der Daten zu oder von Ihren Amazon S3 S3-Buckets übertragen werden können. Dies kann möglicherweise Malware-Scans Ihrer neu hochgeladenen Objekte verzögern.

Wenn Sie ein hohes Volumen an GET und PUT Anfragen an Ihre S3-Buckets erwarten, sollten Sie Maßnahmen ergreifen, um Drosselung zu verhindern. Informationen dazu, wie Sie dies tun können, finden Sie unter Amazon S3 S3-Drosselung verhindern im Amazon Athena Athena-Benutzerhandbuch.

Themen

    Wenn Sie Malware Protection for S3 für einen Amazon S3 S3-Bucket aktivieren, GuardDuty wird eine Ressource für den Malware-Schutzplan erstellt, die als Kennung für den Schutzplan des Buckets dient. Wenn Sie die noch nicht verwendenAWS verwaltete Richtlinie: AmazonGuardDutyFullAccess_v2 (empfohlen), müssen Sie die folgenden Berechtigungen hinzufügen, um diese Ressource zu erstellen:

    • guardDuty:CreateMalwareProtectionPlan

    • iam:PassRole

    Sie können das folgende Beispiel für eine benutzerdefinierte Richtlinie verwenden und die placeholder values durch die für Ihr Konto geeigneten Werte ersetzen:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:CreateMalwareProtectionPlan"
            ],
            "Resource": "*"
        }
    ]
}

    In den folgenden Abschnitten finden Sie eine step-by-step exemplarische Vorgehensweise, wie Sie sie in der GuardDuty Konsole erleben werden.

    So aktivieren Sie den Malware-Schutz für S3 mithilfe der Konsole GuardDuty

    Geben Sie die S3-Bucket-Details ein

    Gehen Sie wie folgt vor, um die Amazon S3 S3-Bucket-Details bereitzustellen:

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Malware Protection for S3 aktivieren möchten.

    3. Wählen Sie im Navigationsbereich die Option Malware Protection for S3 aus.

    4. Wählen Sie im Abschnitt Geschützte Buckets die Option Aktivieren aus, um Malware Protection for S3 für einen S3-Bucket zu aktivieren, der Ihrem eigenen AWS-Konto gehört.

    5. Geben Sie unter S3-Bucket-Details eingeben den Namen des Amazon S3 S3-Buckets ein. Wählen Sie alternativ Browse S3, um einen S3-Bucket auszuwählen.

      Der AWS-Region Name des S3-Buckets und der Bereich AWS-Konto , in dem Sie den Malware-Schutz für S3 aktivieren, müssen identisch sein. Wenn Ihr Konto beispielsweise zur us-east-1 Region gehört, muss dies auch Ihre Amazon S3 S3-Bucket-Region seinus-east-1.

    6. Unter Präfix können Sie entweder Alle Objekte im S3-Bucket oder Objekte, die mit einem bestimmten Präfix beginnen, auswählen.

      • Wählen Sie Alle Objekte im S3-Bucket aus, wenn Sie alle neu hochgeladenen Objekte im ausgewählten Bucket scannen möchten GuardDuty .

      • Wählen Sie Objekte, die mit einem bestimmten Präfix beginnen, wenn Sie die neu hochgeladenen Objekte scannen möchten, die zu einem bestimmten Präfix gehören. Mit dieser Option können Sie den Umfang des Malware-Scans nur auf die ausgewählten Objektpräfixe konzentrieren. Weitere Informationen zur Verwendung von Präfixen finden Sie unter Objekte in der Amazon S3 S3-Konsole mithilfe von Ordnern organisieren im Amazon S3 S3-Benutzerhandbuch.

        Wählen Sie Präfix hinzufügen und geben Sie Präfix ein. Sie können bis zu fünf Präfixe hinzufügen.

    Aktivieren Sie das Tagging für gescannte Objekte

    Dies ist ein optionaler Schritt. Wenn Sie die Tagging-Option aktivieren, bevor ein Objekt in Ihren Bucket hochgeladen wird, GuardDuty wird nach Abschluss des Scans ein vordefiniertes Tag mit dem Schlüssel as GuardDutyMalwareScanStatus und dem Wert als Scanergebnis hinzugefügt. Um den Malware-Schutz für S3 optimal nutzen zu können, empfehlen wir, die Option zum Hinzufügen von Tags zu den S3-Objekten nach Abschluss des Scans zu aktivieren. Es fallen die Standardkosten für das S3-Objekt-Tagging an. Weitere Informationen finden Sie unter Preise und Nutzungskosten für Malware Protection for S3.

    Warum sollten Sie Tagging aktivieren?

    Überlegungen zum Hinzufügen eines Tags GuardDuty zu Ihrem S3-Objekt:

    • Standardmäßig können Sie einem Objekt bis zu 10 Tags zuordnen. Weitere Informationen finden Sie unter Kategorisieren Ihres Speichers mithilfe von Tags im Amazon S3 S3-Benutzerhandbuch.

      Wenn alle 10 Tags bereits verwendet werden, GuardDuty kann das vordefinierte Tag dem gescannten Objekt nicht hinzugefügt werden. GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter Überwachung von S3-Objektscans mit Amazon EventBridge.

    • Wenn die gewählte IAM-Rolle nicht über die Berechtigung GuardDuty zum Taggen des S3-Objekts verfügt, können Sie diesem gescannten S3-Objekt auch dann kein Tag hinzufügen, GuardDuty wenn das Tagging für Ihren geschützten Bucket aktiviert ist. Weitere Informationen zu den erforderlichen IAM-Rollenberechtigungen für das Tagging finden Sie unter. IAM-Rollenrichtlinie erstellen oder aktualisieren

      GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter Überwachung von S3-Objektscans mit Amazon EventBridge.

    Um eine Option unter Gescannte Objekte taggen auszuwählen

    • Wenn Sie Ihren gescannten S3-Objekten Tags hinzufügen möchten GuardDuty , wählen Sie Objekte kennzeichnen.

    • Wenn Sie Ihren gescannten S3-Objekten keine Tags hinzufügen möchten GuardDuty , wählen Sie Objekte nicht taggen.

    Zugriff auf Services

    Gehen Sie wie folgt vor, um eine bestehende Servicerolle auszuwählen oder eine neue Servicerolle zu erstellen, die über die erforderlichen Berechtigungen verfügt, um Malware-Scanaktionen in Ihrem Namen durchzuführen. Zu diesen Aktionen können das Scannen der neu hochgeladenen S3-Objekte und (optional) das Hinzufügen von Tags zu diesen Objekten gehören. Informationen zu den Berechtigungen, die diese Rolle haben wird, finden Sie unterIAM-Rollenrichtlinie erstellen oder aktualisieren.

    Im Abschnitt Dienstzugriff können Sie eine der folgenden Aktionen ausführen:

    1. Eine neue Servicerolle erstellen und verwenden — Sie können eine neue Servicerolle erstellen, die über die erforderlichen Berechtigungen verfügt, um einen Malware-Scan durchzuführen.

      Unter dem Rollennamen können Sie den Namen verwenden, mit dem die Rolle bereits ausgefüllt ist, GuardDuty oder Sie können einen aussagekräftigen Namen Ihrer Wahl eingeben, um die Rolle zu identifizieren. Zum Beispiel GuardDutyS3MalwareScanRole. Der Rollenname muss aus 1—64 Zeichen bestehen. Gültige Zeichen sind die Zeichen a-z, A-Z, 0-9 und '+=, .@-_'.

    2. Eine bestehende Servicerolle verwenden — Sie können eine vorhandene Servicerolle aus der Liste der Servicerollennamen auswählen.

      1. Unter Richtlinienvorlage können Sie die Richtlinie für Ihren S3-Bucket einsehen. Stellen Sie sicher, dass Sie im Abschnitt S3-Bucket-Details eingeben einen S3-Bucket eingegeben oder ausgewählt haben.

      2. Wählen Sie unter Name der Servicerolle eine Servicerolle aus der Liste der Servicerollen aus.

    Sie können je nach Ihren Anforderungen Änderungen an der Richtlinie vornehmen. Weitere Informationen dazu, wie Sie eine IAM-Rolle erstellen oder aktualisieren können, finden Sie unter IAM-Rollenrichtlinie erstellen oder aktualisieren.

    Informationen zu Problemen mit IAM-Rollenberechtigungen finden Sie unter. Behebung eines Fehlers mit IAM-Rollenberechtigungen

    (Optional) Taggen Sie die Paket-ID für den Malware-Schutz

    Dies ist ein optionaler Schritt, mit dem Sie der Ressource des Malware-Schutzplans, die für Ihre S3-Bucket-Ressource erstellt werden würde, Tags hinzufügen können.

    Jedes Tag besteht aus zwei Teilen: einem Tag-Schlüssel und einem optionalen Tag-Wert. Weitere Informationen zu Tagging und seinen Vorteilen finden Sie unter Ressourcen zum Taggen AWS.

    So fügen Sie Tags zur Ressource Ihres Malware-Schutzplans hinzu

    1. Geben Sie einen Schlüssel und einen optionalen Wert für das Tag ein. Sowohl beim Tag-Schlüssel als auch beim Tag-Wert wird zwischen Groß- und Kleinschreibung unterschieden. Informationen zu den Namen von Tag-Schlüsseln und Tag-Werten finden Sie unter Einschränkungen und Anforderungen für die Benennung von Tags.

    2. Um weitere Tags zur Ressource Ihres Malware-Schutzplans hinzuzufügen, wählen Sie Neues Tag hinzufügen und wiederholen Sie den vorherigen Schritt. Sie können bis zu 50 Tags für jede -Ressource hinzufügen.

    3. Wählen Sie Enable (Aktivieren) aus.

    Dieser Abschnitt enthält die Schritte für den Fall, dass Sie Malware Protection for S3 programmgesteuert in Ihrer Umgebung aktivieren möchten. AWS Dies erfordert die IAM-Rolle Amazon Resource Name (ARN), die Sie in diesem Schritt erstellt haben -IAM-Rollenrichtlinie erstellen oder aktualisieren.

    So aktivieren Sie Malware Protection for S3 programmgesteuert mithilfe von API/CLI

    • Durch die Verwendung der API

      Führen Sie den aus CreateMalwareProtectionPlan, um den Malware-Schutz für S3 für einen Bucket zu aktivieren, der zu Ihrem eigenen Konto gehört.

    • Durch die Verwendung von AWS CLI

      Je nachdem, wie Sie den Malware-Schutz für S3 aktivieren möchten, enthält die folgende Liste AWS CLI Beispielbefehle für einen bestimmten Anwendungsfall. Wenn Sie diese Befehle ausführen, ersetzen Sie dieplaceholder examples shown in red, durch die Werte, die für Ihr Konto geeignet sind.

      AWS CLI Beispielbefehle

      • Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket ohne Tagging für gescannte S3-Objekte zu aktivieren:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}

      • Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket mit bestimmten Objektpräfixen und ohne Tagging für gescannte S3-Objekte zu aktivieren:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'

      • Verwenden Sie den folgenden AWS CLI Befehl, um Malware Protection for S3 für einen Bucket zu aktivieren, für den das Tagging von gescannten S3-Objekten aktiviert ist:

        aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}

      Nachdem Sie diese Befehle erfolgreich ausgeführt haben, wird eine eindeutige ID für den Malware-Schutzplan generiert. Um Aktionen wie das Aktualisieren oder Deaktivieren des Schutzplans für Ihren Bucket durchzuführen, benötigen Sie diese ID des Malware-Schutzplans.

    Informationen zu Problemen mit IAM-Rollenberechtigungen finden Sie unter. Behebung eines Fehlers mit IAM-Rollenberechtigungen