Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tag-basierte Zugriffskontrolle (TBAC) mit Malware Protection for S3 verwenden
Wenn Sie Malware Protection for S3 für Ihren Bucket aktivieren, können Sie optional das Tagging aktivieren. Nach dem Versuch, ein neu hochgeladenes S3-Objekt im ausgewählten Bucket zu scannen, wird dem gescannten Objekt ein Tag GuardDuty hinzugefügt, um den Status des Malware-Scans anzugeben. Wenn Sie das Tagging aktivieren, fallen direkte Nutzungskosten an. Weitere Informationen finden Sie unter Preise und Nutzungskosten für Malware Protection for S3.
GuardDuty verwendet ein vordefiniertes Tag mit dem Schlüssel als GuardDutyMalwareScanStatus
und dem Wert als einem der Malware-Scan-Status. Hinweise zu diesen Werten finden Sie unterStatus des potenziellen Scans und Status der Ergebnisse des S3-Objekts.
Überlegungen GuardDuty zum Hinzufügen eines Tags zu Ihrem S3-Objekt:
-
Standardmäßig können Sie einem Objekt bis zu 10 Tags zuordnen. Weitere Informationen finden Sie unter Kategorisieren Ihres Speichers mithilfe von Tags im Amazon S3 S3-Benutzerhandbuch.
Wenn alle 10 Tags bereits verwendet werden, GuardDuty kann das vordefinierte Tag dem gescannten Objekt nicht hinzugefügt werden. GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter Überwachung von S3-Objektscans mit Amazon EventBridge.
-
Wenn die gewählte IAM Rolle nicht über die Berechtigung GuardDuty zum Taggen des S3-Objekts verfügt, können Sie diesem gescannten S3-Objekt auch dann kein Tag hinzufügen, GuardDuty wenn das Tagging für Ihren geschützten Bucket aktiviert ist. Weitere Informationen zu den erforderlichen IAM Rollenberechtigungen für das Tagging finden Sie unter. Voraussetzung — IAM Rollenrichtlinie erstellen oder aktualisieren
GuardDuty veröffentlicht das Scanergebnis auch in Ihrem EventBridge Standard-Event-Bus. Weitere Informationen finden Sie unter Überwachung von S3-Objektscans mit Amazon EventBridge.
Hinzufügen TBAC einer S3-Bucket-Ressource
Sie können die S3-Bucket-Ressourcenrichtlinien verwenden, um die tagbasierte Zugriffskontrolle (TBAC) für Ihre S3-Objekte zu verwalten. Sie können bestimmten Benutzern Zugriff auf das S3-Objekt gewähren und es lesen. Wenn Sie eine Organisation haben, die mithilfe von erstellt wurde AWS Organizations, müssen Sie sicherstellen, dass niemand die von hinzugefügten Tags ändern kann GuardDuty. Weitere Informationen finden Sie im Benutzerhandbuch unter Verhindern, dass Tags nur von autorisierten AWS Organizations Benutzern geändert werden. Das im verlinkten Thema verwendete Beispiel erwähntec2
. Wenn Sie dieses Beispiel verwenden, ersetzen Sie ec2
mits3
.
Die folgende Liste erklärt, was Sie tun können, indem SieTBAC:
-
Verhindern Sie, dass alle Benutzer außer dem Service Principal von Malware Protection for S3 die S3-Objekte lesen, die noch nicht mit dem folgenden Tag-Schlüssel-Wert-Paar gekennzeichnet sind:
GuardDutyMalwareScanStatus
:Potential key value
-
Erlaubt nur GuardDuty das Hinzufügen des Tag-Schlüssels
GuardDutyMalwareScanStatus
mit Wert als Scanergebnis zu einem gescannten S3-Objekt. Mit der folgenden Richtlinienvorlage können bestimmte Benutzer, die Zugriff haben, das Schlüssel-Wert-Paar des Tags möglicherweise außer Kraft setzen.
Beispiel für eine S3-Bucket-Ressourcenrichtlinie:
Ersetzen IAM-role-name
mit der IAM Rolle, die Sie für die Konfiguration von Malware Protection for S3 in Ihrem Bucket verwendet haben.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NoReadExceptForClean", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::
555555555555
:root", "arn:aws:iam::555555555555
:role/IAM-role-name
", "arn:aws:iam::555555555555
:assumed-role/IAM-role-name
/GuardDutyMalwareProtection" ] }, "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ], "Condition": { "StringNotEquals": { "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND" } } }, { "Sid": "OnlyGuardDutyCanTag", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::555555555555
:root", "arn:aws:iam::555555555555
:role/IAM-role-name
", "arn:aws:iam::555555555555
:assumed-role/IAM-role-name
/GuardDutyMalwareProtection" ] }, "Action": "s3:PutObjectTagging", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] } ] }
Weitere Informationen zum Taggen Ihrer S3-Ressource finden Sie unter Tagging- und Zugriffskontrollrichtlinien.