Tag-basierte Zugriffskontrolle (TBAC) mit Malware Protection for S3 verwenden - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tag-basierte Zugriffskontrolle (TBAC) mit Malware Protection for S3 verwenden

Wenn Sie Malware Protection for S3 für Ihren Bucket aktivieren, können Sie optional das Tagging aktivieren. Nach dem Versuch, ein neu hochgeladenes S3-Objekt im ausgewählten Bucket zu scannen, wird dem gescannten Objekt ein Tag GuardDuty hinzugefügt, um den Status des Malware-Scans anzugeben. Wenn Sie das Tagging aktivieren, fallen direkte Nutzungskosten an. Weitere Informationen finden Sie unter Preise und Nutzungskosten für Malware Protection for S3.

GuardDuty verwendet ein vordefiniertes Tag mit dem Schlüssel als GuardDutyMalwareScanStatus und dem Wert als einem der Malware-Scan-Status. Hinweise zu diesen Werten finden Sie unterStatus des potenziellen Scans und Status der Ergebnisse des S3-Objekts.

Überlegungen GuardDuty zum Hinzufügen eines Tags zu Ihrem S3-Objekt:

Hinzufügen TBAC einer S3-Bucket-Ressource

Sie können die S3-Bucket-Ressourcenrichtlinien verwenden, um die tagbasierte Zugriffskontrolle (TBAC) für Ihre S3-Objekte zu verwalten. Sie können bestimmten Benutzern Zugriff auf das S3-Objekt gewähren und es lesen. Wenn Sie eine Organisation haben, die mithilfe von erstellt wurde AWS Organizations, müssen Sie sicherstellen, dass niemand die von hinzugefügten Tags ändern kann GuardDuty. Weitere Informationen finden Sie im Benutzerhandbuch unter Verhindern, dass Tags nur von autorisierten AWS Organizations Benutzern geändert werden. Das im verlinkten Thema verwendete Beispiel erwähntec2. Wenn Sie dieses Beispiel verwenden, ersetzen Sie ec2 mits3.

Die folgende Liste erklärt, was Sie tun können, indem SieTBAC:

  • Verhindern Sie, dass alle Benutzer außer dem Service Principal von Malware Protection for S3 die S3-Objekte lesen, die noch nicht mit dem folgenden Tag-Schlüssel-Wert-Paar gekennzeichnet sind:

    GuardDutyMalwareScanStatus:Potential key value

  • Erlaubt nur GuardDuty das Hinzufügen des Tag-Schlüssels GuardDutyMalwareScanStatus mit Wert als Scanergebnis zu einem gescannten S3-Objekt. Mit der folgenden Richtlinienvorlage können bestimmte Benutzer, die Zugriff haben, das Schlüssel-Wert-Paar des Tags möglicherweise außer Kraft setzen.

Beispiel für eine S3-Bucket-Ressourcenrichtlinie:

Ersetzen IAM-role-name mit der IAM Rolle, die Sie für die Konfiguration von Malware Protection for S3 in Ihrem Bucket verwendet haben.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "NoReadExceptForClean", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::555555555555:root", "arn:aws:iam::555555555555:role/IAM-role-name", "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection" ] }, "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND" } } }, { "Sid": "OnlyGuardDutyCanTag", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::555555555555:root", "arn:aws:iam::555555555555:role/IAM-role-name", "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection" ] }, "Action": "s3:PutObjectTagging", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] }

Weitere Informationen zum Taggen Ihrer S3-Ressource finden Sie unter Tagging- und Zugriffskontrollrichtlinien.