Prérequis : créer ou mettre à jour une politique IAM PassRole - Amazon GuardDuty
Ajouter des autorisations de politique IAMAjouter une politique de relation de confiance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis : créer ou mettre à jour une politique IAM PassRole

Pour que Malware Protection for S3 puisse analyser et (éventuellement) ajouter des balises à vos objets S3, vous devez créer et associer un rôle IAM incluant les autorisations requises suivantes pour :

  • Autorisez EventBridge les actions Amazon à créer et à gérer la règle EventBridge gérée afin que Malware Protection for S3 puisse écouter les notifications de vos objets S3.

    Pour plus d'informations, consultez les règles EventBridge gérées par Amazon dans le guide de EventBridge l'utilisateur Amazon.

  • Autoriser Amazon S3 et EventBridge les actions à envoyer des notifications EventBridge pour tous les événements de ce compartiment

    Pour plus d'informations, consultez la section Activation d'Amazon EventBridge dans le guide de l'utilisateur Amazon S3.

  • Autorisez les actions Amazon S3 à accéder à l'objet S3 chargé et à ajouter une balise prédéfinie à l'objet S3 scanné. GuardDutyMalwareScanStatus Lorsque vous utilisez un préfixe d'objet, ajoutez une s3:prefix condition uniquement aux préfixes ciblés. Cela GuardDuty empêche l'accès à tous les objets S3 de votre compartiment.

  • Autorisez les actions clés KMS à accéder à l'objet avant de scanner et de placer un objet de test sur des compartiments avec le chiffrement DSSE-KMS et SSE-KMS pris en charge.

Note

Cette étape est obligatoire chaque fois que vous activez la protection contre les programmes malveillants pour S3 pour un compartiment de votre compte. Si vous avez déjà un IAM existant PassRole, vous pouvez mettre à jour sa politique pour inclure les détails d'une autre ressource de compartiment S3. La Ajouter des autorisations de politique IAM rubrique fournit un exemple expliquant comment procéder.

Utilisez les politiques suivantes pour créer ou mettre à jour un IAM PassRole.

Ajouter des autorisations de politique IAM

Vous pouvez choisir de mettre à jour la politique intégrée d'un IAM existant ou PassRole d'en créer un nouveau. PassRole Pour plus d'informations sur les étapes, voir Création d'un rôle IAM ou Modification d'une politique d'autorisations de rôle dans le Guide de l'utilisateur IAM.

Ajoutez le modèle d'autorisations suivant à votre rôle IAM préféré. Remplacez les valeurs d'espace réservé suivantes par les valeurs appropriées associées à votre compte :

  • Pour DOC-EXAMPLE-BUCKET, remplacez-le par le nom de votre compartiment Amazon S3.

    Pour utiliser le même IAM PassRole pour plusieurs ressources de compartiment S3, mettez à jour une politique existante, comme indiqué dans l'exemple suivant :

    
                    ...
                    ...
                    "Resource": [
                        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                        "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
                    ],
                    ...
                    ...

    Assurez-vous d'ajouter une virgule (,) avant d'ajouter un nouvel ARN associé au compartiment S3. Procédez ainsi chaque fois que vous faites référence à un compartiment S3 Resource dans le modèle de politique.

  • Pour 111122223333, remplacez-le par votre identifiant. Compte AWS

  • Pour us-east-1, remplacez par votre. Région AWS

  • Pour APKAEIBAERJR2EXAMPLE, remplacez-le par votre identifiant de clé géré par le client. Si votre bucket est chiffré à l'aide d'un AWS KMS key, remplacez la valeur de l'espace réservé par un*, comme indiqué dans l'exemple suivant :

    "Resource": "arn:aws:kms:us-east-1:111122223333:key/*"

Modèle de PassRole politique IAM

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
            "Effect": "Allow",
            "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
            ],
            "Condition": {
                "StringLike": {
                    "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:ListTargetsByRule"
            ],
            "Resource": [
                "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
            ]
        },
        {
            "Sid": "AllowPostScanTag",
            "Effect": "Allow",
            "Action": [
                "s3:PutObjectTagging",
                "s3:GetObjectTagging",
                "s3:PutObjectVersionTagging",
                "s3:GetObjectVersionTagging"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Sid": "AllowEnableS3EventBridgeEvents",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketNotification",
                "s3:GetBucketNotification"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
        },
        {
            "Sid": "AllowPutValidationObject",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/malware-protection-resource-validation-object"
            ]
        },
        {
            "Sid": "AllowCheckBucketOwnership",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
        },
        {
           "Sid": "AllowMalwareScan",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Sid": "AllowDecryptForMalwareScan",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Ajouter une politique de relation de confiance

Associez la politique de confiance suivante à votre rôle IAM. Pour plus d'informations sur les étapes à suivre, consultez la section Modification d'une politique d'approbation des rôles.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection-plan.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}