Mengaktifkan Perlindungan Malware untuk S3 untuk bucket Anda

Bagian ini memberikan langkah-langkah terperinci tentang cara mengaktifkan Perlindungan Malware untuk S3 untuk ember di akun Anda sendiri. Sebelum mengikuti langkah-langkah di bagian ini, Anda akan memerlukan IAM peran dengan izin yang membantu GuardDuty mengambil tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Prasyarat - Membuat atau memperbarui kebijakan peran IAM.

Anda dapat memilih metode akses yang disukai untuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket Anda - GuardDuty konsol atau/API AWS CLI.

Mengaktifkan Perlindungan Malware untuk S3 dengan menggunakan konsol GuardDuty

Bagian berikut memberikan step-by-step panduan seperti yang akan Anda alami di konsol. GuardDuty

Untuk mengaktifkan Perlindungan Malware untuk S3 dengan menggunakan konsol GuardDuty

Masukkan detail bucket S3

Gunakan langkah-langkah berikut untuk memberikan detail bucket Amazon S3:

1. Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengaktifkan Perlindungan Malware untuk S3.

3. Di panel navigasi, pilih Perlindungan Malware untuk S3.

4. Di bagian Protected bucket, pilih Aktifkan untuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket S3 milik Anda sendiri Akun AWS.

5. Di bawah Masukkan detail bucket S3, masukkan nama bucket Amazon S3. Atau, pilih Browse S3 untuk memilih bucket S3.

   Bagian Wilayah AWS dari ember S3 dan Akun AWS di mana Anda mengaktifkan Perlindungan Malware untuk S3 harus sama. Misalnya, jika akun Anda milik us-east-1 Wilayah, maka Wilayah bucket Amazon S3 Anda juga harus. us-east-1

6. Di bawah Awalan, Anda dapat memilih All the objects in the S3 bucket atau Objects yang dimulai dengan awalan tertentu.

   • Pilih Semua objek di bucket S3 bila Anda mau GuardDuty dapat memindai semua objek yang baru diunggah di bucket yang dipilih.

   • Pilih Objek yang dimulai dengan awalan tertentu saat Anda ingin memindai objek yang baru diunggah milik awalan tertentu. Opsi ini membantu Anda memfokuskan ruang lingkup pemindaian malware pada awalan objek yang dipilih saja. Untuk informasi selengkapnya tentang penggunaan awalan, lihat Mengatur objek di konsol Amazon S3 menggunakan folder di Panduan Pengguna Amazon S3.

     Pilih Tambahkan awalan dan masukkan awalan. Anda dapat menambahkan hingga lima awalan.

Aktifkan penandaan untuk objek yang dipindai

Ini adalah langkah opsional. Saat Anda mengaktifkan opsi penandaan sebelum objek diunggah ke bucket Anda, maka setelah menyelesaikan pemindaian, GuardDuty akan menambahkan tag yang telah ditentukan dengan kunci sebagai GuardDutyMalwareScanStatus dan nilai sebagai hasil pemindaian. Untuk menggunakan Perlindungan Malware untuk S3 secara optimal, kami sarankan untuk mengaktifkan opsi untuk menambahkan tag ke objek S3 setelah pemindaian berakhir. Biaya Penandaan Objek S3 standar berlaku. Untuk informasi selengkapnya, lihat Harga dan biaya penggunaan untuk Perlindungan Malware untuk S3.

Mengapa Anda harus mengaktifkan penandaan?

• Mengaktifkan penandaan adalah salah satu cara untuk mengetahui tentang hasil pemindaian malware. Untuk informasi tentang hasil pemindaian malware S3, lihatMemantau pemindaian objek S3 di Perlindungan Malware untuk S3.

• Siapkan kebijakan kontrol akses (TBAC) berbasis tag pada bucket S3 Anda yang berisi objek yang berpotensi berbahaya. Untuk informasi tentang pertimbangan dan cara menerapkan kontrol akses berbasis tag (TBAC), lihat. Menggunakan kontrol akses berbasis tag (TBAC) dengan Perlindungan Malware untuk S3

Pertimbangan GuardDuty untuk menambahkan tag ke objek S3 Anda:

• Secara default, Anda dapat mengaitkan hingga 10 tag dengan objek. Untuk informasi selengkapnya, lihat Mengkategorikan penyimpanan menggunakan tag di Panduan Pengguna Amazon S3.

  Jika semua 10 tag sudah digunakan, tidak GuardDuty dapat menambahkan tag yang telah ditentukan ke objek yang dipindai. GuardDuty juga menerbitkan hasil pemindaian ke bus EventBridge acara default Anda. Untuk informasi selengkapnya, lihat Memantau pemindaian objek S3 dengan Amazon EventBridge.

• Jika IAM peran yang dipilih tidak menyertakan izin GuardDuty untuk menandai objek S3, bahkan dengan penandaan diaktifkan untuk bucket Anda yang dilindungi, tidak GuardDuty akan dapat menambahkan tag ke objek S3 yang dipindai ini. Untuk informasi selengkapnya tentang izin IAM peran yang diperlukan untuk penandaan, lihatPrasyarat - Membuat atau memperbarui kebijakan peran IAM.

  GuardDuty juga menerbitkan hasil pemindaian ke bus EventBridge acara default Anda. Untuk informasi selengkapnya, lihat Memantau pemindaian objek S3 dengan Amazon EventBridge.

Untuk memilih opsi di bawah Tag objek yang dipindai

• Saat Anda ingin GuardDuty menambahkan tag ke objek S3 yang dipindai, pilih objek Tag.

• Bila Anda tidak ingin menambahkan tag GuardDuty ke objek S3 yang dipindai, pilih Jangan beri tag objek.

Izin

Gunakan langkah-langkah berikut untuk memilih IAM peran yang memiliki izin yang diperlukan untuk melakukan tindakan pemindaian malware atas nama Anda. Tindakan ini mungkin termasuk memindai objek S3 yang baru diunggah dan (opsional) menambahkan tag ke objek tersebut.

Untuk memilih nama IAM peran

1. Jika Anda telah melakukan langkah-langkah di bawah iniPrasyarat - Membuat atau memperbarui kebijakan peran IAM, maka lakukan hal berikut:

   1. Di bagian Izin, untuk nama IAM peran, pilih nama IAM peran yang menyertakan izin yang diperlukan.

2. Jika Anda belum melakukan langkah-langkah di bawah iniPrasyarat - Membuat atau memperbarui kebijakan peran IAM, maka lakukan hal berikut:

   1. Pilih Lihat izin.

   2. Di bawah Detail izin, pilih tab Kebijakan. Ini menunjukkan template IAM izin yang diperlukan.

      Salin templat ini dan kemudian pilih Tutup di akhir jendela Detail izin.

   3. Pilih Lampirkan kebijakan yang membuka IAM konsol di tab baru. Anda dapat memilih untuk membuat IAM peran baru atau memperbarui IAM peran yang ada dengan izin dari templat yang disalin.

      Template ini menyertakan nilai placeholder yang harus Anda ganti dengan nilai yang sesuai yang terkait dengan bucket dan Akun AWS.

   4. Kembali ke tab browser dengan GuardDuty konsol. Pilih Lihat izin lagi.

   5. Di bawah Detail izin, pilih tab Hubungan kepercayaan. Ini menunjukkan templat kebijakan hubungan kepercayaan untuk IAM peran Anda.

      Salin templat ini dan kemudian pilih Tutup di akhir jendela Detail izin.

   6. Buka tab browser yang IAM konsol terbuka. Untuk IAM peran pilihan Anda, tambahkan kebijakan hubungan kepercayaan ini.

3. Untuk menambahkan tag ke ID paket Perlindungan Malware yang dibuat untuk sumber daya yang dilindungi ini, lanjutkan ke bagian berikutnya; jika tidak, pilih Aktifkan di akhir halaman ini untuk menambahkan bucket S3 sebagai sumber daya yang dilindungi.

(Opsional) Tandai ID paket Perlindungan Malware

Ini adalah langkah opsional yang membantu Anda menambahkan tag ke sumber daya paket Perlindungan Malware yang akan dibuat untuk sumber daya bucket S3 Anda.

Setiap tag memiliki dua bagian: Kunci tag dan nilai tag opsional. Untuk informasi selengkapnya tentang penandaan dan manfaatnya, lihat Penandaan AWS sumber daya.

Untuk menambahkan tag ke sumber daya paket Perlindungan Malware

1. Masukkan Kunci dan Nilai opsional untuk tag. Baik kunci tag dan nilai tag peka huruf besar/kecil. Untuk informasi tentang nama kunci tag dan nilai tag, lihat Batas dan persyaratan penamaan tag.

2. Untuk menambahkan lebih banyak tag ke sumber daya paket Perlindungan Malware Anda, pilih Tambahkan tag baru dan ulangi langkah sebelumnya. Anda dapat menambahkan hingga 50 tanda ke setiap sumber daya .

3. Pilih Aktifkan.

Mengaktifkan Perlindungan Malware untuk S3 dengan menggunakan/APICLI

Bagian ini mencakup langkah-langkah kapan Anda ingin mengaktifkan Perlindungan Malware untuk S3 secara terprogram di AWS lingkungan. Ini memerlukan IAM peran Amazon Resource Name (ARN) yang Anda buat di langkah ini -Prasyarat - Membuat atau memperbarui kebijakan peran IAM.

Untuk mengaktifkan Perlindungan Malware untuk S3 secara terprogram dengan menggunakan/APICLI

• Dengan menggunakan API

  Jalankan CreateMalwareProtectionPlanuntuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket milik akun Anda sendiri.

• Dengan menggunakan AWS CLI

  Bergantung pada bagaimana Anda ingin mengaktifkan Perlindungan Malware untuk S3, daftar berikut menyediakan AWS CLI contoh perintah untuk kasus penggunaan tertentu. Saat Anda menjalankan perintah ini, ganti placeholder examples shown in red, dengan nilai-nilai yang sesuai untuk akun Anda.

  AWS CLI contoh perintah

  • Gunakan yang berikut AWS CLI perintah untuk mengaktifkan Perlindungan Malware untuk S3 untuk ember tanpa penandaan untuk objek S3 yang dipindai:

    aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}

  • Gunakan yang berikut AWS CLI perintah untuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket dengan awalan objek tertentu dan tidak ada penandaan untuk objek S3 yang dipindai:

    aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'

  • Gunakan yang berikut AWS CLI perintah untuk mengaktifkan Perlindungan Malware untuk S3 untuk ember dengan penandaan objek S3 yang dipindai diaktifkan:

    aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}

  Setelah Anda menjalankan perintah ini dengan sukses, ID paket Perlindungan Malware yang unik akan dihasilkan. Untuk melakukan tindakan seperti memperbarui atau menonaktifkan paket perlindungan untuk bucket Anda, Anda memerlukan ID paket Perlindungan Malware ini.