Abilita la protezione da malware per S3 per il tuo bucket

Questa sezione fornisce passaggi dettagliati su come abilitare Malware Protection for S3 per un bucket selezionato nei tuoi account.

Inserisci i dettagli del bucket S3

Utilizza i seguenti passaggi per fornire i dettagli del bucket Amazon S3:

1. Accedi AWS Management Console e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri abilitare Malware Protection for S3.

3. Nel pannello di navigazione, scegli Malware Protection for S3.

4. Nella sezione Bucket protetti, scegli Abilita per abilitare la protezione da malware per S3 per un bucket S3 che appartiene al tuo. Account AWS

5. In Inserisci i dettagli del bucket S3, inserisci il nome del bucket Amazon S3. In alternativa, scegli Browse S3 per selezionare un bucket S3.

   Il Regione AWS bucket S3 e il Account AWS punto in cui abiliti Malware Protection for S3 devono coincidere. Ad esempio, se il tuo account appartiene alla us-east-1 regione, deve esserlo anche la tua regione del bucket Amazon S3. us-east-1

6. In Prefisso, puoi selezionare Tutti gli oggetti nel bucket S3 o Oggetti che iniziano con un prefisso specifico.

   • Seleziona Tutti gli oggetti nel bucket S3 quando vuoi GuardDuty puoi scansionare tutti gli oggetti appena caricati nel bucket selezionato.

   • Seleziona Oggetti che iniziano con un prefisso specifico quando desideri scansionare gli oggetti appena caricati che appartengono a un prefisso specifico. Questa opzione consente di concentrare l'ambito della scansione antimalware solo sui prefissi degli oggetti selezionati. Per ulteriori informazioni sull'uso dei prefissi, consulta Organizzazione degli oggetti nella console Amazon S3 utilizzando le cartelle nella Amazon S3 User Guide.

     Scegli Aggiungi prefisso e inserisci il prefisso. Puoi aggiungere fino a cinque prefissi.

(Facoltativo) Etichetta gli oggetti scansionati

Questa fase è opzionale. Quando abiliti l'opzione di etichettatura prima che un oggetto venga caricato nel tuo bucket, dopo aver completato la scansione, GuardDuty aggiungerai un tag predefinito con chiave as GuardDutyMalwareScanStatus e il valore come risultato della scansione. Per utilizzare Malware Protection for S3 in modo ottimale, consigliamo di abilitare l'opzione per aggiungere tag agli oggetti S3 al termine della scansione. Si applica il costo standard di S3 Object Tagging. Per ulteriori informazioni, consulta Prezzi di Malware Protection for S3.

Perché dovresti abilitare il tagging?

• L'attivazione dei tag è uno dei modi per conoscere i risultati della scansione antimalware. Per informazioni sui risultati di una scansione antimalware S3, consulta. Monitoraggio dello stato di scansione degli oggetti S3

• Configura una politica di controllo degli accessi basata su tag (TBAC) sul tuo bucket S3 che contiene l'oggetto potenzialmente dannoso. Per informazioni sulle considerazioni e su come implementare il controllo degli accessi basato su tag (TBAC), consulta. Utilizzo del controllo degli accessi basato su tag (TBAC) con Malware Protection for S3

Considerazioni sull'aggiunta di un tag GuardDuty all'oggetto S3:

• Per impostazione predefinita, puoi associare fino a 10 tag a un oggetto. Per ulteriori informazioni, consulta Categorizzazione dello storage mediante tag nella Guida per l'utente di Amazon S3.

  Se tutti e 10 i tag sono già in uso, non è GuardDuty possibile aggiungere il tag predefinito all'oggetto scansionato. GuardDuty pubblica inoltre il risultato della scansione nel bus degli eventi predefinito EventBridge . Per ulteriori informazioni, consulta Usare Amazon EventBridge.

• Se il ruolo IAM selezionato non include l'autorizzazione GuardDuty per taggare l'oggetto S3, anche con l'etichettatura abilitata per il bucket protetto, non GuardDuty sarà possibile aggiungere tag a questo oggetto S3 scansionato. Per ulteriori informazioni sull'autorizzazione del ruolo IAM richiesta per l'etichettatura, consulta. Prerequisito: creare o aggiornare la policy IAM PassRole

  GuardDuty pubblica inoltre il risultato della scansione nel bus EventBridge degli eventi predefinito. Per ulteriori informazioni, consulta Usare Amazon EventBridge.

Per selezionare un'opzione in Etichetta gli oggetti scansionati

• GuardDuty Per aggiungere tag agli oggetti S3 scansionati, seleziona Etichetta gli oggetti.

• Se non desideri aggiungere tag GuardDuty agli oggetti S3 scansionati, seleziona Non etichettare gli oggetti.

Autorizzazioni

Utilizza i seguenti passaggi per scegliere un ruolo IAM che disponga delle autorizzazioni necessarie per eseguire azioni di scansione antimalware per tuo conto. Queste azioni possono includere la scansione degli oggetti S3 appena caricati e (facoltativamente) l'aggiunta di tag a tali oggetti.

Per scegliere il nome di un ruolo IAM

1. Se hai già eseguito i passaggi seguentiPrerequisito: creare o aggiornare la policy IAM PassRole , procedi come segue:

   1. Nella sezione Autorizzazioni, per il nome del ruolo IAM, scegli un nome di ruolo IAM che includa le autorizzazioni necessarie.

2. Se non hai già eseguito i passaggi seguentiPrerequisito: creare o aggiornare la policy IAM PassRole , procedi come segue:

   1. Scegli Visualizza autorizzazioni.

   2. In Dettagli di autorizzazione, scegli la scheda Politica. Questo mostra un modello delle autorizzazioni IAM richieste.

      Copia questo modello, quindi scegli Chiudi alla fine della finestra dei dettagli delle autorizzazioni.

   3. Scegli Allega policy che apre la console IAM in una nuova scheda. Puoi scegliere di creare un nuovo ruolo IAM o aggiornare un ruolo IAM esistente con le autorizzazioni del modello copiato.

      Questo modello include valori segnaposto che devi sostituire con i valori appropriati associati al tuo bucket e. Account AWS

   4. Torna alla scheda del browser con la console. GuardDuty Scegli nuovamente Visualizza autorizzazioni.

   5. In Dettagli di autorizzazione, scegli la scheda Relazione di fiducia. Questo mostra un modello della politica sulle relazioni di fiducia per il tuo ruolo IAM.

      Copia questo modello, quindi scegli Chiudi alla fine della finestra dei dettagli dell'autorizzazione.

   6. Vai alla scheda del browser in cui è aperta la console IAM. Al tuo ruolo IAM preferito, aggiungi questa politica sulle relazioni di fiducia.

3. Per aggiungere tag all'ID del piano Malware Protection che viene creato per questa risorsa protetta, continua con la sezione successiva; altrimenti, scegli Abilita alla fine di questa pagina per aggiungere il bucket S3 come risorsa protetta.

(Facoltativo) Contrassegna l'ID del piano di protezione da malware

Si tratta di un passaggio facoltativo che consente di aggiungere tag alla risorsa del piano Malware Protection che verrebbe creata per la risorsa del bucket S3.

Ogni tag è composto da due parti: una chiave di tag e un valore di tag opzionale. Per ulteriori informazioni sull'etichettatura e sui relativi vantaggi, consulta Risorse per l'etichettatura AWS.

Per aggiungere tag alla risorsa del piano Malware Protection

1. Inserisci la chiave e un valore opzionale per il tag. Sia la chiave che il valore del tag fanno distinzione tra maiuscole e minuscole. Per informazioni sui nomi della chiave e del valore del tag, consulta Limiti e requisiti di denominazione dei tag.

2. Per aggiungere altri tag alla risorsa del piano Malware Protection, scegli Aggiungi nuovo tag e ripeti il passaggio precedente. Puoi aggiungere fino a 50 tag per ciascuna risorsa .

3. Scegli Abilita .

Passaggi successivi all'attivazione di Malware Protection for S3

Dopo aver abilitato Malware Protection for S3 per un bucket (o prefissi di oggetti specifici), esegui i seguenti passaggi nell'ordine elencato:

1. Aggiungi una politica delle risorse per il controllo degli accessi basata su tag (TBAC): quando abiliti il tagging, prima che un oggetto venga caricato nel bucket selezionato, assicurati di aggiungere la policy TBAC alla risorsa del bucket S3. Per ulteriori informazioni, consulta Aggiungere TBAC alla risorsa bucket S3.

2. Monitora lo stato del piano di protezione da malware: monitora la colonna dello stato di protezione per ogni bucket protetto. Per informazioni sui potenziali stati e sul loro significato, consulta. Stato delle risorse del piano di protezione antimalware

3. Carica un oggetto:

   1. Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

   2. Carica un file nel bucket S3 o nel prefisso dell'oggetto per cui hai abilitato questa funzionalità. Per istruzioni su come caricare un file, consulta Caricare un oggetto nel bucket nella Amazon S3 User Guide.

4. Monitora lo stato di scansione degli oggetti S3: questo passaggio include informazioni su come controllare lo stato della scansione antimalware dell'oggetto S3.

   Sono abilitati entrambi GuardDuty e Malware Protection for S3

   Protezione da malware abilitata solo per S3

   Quando GuardDuty è abilitata, può generare un messaggio Protezione da malware per tipo di ricerca S3 che indica la presenza di malware nell'oggetto S3 scansionato. Puoi potenzialmente controllare il risultato della scansione degli oggetti S3 utilizzando una o più opzioni sotto. Monitoraggio dello stato di scansione degli oggetti S3 Questi includono l'utilizzo di Amazon EventBridge, le CloudWatch metriche per il piano Malware Protection e l'etichettatura degli oggetti scansionati.

   È possibile verificare il risultato della scansione degli oggetti S3 utilizzando una o più opzioni riportate di seguito. Monitoraggio dello stato di scansione degli oggetti S3 Questi includono l'utilizzo di Amazon EventBridge, le CloudWatch metriche per il piano Malware Protection e l'etichettatura degli oggetti scansionati.