Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisito: creare o aggiornare i criteri relativi ai IAM ruoli
Per avviare una scansione malware per il caricamento di nuovi oggetti Amazon S3 GuardDuty , assume IAM un ruolo che include le autorizzazioni necessarie per eseguire la scansione e (facoltativamente) aggiungere tag agli oggetti S3. È necessario creare un IAM ruolo o aggiornare un ruolo esistente per includere queste autorizzazioni. Poiché queste autorizzazioni sono necessarie per ogni bucket Amazon S3 per il quale abiliti Malware Protection for S3, devi eseguire questo passaggio per ogni bucket Amazon S3 da proteggere.
L'elenco seguente spiega come determinate autorizzazioni aiutano a GuardDuty eseguire la scansione antimalware per tuo conto:
-
Consenti ad Amazon EventBridge Actions di creare e gestire la regola EventBridge gestita in modo che Malware Protection for S3 possa ascoltare le notifiche degli oggetti S3.
Per ulteriori informazioni, consulta Amazon EventBridge managed rules nella Amazon EventBridge User Guide.
-
Consenti ad Amazon S3 e alle EventBridge azioni di inviare notifiche per tutti gli eventi in questo bucket EventBridge
Per ulteriori informazioni, consulta Enabling Amazon EventBridge nella Amazon S3 User Guide.
-
Consenti alle azioni di Amazon S3 di accedere all'oggetto S3 caricato e aggiungi un tag predefinito all'oggetto S3
GuardDutyMalwareScanStatusscansionato. Quando usi un prefisso di oggetto, aggiungi unas3:prefixcondizione solo sui prefissi di destinazione. Ciò GuardDuty impedisce l'accesso a tutti gli oggetti S3 nel bucket. -
Consenti alle azioni KMS chiave di accedere all'oggetto prima di scansionare e inserire un oggetto di test sui bucket con la crittografia supportata DSSE KMS eSSE. KMS
Nota
Questo passaggio è necessario ogni volta che attivi Malware Protection for S3 per un bucket nel tuo account. Se disponi già di un IAM ruolo, puoi aggiornarne la policy per includere i dettagli di un'altra risorsa bucket Amazon S3. L'Aggiungere le autorizzazioni IAM relative alle policyargomento fornisce un esempio su come eseguire questa operazione.
Utilizza le seguenti politiche per creare o aggiornare un IAM ruolo.
Policy
Aggiungere le autorizzazioni IAM relative alle policy
Puoi scegliere di aggiornare la politica in linea di un IAM ruolo esistente o creare un nuovo IAM ruolo. Per informazioni sui passaggi, consulta Creazione di un IAM ruolo o Modifica dei criteri di autorizzazione di un ruolo nella Guida per l'IAMutente.
Aggiungi il seguente modello di autorizzazioni al tuo ruolo preferito. IAM Sostituisci i seguenti valori segnaposto con i valori appropriati associati al tuo account:
-
In
amzn-s3-demo-bucket, sostituiscilo con il nome del tuo bucket Amazon S3.Per utilizzare lo stesso IAM ruolo per più di una risorsa bucket S3, aggiorna una policy esistente come mostrato nell'esempio seguente:
... ... "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ], ... ...Assicurati di aggiungere una virgola (,) prima di aggiungerne una nuova ARN associata al bucket S3. Esegui questa operazione ogni volta che fai riferimento a un bucket S3
Resourcenel modello di policy. -
In
111122223333, sostituiscilo con il tuo ID. Account AWS -
In
us-east-1, sostituiscilo con il tuo Regione AWS. -
In
APKAEIBAERJR2EXAMPLE, sostituiscilo con il tuo ID chiave gestito dal cliente. Se il bucket è crittografato utilizzando un AWS KMS key, sostituisci il valore segnaposto con un*, come mostrato nell'esempio seguente:"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
IAMmodello di politica dei ruoli
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty", "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ], "Condition": { "StringLike": { "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com" } } }, { "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": [ "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ] }, { "Sid": "AllowPostScanTag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:PutObjectVersionTagging", "s3:GetObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "AllowEnableS3EventBridgeEvents", "Effect": "Allow", "Action": [ "s3:PutBucketNotification", "s3:GetBucketNotification" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "AllowPutValidationObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object" ] }, { "Sid": "AllowCheckBucketOwnership", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "AllowMalwareScan", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "AllowDecryptForMalwareScan", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE", "Condition": { "StringLike": { "kms:ViaService": "s3.us-east-1.amazonaws.com" } } } ] }
Aggiungere una politica di relazione di fiducia
Allega la seguente politica di fiducia al tuo IAM ruolo. Per informazioni sui passaggi, vedere Modifica di una politica di attendibilità dei ruoli.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection-plan.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
