Utilizzo del controllo degli accessi basato su tag (TBAC) con Malware Protection for S3 - Amazon GuardDuty
Aggiungendo TBAC una risorsa bucket S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo del controllo degli accessi basato su tag (TBAC) con Malware Protection for S3

Quando attivi Malware Protection for S3 per il tuo bucket, puoi facoltativamente scegliere di abilitare i tag. Dopo aver tentato di scansionare un oggetto S3 appena caricato nel bucket selezionato, GuardDuty aggiunge un tag all'oggetto scansionato per indicare lo stato della scansione del malware. Quando si abilita il tagging, viene associato un costo di utilizzo diretto. Per ulteriori informazioni, consulta Prezzi di Malware Protection for S3.

GuardDuty utilizza un tag predefinito con la chiave as GuardDutyMalwareScanStatus e il valore come uno degli stati di scansione del malware. Per informazioni su questi valori, vedere. S3 object potential scan result values

Considerazioni sull'aggiunta GuardDuty di un tag all'oggetto S3:

  • Per impostazione predefinita, puoi associare fino a 10 tag a un oggetto. Per ulteriori informazioni, consulta Categorizzazione dello storage mediante tag nella Guida per l'utente di Amazon S3.

    Se tutti e 10 i tag sono già in uso, non è GuardDuty possibile aggiungere il tag predefinito all'oggetto scansionato. GuardDuty pubblica inoltre il risultato della scansione nel bus degli eventi predefinito EventBridge . Per ulteriori informazioni, consulta Monitoraggio con Amazon EventBridge.

  • Se il IAM ruolo selezionato non include l'autorizzazione GuardDuty per taggare l'oggetto S3, anche se il tagging è abilitato per il bucket protetto, non GuardDuty sarà possibile aggiungere tag a questo oggetto S3 scansionato. Per ulteriori informazioni sull'autorizzazione del IAM ruolo richiesta per l'etichettatura, consulta. Prerequisito: creare o aggiornare i criteri relativi ai IAM ruoli

    GuardDuty pubblica inoltre il risultato della scansione nel bus EventBridge degli eventi predefinito. Per ulteriori informazioni, consulta Monitoraggio con Amazon EventBridge.

Aggiungendo TBAC una risorsa bucket S3

Puoi utilizzare le policy delle risorse del bucket S3 per gestire il controllo degli accessi basato su tag (TBAC) per i tuoi oggetti S3. Puoi fornire l'accesso a utenti specifici per accedere e leggere l'oggetto S3. Se hai un'organizzazione creata utilizzando AWS Organizations, devi fare in modo che nessuno possa modificare i tag aggiunti da. GuardDuty Per ulteriori informazioni, consulta Impedire che i tag vengano modificati se non da soggetti autorizzati nella Guida per l'AWS Organizations utente. L'esempio utilizzato nell'argomento collegato citaec2. Quando usi questo esempio, sostituisci ec2 cons3.

L'elenco seguente spiega cosa è possibile fare utilizzandoTBAC:

  • Impedisci a tutti gli utenti tranne il responsabile del servizio Malware Protection for S3 di leggere gli oggetti S3 che non sono ancora etichettati con la seguente coppia chiave-valore di tag:

    GuardDutyMalwareScanStatus:Potential key value

  • Consenti solo GuardDuty di aggiungere la chiave del tag GuardDutyMalwareScanStatus con valore come risultato della scansione a un oggetto S3 scansionato. Il seguente modello di policy può consentire a utenti specifici che dispongono dell'accesso di sovrascrivere potenzialmente la coppia chiave-valore del tag.

Esempio di policy sulle risorse del bucket S3:

Replace (Sostituisci) IAM-role-name con il IAM ruolo che hai usato per configurare Malware Protection for S3 nel tuo bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NoReadExceptForClean",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTag",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:iam::555555555555:root",
                    "arn:aws:iam::555555555555:role/IAM-role-name",
                    "arn:aws:iam::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection"
                ]
            },
            "Action": "s3:PutObjectTagging",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Per ulteriori informazioni sull'etichettatura delle risorse S3, consulta le politiche di tagging e controllo degli accessi.