기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사전 요구 사항 - IAM 정책 생성 또는 업데이트 PassRole
S3용 멀웨어 보호를 위해 S3가 S3 객체를 스캔하고 (선택적으로) 태그를 추가하려면 다음과 같은 필수 권한을 포함하는 IAM 역할을 생성하여 연결해야 합니다.
-
S3용 멀웨어 보호가 S3 객체 알림을 수신할 수 있도록 Amazon EventBridge Actions가 EventBridge 관리형 규칙을 생성하고 관리하도록 허용합니다.
자세한 내용은 Amazon EventBridge 사용 설명서의 Amazon EventBridge 관리형 규칙을 참조하십시오.
-
Amazon S3 및 EventBridge 액션이 이 버킷의 모든 이벤트에 EventBridge 대해 알림을 보내도록 허용
자세한 내용은 Amazon EventBridge S3 사용 설명서의 Amazon 활성화를 참조하십시오.
-
Amazon S3 작업이 업로드된 S3 객체에 액세스하고 스캔한 S3 객체에 사전 정의된 태그 () 를 추가할 수 있도록 허용합니다.
GuardDutyMalwareScanStatus객체 접두사를 사용하는 경우 대상s3:prefix접두사에만 조건을 추가하십시오. 이렇게 하면 버킷의 모든 S3 객체에 GuardDuty 액세스할 수 없게 됩니다. -
지원되는 DSSE-KMS 및 SSE-KMS 암호화로 테스트 객체를 스캔하여 버킷에 넣기 전에 KMS 키 동작이 객체에 액세스하도록 허용하십시오.
참고
이 단계는 계정의 버킷에 대해 S3용 멀웨어 보호를 활성화할 때마다 필요합니다. 기존 PassRole IAM이 이미 있는 경우 다른 S3 버킷 리소스의 세부 정보를 포함하도록 정책을 업데이트할 수 있습니다. 이 IAM 정책 권한 추가 주제에서는 이를 수행하는 방법에 대한 예를 제공합니다.
다음 정책을 사용하여 PassRole IAM을 생성하거나 업데이트하십시오.
IAM 정책 권한 추가
기존 IAM의 인라인 정책을 업데이트하거나 새 PassRole IAM을 생성할 수 있습니다. PassRole 단계에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할 생성 또는 역할 권한 정책 수정을 참조하십시오.
다음 권한 템플릿을 선호하는 IAM 역할에 추가하십시오. 다음 플레이스홀더 값을 계정과 관련된 적절한 값으로 바꾸십시오.
-
DOC-EXAMPLE-BUCKET의 경우 Amazon S3 버킷이름으로 바꾸십시오.둘 이상의 S3 버킷 리소스에 동일한 PassRole IAM을 사용하려면 다음 예와 같이 기존 정책을 업데이트하십시오.
... ... "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" ], ... ...S3 버킷과 연결된 새 ARN을 추가하기 전에 쉼표 (,) 를 추가해야 합니다. 정책
Resource템플릿에서 S3 버킷을 참조할 때마다 이 작업을 수행하십시오. -
111122223333의경우 ID로 대체하십시오. AWS 계정 -
us-east-1의경우 귀하의 것으로 대체하십시오. AWS 리전 -
APKAEIBAERJR2EXAMPLE의 경우 고객 관리 키 ID로 바꾸십시오. 를 사용하여 버킷을 암호화한 경우 다음 예와 같이 자리 표시자 값을 로 바꾸십시오. AWS KMS key*"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
IAM 정책 템플릿 PassRole
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty", "Effect": "Allow", "Action": [ "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ], "Condition": { "StringLike": { "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com" } } }, { "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:ListTargetsByRule" ], "Resource": [ "arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*" ] }, { "Sid": "AllowPostScanTag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:PutObjectVersionTagging", "s3:GetObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ] }, { "Sid": "AllowEnableS3EventBridgeEvents", "Effect": "Allow", "Action": [ "s3:PutBucketNotification", "s3:GetBucketNotification" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] }, { "Sid": "AllowPutValidationObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/malware-protection-resource-validation-object" ] }, { "Sid": "AllowCheckBucketOwnership", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] }, { "Sid": "AllowMalwareScan", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ] }, { "Sid": "AllowDecryptForMalwareScan", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE", "Condition": { "StringLike": { "kms:ViaService": "s3.us-east-1.amazonaws.com" } } } ] }
신뢰 관계 정책 추가
다음 신뢰 정책을 IAM 역할에 연결합니다. 단계에 대한 자세한 내용은 역할 신뢰 정책 수정을 참조하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "malware-protection-plan.guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
