Ative a proteção contra malware para S3 em seu bucket

Esta seção fornece etapas detalhadas sobre como habilitar o Malware Protection for S3 para um bucket selecionado em suas próprias contas.

Insira os detalhes do bucket do S3

Use as etapas a seguir para fornecer os detalhes do bucket do Amazon S3:

1. Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja ativar a Proteção contra Malware para o S3.

3. No painel de navegação, escolha Malware Protection for S3.

4. Na seção Buckets protegidos, escolha Habilitar para ativar a Proteção contra Malware para S3 para um bucket S3 que pertence ao seu. Conta da AWS

5. Em Inserir detalhes do bucket do S3, insira o nome do bucket do Amazon S3. Como alternativa, escolha Browse S3 para selecionar um bucket S3.

   O Região da AWS do bucket do S3 e o Conta da AWS local em que você ativa a Proteção contra Malware para o S3 devem ser os mesmos. Por exemplo, se sua conta pertence à us-east-1 região, a região do bucket do Amazon S3 também deve ser. us-east-1

6. Em Prefixo, você pode selecionar Todos os objetos no bucket do S3 ou Objetos que começam com um prefixo específico.

   • Selecione Todos os objetos no bucket do S3 quando quiser GuardDuty escanear todos os objetos recém-carregados no bucket selecionado.

   • Selecione Objetos que começam com um prefixo específico quando quiser digitalizar os objetos recém-carregados que pertencem a um prefixo específico. Essa opção ajuda você a focar o escopo da verificação de malware somente nos prefixos de objeto selecionados. Para obter mais informações sobre o uso de prefixos, consulte Organização de objetos no console do Amazon S3 usando pastas no Guia do usuário do Amazon S3.

     Escolha Adicionar prefixo e insira o prefixo. Você pode adicionar até cinco prefixos.

(Opcional) Marcar objetos digitalizados

Esta é uma etapa opcional. Quando você ativa a opção de marcação antes de um objeto ser carregado no seu bucket, depois de concluir a verificação, GuardDuty adicionará uma tag predefinida com a chave como GuardDutyMalwareScanStatus e o valor como resultado da verificação. Para usar o Malware Protection for S3 de forma otimizada, recomendamos ativar a opção de adicionar uma tag aos objetos do S3 após o término da verificação. O custo padrão da marcação de objetos do S3 se aplica. Para ter mais informações, consulte Preços da proteção contra malware para S3.

Por que você deve ativar a marcação?

• Ativar a marcação é uma das maneiras de saber sobre o resultado da verificação de malware. Para obter informações sobre o resultado de uma verificação de malware do S3, consulteMonitorando o status da digitalização de objetos do S3.

• Configure a política de controle de acesso baseado em tags (TBAC) em seu bucket do S3 que contém o objeto potencialmente malicioso. Para obter informações sobre considerações e como implementar o controle de acesso baseado em tags (TBAC), consulte. Usando o controle de acesso baseado em tags (TBAC) com proteção contra malware para S3

Considerações GuardDuty para adicionar uma tag ao seu objeto do S3:

• Por padrão, você pode associar até 10 tags a um objeto. Para obter mais informações, consulte Categorizando seu armazenamento usando tags no Guia do usuário do Amazon S3.

  Se todas as 10 tags já estiverem em uso, não GuardDuty será possível adicionar a tag predefinida ao objeto digitalizado. GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para ter mais informações, consulte Usando a Amazon EventBridge.

• Quando a função do IAM selecionada não inclui a permissão GuardDuty para marcar o objeto do S3, mesmo com a marcação ativada para seu bucket protegido, não GuardDuty será possível adicionar uma tag a esse objeto escaneado do S3. Para obter mais informações sobre a permissão necessária da função do IAM para marcação, consultePré-requisito: criar ou atualizar a política do IAM PassRole .

  GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para ter mais informações, consulte Usando a Amazon EventBridge.

Para selecionar uma opção em Marcar objetos digitalizados

• Quando quiser adicionar tags GuardDuty aos objetos digitalizados do S3, selecione Marcar objetos.

• Quando você não quiser adicionar tags GuardDuty aos objetos digitalizados do S3, selecione Não marcar objetos.

Permissões

Use as etapas a seguir para escolher uma função do IAM que tenha as permissões necessárias para realizar ações de verificação de malware em seu nome. Essas ações podem incluir a digitalização dos objetos S3 recém-carregados e (opcionalmente) a adição de tags a esses objetos.

Para escolher um nome de função do IAM

1. Se você já executou as etapas abaixoPré-requisito: criar ou atualizar a política do IAM PassRole , faça o seguinte:

   1. Na seção Permissões, para o nome da função do IAM, escolha um nome de função do IAM que inclua as permissões necessárias.

2. Se você ainda não executou as etapas abaixoPré-requisito: criar ou atualizar a política do IAM PassRole , faça o seguinte:

   1. Escolha Exibir permissões.

   2. Em Detalhes da permissão, escolha a guia Política. Isso mostra um modelo das permissões necessárias do IAM.

      Copie esse modelo e escolha Fechar no final da janela Detalhes da permissão.

   3. Escolha Anexar política que abre o console do IAM em uma nova guia. Você pode escolher criar uma nova função do IAM ou atualizar uma função existente do IAM com as permissões do modelo copiado.

      Esse modelo inclui valores de espaço reservado que você deve substituir pelos valores apropriados associados ao seu bucket e. Conta da AWS

   4. Volte para a guia do navegador com o GuardDuty console. Escolha Exibir permissões novamente.

   5. Em Detalhes da permissão, escolha a guia Relação de confiança. Isso mostra um modelo da política de relacionamento de confiança para sua função do IAM.

      Copie esse modelo e escolha Fechar no final da janela Detalhes da permissão.

   6. Acesse a guia do navegador que tem o console do IAM aberto. À sua função preferida do IAM, adicione essa política de relacionamento de confiança.

3. Para adicionar tags ao ID do plano de proteção contra malware criado para esse recurso protegido, continue com a próxima seção; caso contrário, escolha Habilitar no final desta página para adicionar o bucket do S3 como um recurso protegido.

(Opcional) Etiquetar ID do plano de proteção contra malware

Essa é uma etapa opcional que ajuda você a adicionar tags ao recurso do plano de proteção contra malware que seriam criadas para seu recurso de bucket do S3.

Cada tag tem duas partes: uma chave de tag e um valor de tag opcional. Para obter mais informações sobre marcação e seus benefícios, consulte Recursos de marcação AWS.

Para adicionar tags ao seu recurso de plano de proteção contra malware

1. Insira a chave e um valor opcional para a tag. Tanto a chave quanto o valor da tag diferenciam maiúsculas de minúsculas. Para obter informações sobre os nomes da chave e do valor da tag, consulte Limites e requisitos de nomenclatura da tag.

2. Para adicionar mais tags ao recurso do plano de proteção contra malware, escolha Adicionar nova tag e repita a etapa anterior. Você pode adicionar até 50 tags a cada recurso da .

3. Escolha Habilitar.

Etapas após ativar a proteção contra malware para S3

Depois de ativar o Malware Protection for S3 para um bucket (ou prefixos de objeto específicos), execute as seguintes etapas na ordem listada:

1. Adicionar política de recursos de controle de acesso baseado em tags (TBAC) — Ao ativar a marcação, antes que um objeto seja carregado no bucket selecionado, certifique-se de adicionar a política TBAC ao recurso do bucket do S3. Para ter mais informações, consulte Adicionando TBAC ao recurso de bucket do S3.

2. Monitore o status do plano de proteção contra malware — monitore a coluna de status da proteção de cada bucket protegido. Para obter informações sobre possíveis status e o que eles significam, consulteStatus do recurso do plano de proteção contra malware.

3. Faça upload de um objeto:

   1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

   2. Faça upload de um arquivo para o bucket do S3 ou para o prefixo do objeto para o qual você ativou esse recurso. Para ver as etapas de upload de um arquivo, consulte Fazer upload de um objeto para o seu bucket no Guia do usuário do Amazon S3.

4. Monitore o status da verificação de objetos do S3 — Essa etapa inclui informações sobre como verificar o status da verificação de malware do objeto do S3.

   Ativou a proteção contra malware GuardDuty e o S3

   Proteção contra malware ativada somente para S3

   Quando GuardDuty ativado, ele pode gerar o Proteção contra malware para o tipo de localização S3 para indicar a presença de malware no objeto S3 escaneado. Você pode verificar potencialmente o resultado da digitalização de objetos do S3 usando uma ou mais opções emMonitorando o status da digitalização de objetos do S3. Isso inclui o uso da Amazon EventBridge, CloudWatch métricas para o plano de proteção contra malware e a marcação de objetos escaneados.

   Você pode verificar potencialmente o resultado da digitalização de objetos do S3 usando uma ou mais opções emMonitorando o status da digitalização de objetos do S3. Isso inclui o uso da Amazon EventBridge, CloudWatch métricas para o plano de proteção contra malware e a marcação de objetos escaneados.