EC2 恶意软件防护中的功能

弹性块存储（EBS）卷

本节介绍了 EC2 恶意软件防护（包括 GuardDuty启动的恶意软件扫描和按需恶意软件扫描）如何扫描与您的 Amazon EC2 实例和容器工作负载关联的 Amazon EBS 卷。在继续之前，请考虑以下自定义项：

• 扫描选项 — 适用于 EC2 的恶意软件防护能够指定标签，以便在扫描过程中包含或排除 Amazon EC2 实例和 Amazon EBS 卷。只有 GuardDuty启动的恶意软件扫描才支持带有用户定义标签的扫描选项。 GuardDuty启动的恶意软件扫描和按需恶意软件扫描都支持全局GuardDutyExcluded标记。有关更多信息，请参阅 使用用户定义的标签扫描选项。

• 快照保留 — EC2 恶意软件防护提供了一个选项，可将您的 Amazon EBS 卷的快照保留在您的 AWS 账户中。默认情况下，此选项处于关闭状态。您可以为 GuardDuty 已启动和按需的恶意软件扫描选择快照保留。有关更多信息，请参阅 快照保留。

当 GuardDuty 生成表明在 Amazon EC2 实例或容器工作负载中可能存在恶意软件的调查结果，并且您已在 EC2 恶意软件防护中启用 GuardDuty 了已 GuardDuty启动的扫描类型时，可能会根据您的扫描选项调用已启动的恶意软件扫描。

要在与 Amazon EC2 实例关联的 Amazon EBS 卷上启动按需恶意软件扫描，请提供 Amazon EC2 实例的 Amazon 资源名称（ARN）。

作为对按需恶意软件扫描或自动调用的 GuardDuty恶意软件扫描的响应， GuardDuty 创建附加到可能受影响的资源的相关 EBS 卷的快照，并与共享。GuardDuty 服务账号根据这些快照，在服务账户中 GuardDuty 创建加密副本 EBS 卷。

扫描完成后， GuardDuty 删除加密副本 EBS 卷和 EBS 卷的快照。如果发现恶意软件并且您已开启快照保留设置，则 EBS 卷的快照不会被删除，而是会自动保留在您的 AWS 帐户中。如果未发现任何恶意软件，则无论快照保留设置如何，系统都不会保留您 EBS 卷的快照。默认情况下，快照保留设置处于关闭状态。有关快照成本及快照保留的信息，请参阅 Amazon EBS 定价。

GuardDuty 将在服务帐户中保留每个副本 EBS 卷最多 55 小时。如果服务中断，或者副本 EBS 卷及其恶意软件扫描出现故障，则 GuardDuty 将这样的 EBS 卷保留不超过七天。延长卷保留期是为了对中断或故障进行分类和解决。 GuardDuty EC2 恶意软件防护将在中断或故障得到解决后，或者延长保留期过后，从服务账户中删除副本 EBS 卷。