為儲存貯體啟用 S3 的惡意軟體防護 - Amazon GuardDuty
輸入 S3 儲存貯體詳情(選擇性) 標記掃描的物件許可(選用) 標記惡意程式碼防護方案 ID為 S3 啟用惡意軟體防護後的步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為儲存貯體啟用 S3 的惡意軟體防護

本節提供如何針對您自己帳戶中所選儲存貯體啟用 S3 惡意軟體防護的詳細步驟。

輸入 S3 儲存貯體詳情

請使用下列步驟提供 Amazon S3 儲存貯體的詳細資訊:

  1. 請登入 AWS Management Console 並開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要為 S3 啟用惡意軟體防護的區域。

  3. 在瀏覽窗格中,選擇 S3 的惡意軟體防護

  4. 在「受保護的儲存貯體」區段中,選擇用以針對屬於您自己的 S3 儲存貯體的 S3 儲存貯體啟用惡意軟體防護 AWS 帳戶。

  5. 在「輸入 S3 儲存貯體詳細資訊」下,輸入 Amazon S3 儲存貯體名稱。或者,選擇瀏覽 S3 以選取 S3 儲存貯體。

    S3 儲存貯體和為 S3 啟用惡意軟體保護的 AWS 帳戶 位置必須相同。 AWS 區域 例如,如果您的帳戶屬於該us-east-1區域,則您的 Amazon S3 儲存貯體區域也必須是us-east-1

  6. 在「前置詞」下,您可以選取 S3 儲存貯體中的所有物件或以特定前綴開頭的物件。

    • 如果您想要 GuardDuty 掃描所選儲存貯體中所有新上傳的物件,請選取 S3 儲存貯體中的所有物件。

    • 當您要掃描屬於特定首碼的新上載物件時,請選取以特定首碼開頭的物件。此選項可協助您將惡意程式碼掃描的範圍集中在選取的物件前置詞上。如需使用前置字元的詳細資訊,請參閱 Amazon S3 使用者指南中的使用資料夾在 Amazon S3 主控台中組織物件

      選擇新增首碼,然後輸入首碼。您最多可以新增五個前置字元。

(選擇性) 標記掃描的物件

此為選用步驟。當您在物件上傳至儲存貯體之前啟用標記選項時,在完成掃描後, GuardDuty 會新增預先定義的標籤,其中包含索引鍵GuardDutyMalwareScanStatus和值作為掃描結果。若要以最佳方式使用 S3 的惡意軟體防護,建議您啟用在掃描結束後將標籤新增至 S3 物件的選項。需支付標準 S3 物件標記費用。如需詳細資訊,請參閱 S3 的惡意軟體防護定價

為什麼要啟用標記?

將標籤新增 GuardDuty 至 S3 物件的考量事項:

  • 依預設,您最多可以將 10 個標籤與物件相關聯。如需詳細資訊,請參閱 Amazon S3 使用者指南的使用標籤對儲存進行分類

    如果所有 10 個標籤都在使用中,則 GuardDuty 無法將預先定義的標籤新增至掃描的物件。 GuardDuty 也會將掃描結果發佈到您的預設 EventBridge 事件匯流排。如需詳細資訊,請參閱 使用 Amazon EventBridge

  • 當選取的 IAM 角色未包含標記 S3 物件的 GuardDuty 權限時,即使已為受保護儲存貯體啟用標記,也無法 GuardDuty 將標籤新增至此掃描的 S3 物件。如需標記所需 IAM 角色權限的詳細資訊,請參閱先決條件-建立或更新 IAM PassRole 政策

    GuardDuty 也會將掃描結果發佈到您的預設 EventBridge 事件匯流排。如需詳細資訊,請參閱 使用 Amazon EventBridge

選取標籤掃描物件下的選項的步驟

  • 當您想要將標籤新增 GuardDuty 至掃描的 S3 物件時,請選取「標記物件」。

  • 如果您不想將標籤新增 GuardDuty 至掃描的 S3 物件,請選取「不要標記物件」。

許可

使用下列步驟選擇具有必要權限的 IAM 角色,以代表您執行惡意程式碼掃描動作。這些動作可能包括掃描新上傳的 S3 物件,以及 (選擇性) 將標籤新增至這些物件。

若要選擇 IAM 角色名稱

  1. 如果您已經執行了下面的步驟先決條件-建立或更新 IAM PassRole 政策,請執行以下操作:

    1. 在「權限」區段下,對於 IAM 角色名稱,選擇包含必要許可的 IAM 角色名稱。

  2. 如果您尚未執行下面的步驟先決條件-建立或更新 IAM PassRole 政策,請執行下列動作:

    1. 選擇 [檢視權限]。

    2. 在 [權限詳細資料] 下,選擇 [原則] 索引 這會顯示所需 IAM 許可的範本。

      複製此範本,然後在 [權限詳細資料] 視窗結尾選擇 [關閉]。

    3. 選擇在新索引標籤中開啟 IAM 主控台的附加政策。您可以選擇建立新的 IAM 角色,或使用複製範本中的許可更新現有的 IAM 角色。

      此範本包含預留位置值,您必須以與值區和相關聯的適當值取代這些預留位置值 AWS 帳戶。

    4. 使用控制台返回瀏覽 GuardDuty 器選項卡。再次選擇「查看權限」。

    5. 在 [權限詳細資料] 下,選擇 [信任關係] 索引 這會顯示 IAM 角色的信任關係政策範本。

      複製此範本,然後在 [權限詳細資料] 視窗結尾選擇 [關閉]。

    6. 前往已開啟 IAM 主控台的瀏覽器索引標籤。新增至您偏好的 IAM 角色,請新增此信任關係政策。

  3. 若要將標籤新增至針對此受保護資源建立的惡意軟體防護計劃 ID,請繼續下一節;否則,請選擇本頁末尾的 [啟用],將 S3 儲存貯體新增為受保護的資源。

(選用) 標記惡意程式碼防護方案 ID

這是選擇性步驟,可協助您將標籤新增至為 S3 儲存貯體資源建立的惡意軟體防護計劃資源。

每個標籤都有兩個部分:標籤鍵和可選標籤值。有關標記及其優點的詳細資訊,請參閱標記 AWS 資源

將標籤新增至您的惡意程式碼防護計劃資源

  1. 輸入標籤的索引鍵和選擇性。標籤鍵和標籤值都區分大小寫。若要取得有關標籤關鍵字和標籤值名稱的資訊,請參閱標籤命名限制和需求

  2. 若要新增更多標籤至您的惡意程式碼防護計劃資源,請選擇 [新增標籤],然後重複上一個步驟。每個 資源最多可新增 50 個標籤。

  3. 選擇 啟用

為 S3 啟用惡意軟體防護後的步驟

為儲存貯體 (或特定物件前置詞) 啟用 S3 的惡意程式碼防護後,請依列出的順序執行下列步驟:

  1. 新增以標籤為基礎的存取控制 (TBAC) 資源政策 — 啟用標記時,然後在物件上傳到選取的儲存貯體之前,請確保將 TBAC 政策新增至 S3 儲存貯體資源。如需詳細資訊,請參閱 在 S3 儲存貯體資源上新增 TBAC

  2. 監控惡意軟體防護計劃狀態 — 監控每個受保護值區的 [防護狀態] 欄。如需有關潛在狀態及其含義的資訊,請參閱惡意程式碼防護計劃資源

  3. 上傳物件

    1. 前往 https://console.aws.amazon.com/s3/ 開啟的 Amazon Simple Storage Service (Amazon S3) 主控台。

    2. 將檔案上傳至啟用此功能的 S3 儲存貯體或物件前置詞。如需上傳檔案的步驟,請參閱 Amazon S3 使用者指南的將物件上傳到儲存貯體。

  4. 監控 S3 物件掃描狀態 — 此步驟包含如何檢查 S3 物件惡意軟體掃描狀態的相關資訊。

    同時啟用 S3 GuardDuty 和惡意軟體防護 僅針對 S3 啟用惡意軟體防護

    • 啟 GuardDuty 用時,它可能會產生,S3 查找類型的惡意軟件防護以指示掃描的 S3 物件中存在惡意軟體。

    • 您可以使用下的一或多個選項來檢查 S3 物件掃描結果監控 S3 物件掃描狀態。這些措施包括使用 Amazon EventBridge、 CloudWatch 指標進行惡意軟體防護計劃,以及標記掃描物件。

    您可以使用下的一或多個選項來檢查 S3 物件掃描結果監控 S3 物件掃描狀態。這些措施包括使用 Amazon EventBridge、 CloudWatch 指標進行惡意軟體防護計劃,以及標記掃描物件。