本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 保護在 Amazon GuardDuty
S3 保護可協助 Amazon GuardDuty 監控 Amazon Simple Storage Service (Amazon S3) 的 AWS CloudTrail 資料事件,其中包括物件層級API操作,以識別 Amazon S3 儲存貯體中資料的潛在安全風險。
GuardDuty 同時監控 AWS CloudTrail 管理事件和 AWS CloudTrail S3 資料事件,以識別 Amazon S3 資源中的潛在威脅。這兩個資料來源會監控不同類型的活動。S3 的 CloudTrail 管理事件範例包括列出或設定 Amazon S3 儲存貯體的操作ListBuckets
,例如DeleteBuckets
、和PutBucketReplication
。S3 的 CloudTrail 資料事件範例包括物件層級API操作,例如GetObject
ListObjects
、DeleteObject
、和PutObject
。
當您啟用 Amazon GuardDuty 的時候 AWS 帳戶, GuardDuty 開始監視 CloudTrail 管理事件。您不需要手動啟用或設定 S3 資料事件登入 AWS CloudTrail。您可以隨時針對 Amazon GuardDuty 內部提供此功能的任何帳戶啟用 S3 保護功能 (用於監控 S3 的 CloudTrail 資料事件)。 AWS 區域 AWS 帳戶 已啟用的 GuardDuty,可以在 30 天免費試用期內首次啟用 S3 保護。對於首次啟 AWS 帳戶 GuardDuty 用的,S3 保護已啟用並包含在此 30 天免費試用中。如需詳細資訊,請參閱 估算成 GuardDuty 本。
我們建議您在中啟用 S3 保護 GuardDuty。如果未啟用此功能, GuardDuty 將無法完全監控 Amazon S3 儲存貯體,或產生存放在 S3 儲存貯體中資料的可疑存取的發現結果。
如何 GuardDuty 使用 S3 資料事件
啟用 S3 資料事件 (S3 防護) 時,會 GuardDuty 開始分析所有 S3 儲存貯體中的 S3 資料事件,並監控它們是否有惡意和可疑活動。如需詳細資訊,請參閱 AWS CloudTrail S3 的資料事件。
當未經驗證的使用者存取 S3 物件時,表示 S3 物件可公開存取。因此, GuardDuty不處理此類請求。 GuardDuty 使用有效 IAM (AWS Identity and Access Management) 或 AWS STS () 登入資料處理對 S3 物件發出的請求。AWS Security Token Service
當根據 S3 資料事件監控 GuardDuty 偵測到潛在威脅時,會產生安全性發現。如需 GuardDuty 可針對 Amazon S3 儲存貯體產生之發現項目類型的相關資訊,請參閱GuardDuty S3 尋找項目類型。
如果停用 S3 保護,請 GuardDuty 停止對 S3 儲存貯體中存放的資料進行 S3 資料事件監控。
對於與之關聯的帳戶 AWS Organizations,可透過主控台設定自動執行此程序。如需詳細資訊,請參閱 在多帳戶環境中設定 S3 保護。
啟用或停用 S3 保護
選擇您偏好的存取方式,為獨立帳戶設定 S3 保護。
- Console
-
- API/CLI
-
-
使用目前區域的有效偵測器 ID,並將 features
物件 name
以 S3_DATA_EVENTS
設定為 ENABLED
或 DISABLED
來傳遞,進而執行 updateDetector,以分別啟用或停用 S3 保護。
或者,您可以使用 AWS Command Line Interface. 若要啟用 S3 保護,請執行下列命令,並確保使用您自己的有效偵測器 ID。
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
若要停用 S3 保護,請使用 DISABLED
取代範例中的 ENABLED
。
在多帳戶環境中設定 S3 保護
在多帳戶環境中,只有委派的 GuardDuty 管理員帳戶可以選擇為其 AWS 組織中的成員帳戶設定 (啟用或停用) S3 Protection。成 GuardDuty 員帳戶無法從其帳戶修改此設定。委派的管理 GuardDuty 員帳戶會使用來管理其成員帳戶 AWS Organizations。委派的 GuardDuty 管理員帳戶可以選擇在組織中的所有帳戶、只有新帳戶或不啟用 S3 Protection。如需詳細資訊,請參閱 透過 AWS Organizations管理帳戶。
選擇您偏好的存取方法,為委派的 GuardDuty 管理員帳戶設定 S3 保護。
- Console
-
- API/CLI
-
updateDetector透過使用目前區域委派 GuardDuty 管理員帳戶的偵測器 ID 來執行,並以及傳遞features
物件的方name
式S3_DATA_EVENTS
來執status
行ENABLED
。
或者,您可以使用 AWS Command Line Interface. 運行以下命令,並確保替換 12abc34d567e8fa901bc2d34e56789f0
與當前區域的委託 GuardDuty 管理員帳戶的檢測器 ID 和 555555555555
具有委派 GuardDuty 管理員帳戶的 AWS 帳戶 ID。
若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 555555555555
--features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
- Console
-
- API/CLI
-
-
若要選擇性地為您的成員帳戶啟用或停用 S3 保護,請使用您自己的帳戶叫用updateMemberDetectorsAPI作業 detector ID
.
-
以下範例顯示如何為單一成員帳戶啟用 S3 保護。確保更換 12abc34d567e8fa901bc2d34e56789f0
使用委派detector-id
的 GuardDuty 系統管理員帳戶,以及 111122223333
。 若要停用 S3 保護,請取ENABLED
代為DISABLED
。
若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
-
當程式碼成功執行時,會返回一個空白 UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
選擇您偏好的存取方式,為組織中的所有現有作用中成員帳戶啟用 S3 保護。
- Console
-
登入 AWS Management Console 並開啟 GuardDuty 主控台,位於https://console.aws.amazon.com/guardduty/。
使用委派的 GuardDuty 系統管理員帳戶認證登入。
在導覽窗格中,選擇 S3 保護。
在 S3 保護頁面上,您可以檢視組態的目前狀態。在作用中成員帳戶區段下,選擇動作。
從動作下拉式選單中,選擇為所有作用中的成員帳戶啟用。
選擇確認。
- API/CLI
-
-
若要選擇性地為您的成員帳戶啟用或停用 S3 保護,請使用您自己的帳戶叫用updateMemberDetectorsAPI作業 detector ID
.
-
以下範例顯示如何為單一成員帳戶啟用 S3 保護。確保更換 12abc34d567e8fa901bc2d34e56789f0
使用委派detector-id
的 GuardDuty 系統管理員帳戶,以及 111122223333
。 若要停用 S3 保護,請取ENABLED
代為DISABLED
。
若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
-
當程式碼成功執行時,會返回一個空白 UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
選擇您偏好的存取方式,為加入組織的新帳戶啟用 S3 保護。
- Console
-
委派的 GuardDuty 管理員帳戶可以使用 S3 Protection 或帳戶頁面,透過主控台為組織中的新成員帳戶啟用。
為新成員帳戶自動啟用 S3 保護
在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。
請務必使用委派的 GuardDuty 系統管理員帳戶認證。
-
執行以下任意一項:
-
使用 S3 保護頁面:
-
在導覽窗格中,選擇 S3 保護。
-
在 S3 保護頁面上,選擇編輯。
選擇手動設定帳戶。
選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時,S3 保護都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。
-
選擇儲存。
-
使用帳戶頁面:
-
在導覽窗格中,選擇帳戶。
-
在帳戶頁面上,選擇自動啟用偏好設定。
-
在管理自動啟用偏好設定視窗中,選擇 S3 保護下的為新帳戶啟用。
選擇儲存。
- API/CLI
-
選擇您偏好的存取方式,選擇性地為成員帳戶啟用或停用 S3 保護。
- Console
-
在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。
請務必使用委派的 GuardDuty 系統管理員帳戶認證。
-
在導覽窗格中,選擇帳戶。
在帳戶頁面上,檢閱 S3 保護資料欄,了解您的成員帳戶的狀態。
-
選擇性地啟用或停用 S3 保護
選取您要設定 S3 保護的帳戶。您可以一次選取多個帳戶。在編輯保護計畫下拉式選單中,選擇 S3Pro,然後選擇適當的選項。
- API/CLI
-
若要選擇性地啟用或停用成員帳戶的 S3 保護,請使用您自己的偵測器 ID 執行updateMemberDetectorsAPI作業。以下範例顯示如何為單一成員帳戶啟用 S3 保護。若要停用,請使用 false
取代 true
。
若要尋找您帳戶和目前區域的,請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面,或執行 ListDetectorsAPI. detectorId
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 123456789012
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
當程式碼成功執行時,會返回一個空白 UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
如果您使用指令碼建立新帳戶,並且想要在新帳戶中停用 S3 保護,則可以使用選用dataSources
物件修改createDetectorAPI操作,如本主題所述。
根據預設,第一次會自動為 AWS 帳戶 該聯結 GuardDuty 啟用 S3 保護。
如果您是第一次在新帳戶上啟 GuardDuty 用的 GuardDuty 管理員帳戶,並且不希望預設啟用 S3 Protection,則可以透過使用選用features
物件修改createDetectorAPI操作來停用它。下列範例使用啟 AWS CLI 用停用 S3 保護的新 GuardDuty 偵測器。
aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'