Habilitar la protección contra malware para S3 para el bucket

En esta sección se indican los pasos detallados que se deben seguir para habilitar la protección contra malware para S3 en un bucket de una cuenta propia. Revise las siguientes consideraciones antes de continuar:

Al habilitar este plan de protección mediante la consola GuardDuty, se incluye el paso de crear un nuevo rol o usar un rol existente en la sección Acceso al servicio.
Si habilita este plan de protección mediante la API o la CLI de GuardDuty, debe Crear o actualizar la política del rol de IAM antes de continuar.
Independientemente de cómo habilite este plan de protección, debe tener lo el Permisos para crear un recurso de plan de protección contra malware requerido.

Pensar la limitación de los buckets de Amazon S3

La limitación de S3 podría limitar la velocidad a la que se pueden transferir datos hacia o desde sus buckets de Amazon S3. Esto podría retrasar los análisis de malware de los objetos recién cargados.

Si espera que sus depósitos de S3 reciban grandes volúmenes de solicitudes de GET y PUT, considere implementar medidas para evitar que se limiten. Para obtener información sobre cómo hacerlo, consulte Evitar la limitación de Amazon S3 en la Guía del usuario de Amazon Athena.

Temas

Al habilitar la protección contra malware para S3 para un bucket de Amazon S3, GuardDuty crea un recurso del plan de protección contra malware que actúa como identificador del plan de protección del bucket. Si aún no utiliza el Política administrada de AWS: AmazonGuardDutyFullAccess_v2 (recomendada), debe agregar los siguientes permisos para crear este recurso:

guardDuty:CreateMalwareProtectionPlan
iam:PassRole

Puede usar el siguiente ejemplo de política personalizada y sustituir los valores de los marcadores de posición por los valores adecuados para su entorno:

En las siguientes secciones se explica paso a paso lo que experimentará en la Consola de GuardDuty.

Para habilitar la protección contra malware para S3 mediante la Consola de GuardDuty

Ingrese los detalles del bucket de S3

Siga los pasos que se indican a continuación para proporcionar los detalles del bucket de Amazon S3:

Inicie sesión en la Consola de administración de AWS y abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.
Por medio del selector Región de AWS que aparece en la esquina superior derecha de la página, seleccione la región en la que desea habilitar la protección contra malware para S3.
En el panel de navegación, elija Protección contra malware para S3.
En la sección Depósitos protegidos, seleccione Activar para activar la protección contra malware para S3 en un depósito de S3 que le Cuenta de AWS pertenezca.
En Ingresar detalles del bucket de S3, ingrese el nombre del bucket de Amazon S3. O bien, seleccione Examinar S3 para seleccionar un bucket de S3.

La Región de AWS del bucket de S3 y la Cuenta de AWS en la que habilite la protección contra malware para S3 deben ser la misma. Por ejemplo, si la cuenta pertenece a la región us-east-1, la región del bucket de Amazon S3 también debe ser us-east-1.
En Prefijo, puede seleccionar Todos los objetos del bucket de S3 u Objetos que comiencen con un prefijo específico.
- Seleccione Todos los objetos en el bucket de S3 cuando quiera que GuardDuty pueda analizar todos los objetos recién cargados en el bucket seleccionado.
- Seleccione Objetos que comienzan con un prefijo específico cuando desee analizar los objetos recién cargados que pertenezcan a un prefijo específico. Esta opción sirve para focalizar el alcance del análisis de malware únicamente en los prefijos de objetos seleccionados. Para obtener más información sobre el uso de prefijos, consulte Organizar objetos en la Consola de Amazon S3 mediante carpetas en la Guía del usuario de Amazon S3.
  
  Elija Agregar prefijo e ingrese el prefijo. Puede agregar hasta cinco prefijos.

Habilite el etiquetado para los objetos analizados

Se trata de un paso opcional. Si habilita la opción de etiquetado antes de que un objeto sea cargado en el bucket, una vez completado el análisis, GuardDuty agregará una etiqueta predefinida con la clave GuardDutyMalwareScanStatus y el valor como resultado del análisis. Para utilizar la protección contra malware para S3 de forma óptima, recomendamos habilitar la opción de agregar etiquetas a los objetos de S3 una vez finalizado el análisis. Se aplica el costo estándar de etiquetado de objetos de S3. Para obtener más información, consulte Precios y costo de uso de la protección contra malware para S3.

Por qué debería habilitar el etiquetado?

Habilitar el etiquetado es una de las formas de conocer el resultado del análisis de malware. Para obtener información sobre el resultado de un análisis de malware de S3, consulte Supervisión de los análisis de objetos de S3 en la protección contra malware para S3.
Configure la política de control de acceso basado en etiquetas (TBAC) en el bucket de S3 que contiene el objeto potencialmente malicioso. Para obtener información sobre las consideraciones y la forma de aplicar el control de acceso basado en etiquetas (TBAC), consulte Utilizar el control de acceso basado en etiquetas (TBAC) con la protección contra malware para S3.

Consideraciones para que GuardDuty agregue una etiqueta al objeto de S:

De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto. Para obtener más información, consulte Categorizar el almacenamiento mediante etiquetas en la Guía del usuario de Amazon S3.

Si las 10 etiquetas ya están en uso, GuardDuty no podrá agregar la etiqueta predefinida al objeto analizado. Además, GuardDuty publica el producto del análisis en el bus de eventos predeterminado de EventBridge. Para obtener más información, consulte Supervisar análisis de objetos de S3 con Amazon EventBridge.
Cuando el rol de IAM seleccionado no incluye el permiso para que GuardDuty etiquete el objeto de S3, aún si el etiquetado está habilitado para el bucket protegido, GuardDuty no podrá agregar etiquetas a este objeto de S3 analizado. Para obtener más información sobre el permiso de rol de IAM necesario para el etiquetado, consulte Crear o actualizar la política del rol de IAM .

Además, GuardDuty publica el producto del análisis en el bus de eventos predeterminado de EventBridge. Para obtener más información, consulte Supervisar análisis de objetos de S3 con Amazon EventBridge.

Para seleccionar una opción en Etiquetar objetos analizados

Cuando desee que GuardDuty agregue etiquetas a los objetos de S3 analizados, seleccione Etiquetar objetos.
Cuando no desee que GuardDuty agregue etiquetas a los objetos de S3 analizados, seleccione No etiquetar objetos.

Acceso a los servicios

Siga los pasos que se indican a continuación para elegir un rol de servicio existente o crear un nuevo rol de servicio que cuente con los permisos necesarios para realizar acciones de análisis de malware en su nombre. Entre esas acciones se incluye el análisis de objetos de S3 recién cargados y (opcionalmente) la adición de etiquetas a esos objetos. Para obtener información sobre los permisos que tendrá el rol, consulte Crear o actualizar la política del rol de IAM .

En la sección Acceso al servicio, puede realizar una de las siguientes acciones:

Crear y utilizar un nuevo rol de servicio: puede utilizar la opción de crear un nuevo rol de servicio que cuente con los permisos necesarios para realizar el análisis de malware.

En Nombre de rol, puede optar por utilizar el nombre previamente completado por GuardDuty o ingresar un nombre de su elección que signifique algo para identificar el rol. Por ejemplo: . GuardDutyS3MalwareScanRole. El nombre del rol debe tener entre 1 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, and '+=,.@-_'.
Utilizar un rol de servicio existente: puede elegir un rol de servicio existente de la lista Nombre del rol de servicio.
1. En Plantilla de política puede ver la política que corresponde al bucket de S3. Asegúrese de que ha ingresado o seleccionado un bucket de S3 en la sección de detalles Ingrese el bucket de S3.
2. En Nombre de rol de servicio, elija un rol de servicio de la lista de roles de servicio.

Puede realizar cambios en la política en función de sus necesidades Para obtener más información sobre cómo crear o actualizar un rol de IAM, consulte Crear o actualizar una política de rol de IAM.

Si tiene problemas con los permisos de los roles de IAM, consulte Solución de problemas de errores de permisos de roles de IAM.

(Opcional) Etiquetar el ID del plan de protección contra malware

Este es un paso opcional que ayuda a agregar etiquetas al recurso del plan de protección contra malware que se creará para el recurso de bucket de S3.

Cada etiqueta consta de dos partes: una clave de etiqueta y un valor de etiqueta opcional. Para obtener más información sobre el etiquetado y las ventajas que ofrece, consulte Etiquetar recursos de AWS.

Para agregar etiquetas al recurso del plan de protección contra malware

Ingrese la Clave y un Valor opcional para la etiqueta. Tanto la clave como el valor de la etiqueta distinguen entre mayúsculas y minúsculas. Para obtener información sobre los nombres de clave y valor de etiqueta, consulte Límites y requisitos al asignar nombres a las etiquetas.
Para agregar más etiquetas al recurso del plan de protección contra malware, seleccione Agregar nueva etiqueta y repita el paso anterior. Puede añadir hasta 50 etiquetas a cada recurso.
Seleccione Habilitar.

En esta sección se describen los pasos que se deben seguir para habilitar la protección contra malware para S3 mediante programación en el entorno de AWS. Para esto se requiere el nombre de recurso de Amazon (ARN) del rol de IAM que creó en este paso: Crear o actualizar la política del rol de IAM .

Para habilitar la protección contra malware para S3 mediante programación por medio de la API o la CLI

Por medio de la API

Ejecute CreateMalwareProtectionPlan para habilitar la protección contra malware para S3 para un bucket que pertenezca a una cuenta propia.
Por medio de la AWS CLI

Según cómo desee habilitar la protección contra malware para S3, en la siguiente lista encontrará comandos de ejemplo de la AWS CLI para un caso de uso concreto. Al ejecutar estos comandos, sustituya los ejemplos de marcadores de posición que aparecen en rojo por los valores que correspondan a la cuenta.
Comandos de ejemplo de la AWS CLI
- Utilice el siguiente comando de la AWS CLI para habilitar la protección contra malware para S3 para un bucket sin etiquetado para objetos de S3 analizados:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
- Utilice el siguiente comando de la AWS CLI para habilitar la protección contra malware para S3 para un bucket con prefijos de objeto específicos y sin etiquetado para objetos de S3 analizados:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
- Utilice el siguiente comando de la AWS CLI para habilitar la protección contra malware para S3 para un bucket con el etiquetado de objetos de S3 analizados habilitado:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Después de ejecutar estos comandos correctamente, se generará un ID único de plan de protección contra malware. Para realizar acciones, como actualizar o desactivar el plan de protección del bucket, necesitará este ID de plan de protección contra malware.

Si tiene problemas con los permisos de los roles de IAM, consulte Solución de problemas de errores de permisos de roles de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configurar la protección contra malware para S3 para el bucket

Permisos de roles de IAM