Compatibilidad con las características de Amazon S3 - Amazon GuardDuty

Compatibilidad con las características de Amazon S3

En la siguiente tabla se especifica si la protección contra malware para S3 es compatible o no con las características de Amazon S3 enumeradas.

Nombre de la característica de S3 ¿Hay compatibilidad disponible? Descripción

Clase de almacenamiento S3: S3 Standard

Clase de almacenamiento de S3: S3 Standard-Infrequent Access

Clase de almacenamiento de S3: S3 One Zone-Infrequent Access

Clase de almacenamiento de S3: S3 Glacier Instant Retrieval

Los objetos de S3 se pueden recuperar sin restaurar de forma asíncrona.

Clase de almacenamiento de S3: S3 Intelligent-Tiering

Condicional

  • La compatibilidad con Intelligent Tiering está disponible para objetos de S3 en los niveles Frequent, Infrequent y Archive Instance Access.

  • Los niveles de inscripción Archive y Deep Archive no son compatibles.

  • Intelligent Tiering siempre crea un nuevo objeto en el nivel Frequent Access. Por lo tanto, se admite el análisis de objetos durante la creación.

  • Las futuras funciones de Intelligent Tiering podrían iniciar los objetos en el nivel Archive. Por lo tanto, esto no se admite.

Clase de almacenamiento de S3: S3 Express One Zone (bucket de directorio)

No

GuardDuty solamente admite buckets de uso general para la protección contra malware para S3.

Clase de almacenamiento de S3: S3 Glacier Flexible Retrieval

Clase de almacenamiento de S3: S3 Glacier Deep Archive

No

Los objetos de S3 se deben restaurar antes de poder acceder a ellos.

Amazon S3 en Outposts

No

La protección contra malware para S3 no se admite en Outposts.

Control de versiones de S3

Todos los objetos de S3 cargados se analizan en busca de malware. Si cargó un objeto con la versión de archivo v1 y, de inmediato, cargó otra versión con v2, GuardDuty analizará ambas versiones del archivo, v1 y v2. Sin embargo, es posible que la hora de inicio del análisis no esté en el mismo orden.

Replicación S3: analizar objeto replicado

Si el bucket de destino es un recurso protegido, GuardDuty analizará todos los objetos de S3 replicados en los prefijos protegidos y supervisados.

Replicación en S3: se replica en la etiqueta del producto del análisis

No

No puede definir una regla de replicación basada en la etiqueta del producto del análisis. Amazon S3 no admite la replicación para etiquetas, excepto durante la creación.

Cifrado de datos: S3-SSE

Cifrado de datos: SSE-KMS

Cifrado de datos: DSSE-KMS

AWS KMS: clave administrada por el cliente

GuardDuty admite análisis de malware para objetos de S3 cifrados con claves administradas y administradas por el cliente. Asegúrese de que el rol de IAM incluya el permiso para utilizar la clave. Para obtener más información, consulte Agregar permisos de política de IAM.

Cifrado de datos: SSE-C

No

La protección contra malware para S3 no admite el análisis de objetos de S3 cifrados con claves a las que no se puede acceder.

Cifrado del lado del cliente

No

Si los objetos de Amazon S3 se cifran mediante el Cliente de cifrado de Amazon S3, no quedarán expuestos a terceros, incluida AWS. Para obtener información sobre por qué no se admite esta opción, consulte Proteger los datos mediante el cifrado del cliente.

nota

Los objetos cifrados con CSE-KMS se reciben como un blob cifrado donde no se puede determinar el cifrado. Por lo tanto, GuardDuty los procesa a medida que se reciben y escanea el blob cifrado como un archivo normal. GuardDuty no devuelve el estado de análisis UNSUPPORTED de dichos objetos, a menos que alguno de ellos supere Cuotas en la protección contra malware para S3.

Bloqueo de objetos de S3 y retención legal

Los objetos bloqueados de S3 se bloquean según WORM (única escritura, múltiples lecturas). La protección contra malware para S3 puede acceder a los objetos y analizarlos.

Pago por el solicitante

La protección contra malware para S3 puede analizar los buckets configurados con Pago por el solicitante. El solicitante pagará las llamadas a S3. Para obtener más información, consulte Uso de buckets de pagos por solicitante para transferencias de almacenamiento y uso en la Guía del usuario de Amazon S3.

S3: ciclo de vida del almacenamiento

Puede definir políticas de ciclo de vida basadas en la etiqueta del producto del análisis. Por ejemplo, eliminar automáticamente los objetos maliciosos. Para obtener más información sobre la configuración del ciclo de vida, consulte Administración del ciclo de vida del almacenamiento en la Guía del usuario de Amazon S3.

S3: control de acceso basado en etiquetas (TBAC)

Puede definir políticas de recursos de bucket basadas en la etiqueta del producto del análisis de objetos de S3. Por ejemplo, impedir el acceso a objetos de S3 que aún no han sido analizados, o a amenazas detectadas por GuardDuty. Para obtener más información, consulte Utilizar el control de acceso basado en etiquetas (TBAC) con la protección contra malware para S3.