Utilizar el control de acceso basado en etiquetas (TBAC) con la protección contra malware para S3
Al habilitar la protección contra malware para S3 para el bucket, podrá optar por habilitar el etiquetado. Después de intentar analizar un objeto de S3 recién cargado en el bucket seleccionado, GuardDuty agregará una etiqueta al objeto analizado para indicar el estado del análisis de malware. Habilitar el etiquetado conlleva un costo de uso directo. Para obtener más información, consulte Precios y costo de uso de la protección contra malware para S3.
GuardDuty utiliza una etiqueta predefinida con la clave como GuardDutyMalwareScanStatus y el valor como uno de los estados de análisis de malware. Para obtener información sobre estos valores, consulte Estado potencial de análisis de objeto de S3 y estado del producto.
Consideraciones para que GuardDuty agregue una etiqueta al objeto de S:
-
De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto. Para obtener más información, consulte Categorizar el almacenamiento mediante etiquetas en la Guía del usuario de Amazon S3.
Si las 10 etiquetas ya están en uso, GuardDuty no podrá agregar la etiqueta predefinida al objeto analizado. Además, GuardDuty publica el producto del análisis en el bus de eventos predeterminado de EventBridge. Para obtener más información, consulte Supervisar análisis de objetos de S3 con Amazon EventBridge.
-
Cuando el rol de IAM seleccionado no incluye el permiso para que GuardDuty etiquete el objeto de S3, aún si el etiquetado está habilitado para el bucket protegido, GuardDuty no podrá agregar etiquetas a este objeto de S3 analizado. Para obtener más información sobre el permiso de rol de IAM necesario para el etiquetado, consulte Crear o actualizar la política del rol de IAM .
Además, GuardDuty publica el producto del análisis en el bus de eventos predeterminado de EventBridge. Para obtener más información, consulte Supervisar análisis de objetos de S3 con Amazon EventBridge.
Agregar TBAC en el recurso del bucket de S3
Puede utilizar las políticas de recursos de bucket de S3 para administrar el control de acceso basado en etiquetas (TBAC) para los objetos de S3. Puede proporcionar acceso a usuarios específicos para acceder y leer el objeto de S3. Si la organización fue creada mediante AWS Organizations, deberá asegurarse de que nadie pueda modificar las etiquetas agregadas por GuardDuty. Para obtener más información, consulte Impedir que las etiquetas sean modificadas salvo por las entidades principales autorizadas en la Guía del usuario de AWS Organizations. El ejemplo utilizado en el tema vinculado menciona ec2. Al utilizar este ejemplo, sustituya ec2 por s3.
En la siguiente lista se explica lo que puede hacer mediante TBAC:
-
Impida que todos los usuarios, excepto la entidad principal del servicio de protección contra malware para S3, lean los objetos de S3 que aún no estén etiquetados con el siguiente par de clave y valor de etiqueta:
GuardDutyMalwareScanStatus:Potential key value -
Permita que únicamente GuardDuty agregue la clave de etiqueta
GuardDutyMalwareScanStatuscon valor como producto del análisis a un objeto S3 analizado. La siguiente plantilla de política puede autorizar a determinados usuarios con acceso a anular potencialmente el par de clave y valor de la etiqueta.
Ejemplo de política de recursos del bucket de S:
Sustituya los siguientes valores de marcador en la política de ejemplo:
-
IAM-role-name: proporciona el rol de IAM que utilizó para configurar la protección contra malware para S3 en el bucket. -
555555555555: proporciona la Cuenta de AWS asociada al depósito protegido. -
amzn-s3-demo-bucket: proporciona el nombre del bucket protegido.
Podrá obtener más información sobre el etiquetado del recurso S3 en Etiquetado y políticas de control de acceso.
