Habilitando a proteção contra malware para S3 para seu bucket

Esta seção fornece etapas detalhadas sobre como habilitar a Proteção contra Malware para S3 para um bucket em sua própria conta. Antes de continuar, analise as seguintes considerações:

Quando você habilita esse plano de proteção usando o console do GuardDuty, ele inclui a etapa para criar uma nova função ou usar uma função existente na seção Acesso ao serviço.
Ao habilitar esse plano de proteção usando a API a CLI do GuardDuty, é necessário Criar ou atualizar a política do perfil do IAM antes de continuar.
Independentemente de como você habilitar esse plano de proteção, você deve ter as Permissões para criar um recurso do plano de Proteção contra malware necessárias.

Considerando o controle de utilização do bucket do Amazon S3

O controle de utilização do S3 pode limitar a taxa na qual os dados podem ser transferidos de ou para seus buckets do Amazon S3. Isso pode potencialmente atrasar as verificações de malware de seus objetos recém-carregados.

Se você espera grandes volumes de solicitações GET e PUT para seus buckets do S3, considere implementar medidas para evitar o controle de utilização. Para obter informações sobre como fazer isso, consulte Prevenir o controle de utilização do Amazon S3 no Guia do usuário do Amazon Athena.

Tópicos

Quando você habilita a Proteção contra malware para S3 para um bucket do Amazon S3, o GuardDuty cria um recurso de plano de Proteção contra malware que atua como um identificador para o plano de proteção do bucket. Se você ainda não estiver usando a Política gerenciada da AWS: AmazonGuardDutyFullAccess_v2 (recomendado), adicione as seguintes permissões para criar esse recurso:

guardDuty:CreateMalwareProtectionPlan
iam:PassRole

Você pode usar a seguinte política de exemplo e substituir os valores de espaço reservado pelos valores apropriados para a sua conta:

As seções a seguir fornecem uma demonstração detalhada sobre como ter experiência no console do GuardDuty.

Para ativar a proteção contra malware para S3 usando o console GuardDuty

Entre nos detalhes do bucket do S3

Use as etapas a seguir para fornecer detalhes do bucket do Amazon S3:

Faça login no Console de gerenciamento da AWS e abra o console do GuardDuty em https://console.aws.amazon.com/guardduty/.
Ao usar o seletor Região da AWS no canto superior direito da página, selecione a região na qual você deseja habilitar a Proteção contra malware para S3.
No painel de navegação, escolha Proteção contra Malware para S3
Na seção Buckets protegidos, escolha Habilitar para ativar a Proteção contra Malware para S3 para um bucket S3 que pertence ao seu Conta da AWS.
Em Inserir detalhes do bucket do S3, insira o nome do Bucket do Amazon S3. Como alternativa, escolha Browse S3 para selecionar um bucket S3.

O Região da AWS do bucket do S3 e o Conta da AWS em que você ativa a Proteção contra Malware para o S3 devem ser os mesmos. Por exemplo, se sua conta pertence à região us-east-1, a região do bucket do Amazon S3 também deve ser us-east-1.
Em Prefixo, você pode selecionar Todos os objetos no bucket do S3 ou Objetos que começam com um prefixo específico.
- Selecione Todos os objetos no bucket do S3 quando quiser que o GuardDuty verifique todos os objetos recém-carregados no bucket selecionado.
- Selecione Objetos que começam com um prefixo específico quando quiser verificar os objetos recém-carregados que pertencem a um prefixo específico. Essa opção ajuda você a focar no escopo da verificação de malware somente nos prefixos de objeto selecionados. Para obter informações sobre como usar pastas no Amazon S3, consulte Organizar objetos no console do Amazon S3 usando pastas no Manual do usuário do Amazon S3.
  
  Escolha Adicionar prefixo e insira o prefixo. Você pode adicionar até cinco prefixos.

Ativar marcação para objetos verificados

Esta é uma etapa opcional. Quando você ativa a opção de marcação antes de um objeto ser carregado no seu bucket, depois de concluir a verificação, o GuardDuty adicionará uma tag predefinida com a chave como GuardDutyMalwareScanStatus e o valor como resultado da verificação. Para usar a Proteção contra Malware para S3 de forma otimizada, recomendamos ativar a opção de adicionar uma tag aos objetos do S3 após o término da verificação. O custo padrão da atribuição de tags de objetos do S3 é aplicável. Para obter mais informações, consulte Preço e custo de uso da Proteção contra Malware para S3.

Por que você deve ativar a marcação?

Ativar a marcação é uma das maneiras de saber sobre o resultado da verificação de malware. Para obter informações sobre o resultado de uma verificação de malware do S3, consulte Monitorando verificações de objetos do S3 na Proteção contra Malware para S3.
Configure uma política de controle de acesso baseado em tags (TBAC) em seu bucket do S3 que contém o objeto potencialmente malicioso. Para obter informações sobre como implementar um controle de acesso baseado em tags (TBAC), consulte. Usando controle de acesso baseado em tags (TBAC) com proteção contra malware para S3

Considerações para o GuardDuty adicionar uma tag ao seu objeto do S:

Por padrão. você pode associar até 10 tags a um objeto. Para obter informações, consulte Categorizando o armazenamento usando tags no Guia do usuário do Amazon S3.

Se todas as 10 tags já estiverem em uso, o GuardDuty não poderá adicionar a tag predefinida ao objeto verificado. O GuardDuty também publica o resultado da verificação em seu barramento de eventos EventBridge padrão. Para obter mais informações, consulte Monitoramento de verificações de objetos do S3 com o Amazon EventBridge.
Quando o perfil do IAM selecionado não inclui a permissão para o GuardDuty marcar o objeto do S3, mesmo com a marcação ativada para seu bucket protegido, o GuardDuty não poderá adicionar uma tag a esse objeto verificado do S3. Para obter mais informações sobre como criar uma permissão do perfil do IAM para marcação de tag, consulte Criar ou atualizar a política do perfil do IAM.

O GuardDuty também publica o resultado da verificação em seu barramento de eventos EventBridge padrão. Para obter mais informações, consulte Monitoramento de verificações de objetos do S3 com o Amazon EventBridge.

Para selecionar uma opção em Marcar objetos verificados

Quando quiser que o GuardDuty adicione tags aos seus objetos verificados do S3, selecione Marcar objetos.
Quando você não quiser que o GuardDuty adicione tags aos seus objetos verificados do S3, selecione Não marcar objetos.

Acesso ao serviço

Use as etapas a seguir para escolher um perfil de serviço existente ou criar um novo perfil de serviço que tenha as permissões necessárias para executar ações de verificação de malware em seu nome. Essas ações podem incluir a verificação dos objetos S3 recém-carregados e (opcionalmente) a adição de tags a esses objetos. Para mais informações sobre as permissões que essa função terá, consulte Criar ou atualizar a política do perfil do IAM.

Na seção Acesso ao serviço selecione uma das seguintes opções:

Criar e usar um novo perfil de serviço — Você pode criar e usar um novo perfil de serviço que tenha as permissões necessárias para realizar a verificação de malware.

No nome do Perfil, você pode escolher usar o nome previamente preenchido pelo GuardDuty ou inserir um nome significativo de sua escolha para identificar o perfil. Por exemplo, . GuardDutyS3MalwareScanRole. O nome do perfil deve ter de 1 a 64 caracteres. Os caracteres válidos são a-z, A-Z, 0-9 e caracteres “+=,.@-_”.
Usar um perfil de serviço existente — Você pode escolher um perfil de serviço existente na lista de Nome do perfil de serviço.
1. Em Modelo de política, você pode visualizar a política do seu bucket do S3. Verifique se você inseriu ou selecionou um bucket do S3 na seção de detalhes Inserir bucket do S3.
2. Em Nome do perfil de serviço, escolha um perfil de serviço na lista de perfis de serviço.

Você pode fazer alterações na política com base em seus requisitos. Para obter mais detalhes sobre como criar ou atualizar um perfil do IAM, consulte Criar ou atualizar a política de perfil do IAM.

Para problemas com as permissões de perfil do IAM, consulte Solução de problemas de erro de permissões de perfil do IAM.

(Opcional) Etiquetar ID do plano de proteção contra malware

Essa é uma etapa opcional que ajuda você a adicionar tags ao recurso do plano de proteção contra malware que seriam criadas para seu recurso de bucket do S3.

Cada tag tem duas partes: uma chave de tag e um valor de tag opcional. Para mais informações sobre marcações e seus benefícios, consulte Marcar os recursos AWS.

Para adicionar tags ao seu recurso de plano de proteção contra malware

Digite uma chave e, opcionalmente, um valor para a tag. A chave e o valor da tag diferenciam maiúsculas de minúsculas. Para obter informações sobre os nomes da chave e do valor da tag, consulte Limites e requisitos de nomenclatura da tag.
Para adicionar mais tags ao seu recurso do plano de Proteção contra Malware, escolha Adicionar nova tag e repita a etapa anterior. Você pode adicionar até 50 tags a cada recurso.
Escolha Habilitar.

Esta seção inclui as etapas para quando você deseja habilitar A Proteção contra Malware para S3 programaticamente em seu ambiente AWS. Isso requer o nome do recurso da Amazon (ARN) do perfil do IAM que você criou nesta etapa - Criar ou atualizar a política do perfil do IAM.

Para habilitar a proteção contra malware para S3 de forma programática usando API/CLI

Usando a API

Execute o CreateMalwareProtectionPlan para ativar a Proteção contra Malware para S3 em um bucket que pertence à sua própria conta.
Usando o AWS CLI

Dependendo de como você deseja habilitar a Proteção contra Malware para S3, a lista a seguir fornece AWS CLI exemplos de comandos para casos de uso específicos. Ao executar esses comandos, substitua os exemplos de espaço reservado mostrados em vermelho pelos valores apropriados para sua conta.
AWS CLI Exemplos de comando
- Use o AWS CLI comando a seguir para ativar a Proteção contra Malware para S3 em um bucket sem marcação para objetos verificados do S3:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
- Use o AWS CLI comando a seguir para ativar a Proteção contra Malware para S3 em um bucket com prefixos de objeto específico e sem marcação para objetos verificados do S3:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
- Use o AWS CLI comando a seguir para ativar a Proteção contra Malware para S3 em um bucket com a marcação para objetos verificados do S3 ativada:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Depois de executar esses comandos com êxito, um ID exclusivo do plano de Proteção contra Malware será gerado. Para realizar ações como atualizar ou desativar o plano de proteção do seu bucket, você precisará desse ID do plano de proteção contra malware.

Para problemas com as permissões de perfil do IAM, consulte Solução de problemas de erro de permissões de perfil do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurando a proteção contra malware para S3 para seu bucket

Permissões de perfil do IAM