Usando controle de acesso baseado em tags (TBAC) com proteção contra malware para S3
Ao habilitar a Proteção contra Malware para S3 para o seu bucket, você pode optar por habilitar a marcação. Depois de tentar verificar um objeto S3 recém-carregado no bucket selecionado, o GuardDuty adiciona uma tag ao objeto escaneado para fornecer o status do escaneamento de malware. Há um custo de uso direto associado quando você ativa a marcação. Para obter mais informações, consulte Preço e custo de uso da Proteção contra Malware para S3.
O GuardDuty usa uma tag predefinida com a chave como GuardDutyMalwareScanStatus e o valor como um dos status de verificação de malware. Para obter informações sobre esses valores, consulte Status de verificação potencial do objeto S3 e status do resultado.
Considerações para o GuardDuty adicionar uma tag ao seu objeto do S:
-
Por padrão. você pode associar até 10 tags a um objeto. Para obter informações, consulte Categorizando o armazenamento usando tags no Guia do usuário do Amazon S3.
Se todas as 10 tags já estiverem em uso, o GuardDuty não poderá adicionar a tag predefinida ao objeto verificado. O GuardDuty também publica o resultado da verificação em seu barramento de eventos EventBridge padrão. Para obter mais informações, consulte Monitoramento de verificações de objetos do S3 com o Amazon EventBridge.
-
Quando o perfil do IAM selecionado não inclui a permissão para o GuardDuty marcar o objeto do S3, mesmo com a marcação ativada para seu bucket protegido, o GuardDuty não poderá adicionar uma tag a esse objeto verificado do S3. Para obter mais informações sobre como criar uma permissão do perfil do IAM para marcação de tag, consulte Criar ou atualizar a política do perfil do IAM.
O GuardDuty também publica o resultado da verificação em seu barramento de eventos EventBridge padrão. Para obter mais informações, consulte Monitoramento de verificações de objetos do S3 com o Amazon EventBridge.
Adicionando TBAC ao recurso do bucket do S3
Você pode usar as políticas de recursos do bucket do S3 para gerenciar o controle de acesso baseado em tags (TBAC) para seus objetos do S3. Você pode fornecer acesso a usuários específicos para acessar e ler o objeto S3. Se você tem uma organização que foi criada usandoAWS Organizations, você deve garantir que ninguém possa modificar as tags adicionadas pelo GuardDuty. Para obter mais informações, consulte Como evitar que as tags sejam modificadas, exceto por responsáveis autorizados, no Guia do AWS Organizations usuário. O exemplo usado no tópico vinculado menciona ec2. Ao usar esse exemplo, substitua ec2 pors3.
A lista a seguir explica o que você pode fazer usando o TBAC:
-
Impeça que todos os usuários, exceto a entidade principal do serviço de Proteção de Malware para S3, leiam os objetos do S3 que ainda não estão marcados com o seguinte par de valor chave de tag:
GuardDutyMalwareScanStatus:Potential key value -
Permita que somente o GuardDuty adicione a tag chave
GuardDutyMalwareScanStatuscom valor como resultado da verificação a um objeto verificado do S3. O modelo de política a seguir pode permitir que usuários específicos que tenham acesso possam potencialmente substituir o par chave-valor da tag.
Política de recursos do bucket do S3 do exemplo:
Substitua os seguintes valores de espaços reservados na política de exemplo:
-
IAM-role-name– forneça o perfil do IAM que você usou para configurar a Proteção contra malware para S3 em seu bucket. -
555555555555– forneça o Conta da AWS associado ao bucket protegido. -
amzn-s3-demo-bucket– forneça o nome do bucket protegido.
Para obter mais informações sobre como marcar seu recurso do S3, consulte Políticas de marcação e controle de acesso.
