S3 恶意软件防护的功能

选择要扫描的对象：在将文件上传到与所选 S3 存储桶关联的所有或特定前缀（最多 5 个）时对其进行扫描。

自动扫描上传的对象：为存储桶启用 S3 恶意软件防护后，GuardDuty 将自动开始扫描，以检测新上传对象中是否有可能的恶意软件。

通过控制台、API/AWS CLI 或 CloudFormation 启用：选择启用 S3 恶意软件防护的首选方法。

您可以使用 Terraform 等基础设施即代码（IaC）平台启用 S3 恶意软件防护。有关更多信息，请参阅 Resource: aws_guardduty_malware_protection_plan。

支持的文件格式、S3 恶意软件防护配额和 Amazon S3 功能：S3 恶意软件防护支持您可以上传到 S3 存储桶的所有文件格式。如果上传的文件受密码保护，且 GuardDuty 能够检测到上传文件类型存在密码保护，则 GuardDuty 将尝试使用常用密码扫描原始内容。如果密码失败，则会跳过扫描。GuardDuty 无法检测到所有文件格式上存在密码保护。如果 GuardDuty 无法检测到存在密码保护，GuardDuty 仍会扫描加密内容。

有关与对象大小、最大存档深度相关的配额信息以及其他详细信息，请参阅 S3 恶意软件防护中的配额。

有关 Amazon S3 功能是否受支持的信息，请参阅 Amazon S3 功能支持。

支持标记已扫描的 S3 对象：启用根据扫描结果标记对象（可选）后，每次恶意软件扫描后，GuardDuty 都会添加一个指示扫描状态的标签。您可以使用此标签，来为 S3 对象设置基于标签的访问控制（TBAC）。例如，您可以限制对标记为恶意且标签值为 THREATS_FOUND 的 S3 对象的访问权限。

Amazon EventBridge 通知：当恶意软件防护计划资源状态发生变化或对 S3 对象恶意软件扫描完成时，GuardDuty 会将事件发送到 Amazon EventBridge。这些事件会发送到默认事件总线。您可以使用 EventBridge 和这些事件来编写执行操作的规则，例如在这些事件发生时进行监控。有关更多信息，请参阅 使用 Amazon EventBridge 监控 S3 对象扫描。

CloudWatch 指标：查看 CloudWatch 指标来启用针对特定恶意软件扫描状态的警报。有关更多信息，请参阅 CloudWatch 中的 S3 对象扫描状态指标。