Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM-Rollenrichtlinie erstellen oder aktualisieren
Damit Malware Protection for S3 Ihre S3-Objekte scannt und (optional) Tags zu ihnen hinzufügt, können Sie Dienstrollen verwenden, die über die erforderlichen Berechtigungen verfügen, um Malware-Scanaktionen in Ihrem Namen durchzuführen. Weitere Informationen zur Verwendung von Servicerollen zur Aktivierung des Malware-Schutzes für S3 finden Sie unter [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Diese Rolle unterscheidet sich von der [Rolle, die mit dem Dienst GuardDuty Malware Protection verknüpft](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html) ist.
Wenn Sie lieber IAM-Rollen verwenden möchten, können Sie eine IAM-Rolle anhängen, die die erforderlichen Berechtigungen zum Scannen und (optional) Hinzufügen von Tags zu Ihren S3-Objekten enthält. Sie müssen eine IAM-Rolle erstellen oder eine bestehende Rolle aktualisieren, um diese Berechtigungen einzubeziehen. Da diese Berechtigungen für jeden Amazon S3 S3-Bucket erforderlich sind, für den Sie Malware Protection for S3 aktivieren, müssen Sie diesen Schritt für jeden Amazon S3 S3-Bucket ausführen, den Sie schützen möchten.
In der folgenden Liste wird erklärt, wie bestimmte Berechtigungen dabei helfen, den Malware-Scan in Ihrem Namen GuardDuty durchzuführen:
+ Erlauben Sie Amazon EventBridge Actions, die EventBridge verwaltete Regel zu erstellen und zu verwalten, sodass Malware Protection for S3 Ihre S3-Objektbenachrichtigungen abhören kann.
Weitere Informationen finden Sie unter [Von Amazon EventBridge verwaltete Regeln](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) im * EventBridge Amazon-Benutzerhandbuch*.
+ Erlauben Sie Amazon S3 und EventBridge Aktionen, Benachrichtigungen EventBridge für alle Ereignisse in diesem Bucket zu senden
Weitere Informationen finden Sie unter [Enabling Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) im *Amazon S3 S3-Benutzerhandbuch*.
+ Erlauben Sie Amazon S3 S3-Aktionen den Zugriff auf das hochgeladene S3-Objekt und fügen Sie dem gescannten S3-Objekt ein vordefiniertes Tag hinzu. `GuardDutyMalwareScanStatus` Wenn Sie ein Objektpräfix verwenden, fügen Sie eine `s3:prefix` Bedingung nur für die Zielpräfixe hinzu. Dadurch wird GuardDuty verhindert, dass Sie auf alle S3-Objekte in Ihrem Bucket zugreifen können.
+ Erlauben Sie KMS-Schlüsselaktionen den Zugriff auf das Objekt, bevor Sie mit der unterstützten DSSE-KMS- und SSE-KMS-Verschlüsselung ein Testobjekt scannen und in Buckets platzieren.
**Anmerkung**
Dieser Schritt ist jedes Mal erforderlich, wenn Sie Malware Protection for S3 für einen Bucket in Ihrem Konto aktivieren. Wenn Sie bereits über eine bestehende IAM-Rolle verfügen, können Sie deren Richtlinie so aktualisieren, dass sie die Details einer anderen Amazon S3 S3-Bucket-Ressource enthält. Das [Hinzufügen von IAM-Richtlinienberechtigungen](#attach-iam-policy-s3-malware-protection) Thema enthält ein Beispiel dafür, wie Sie dies tun können.
Verwenden Sie die folgenden Richtlinien, um eine IAM-Rolle zu erstellen oder zu aktualisieren.
**Topics**
+ [Hinzufügen von IAM-Richtlinienberechtigungen](#attach-iam-policy-s3-malware-protection)
+ [Eine Richtlinie für Vertrauensbeziehungen wird hinzugefügt](#add-iam-trust-policy-s3-malware-protection)
## Hinzufügen von IAM-Richtlinienberechtigungen
Sie können wählen, ob Sie die Inline-Richtlinie einer vorhandenen IAM-Rolle aktualisieren oder eine neue IAM-Rolle erstellen möchten. Informationen zu diesen Schritten finden Sie unter [Erstellen einer IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) oder [Ändern einer Rollenberechtigungsrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) im *IAM-Benutzerhandbuch*.
Fügen Sie Ihrer bevorzugten IAM-Rolle die folgende Berechtigungsvorlage hinzu. Ersetzen Sie die folgenden Platzhalterwerte durch entsprechende Werte, die Ihrem Konto zugeordnet sind:
+ Ersetzen Sie für *amzn-s3-demo-bucket* durch Ihren Amazon S3 S3-Bucket-Namen.
Um dieselbe IAM-Rolle für mehr als eine S3-Bucket-Ressource zu verwenden, aktualisieren Sie eine bestehende Richtlinie, wie im folgenden Beispiel dargestellt:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Stellen Sie sicher, dass Sie ein Komma (,) hinzufügen, bevor Sie einen neuen ARN hinzufügen, der dem S3-Bucket zugeordnet ist. Tun Sie dies überall dort, wo Sie `Resource` in der Richtlinienvorlage auf einen S3-Bucket verweisen.
+ Für*111122223333*, ersetzen Sie es durch Ihre AWS-Konto ID.
+ Für*us-east-1*, ersetzen Sie durch Ihre AWS-Region.
+ Ersetzen Sie für *APKAEIBAERJR2EXAMPLE* durch Ihre vom Kunden verwaltete Schlüssel-ID. Wenn Ihr S3-Bucket mithilfe eines AWS KMS Schlüssels verschlüsselt ist, fügen wir die entsprechenden Berechtigungen hinzu, wenn Sie bei der Konfiguration des Malware-Schutzes für Ihren Bucket die Option [Neue Rolle erstellen](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) wählen.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Vorlage für eine IAM-Rollenrichtlinie**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Eine Richtlinie für Vertrauensbeziehungen wird hinzugefügt
Fügen Sie Ihrer IAM-Rolle die folgende Vertrauensrichtlinie hinzu. Informationen zu den einzelnen Schritten finden Sie unter [Vertrauensrichtlinie für Rollen ändern](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------