Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# GuardDuty Protección contra malware para S3
La protección contra malware para S3 ayuda a detectar la posible presencia de malware mediante el análisis de los objetos recién cargados en el bucket seleccionado de Amazon Simple Storage Service (Amazon S3). Cuando se carga un objeto de S3 o una nueva versión de un objeto de S3 existente en el depósito seleccionado, GuardDuty se inicia automáticamente un análisis de malware.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/uweeumMAif4)
**Dos enfoques para habilitar la protección contra malware para S3**
Puede activar la protección contra malware para S3 si Cuenta de AWS habilita el GuardDuty servicio y utiliza Malware Protection for S3 como parte de la GuardDuty experiencia general, o si quiere utilizar la función Malware Protection for S3 por sí sola sin activar el GuardDuty servicio. Si habilita la protección contra malware para S3 por sí sola, la GuardDuty documentación indica que utiliza la protección contra malware para S3 como una función independiente.
**Consideraciones para utilizar la protección contra malware para S3 de forma independiente**
+ GuardDuty consideraciones de seguridad: el identificador del detector es un identificador único que se asocia a tu cuenta en una región. Al activar GuardDuty una o más regiones de una cuenta, se crea automáticamente un identificador de detector para esa cuenta en cada región en la que se active GuardDuty. Para obtener más información, consulte *Detector* en el documento [Conceptos y términos clave en Amazon GuardDuty](guardduty_concepts.md).
Al habilitar la protección contra malware para S3 de forma independiente en una cuenta, dicha cuenta **no** tendrá un ID de detector asociado. Esto afecta a GuardDuty las funciones que puedan estar disponibles para usted. Por ejemplo, cuando un análisis de software malicioso realizado en S3 detecta la presencia de malware, no se generará ningún GuardDuty dato en el suyo, Cuenta de AWS ya que todos los GuardDuty resultados están asociados a un identificador de detector.
+ Comprobar si el objeto escaneado es malicioso: de forma predeterminada, GuardDuty publica los resultados del análisis de malware en el bus de EventBridge eventos de Amazon predeterminado y en un espacio de CloudWatch nombres de Amazon. Si habilita el etiquetado al habilitar la protección contra malware para S3 para un bucket, el objeto de S3 analizado recibe una etiqueta que menciona la conclusión del análisis. Para obtener más información acerca del etiquetado, consulte [Etiquetado opcional de objetos en función del resultado del análisis](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3).
**Consideraciones generales para habilitar la protección contra malware para S3**
Si utiliza Malware Protection for S3 de forma independiente o como parte de la experiencia, se deben tener en cuenta las GuardDuty siguientes consideraciones generales:
+ Puede habilitar la protección contra malware para S3 para un bucket de Amazon S3 que pertenezca a una cuenta propia. Como cuenta de GuardDuty administrador delegado, no puede habilitar esta función en un bucket de Amazon S3 que pertenezca a una cuenta de miembro.
+ Puede habilitar esta función en los buckets de S3 que pertenecen a la misma región que está actualmente seleccionada en la GuardDuty consola. GuardDuty no admite la activación de esta función en los buckets S3 que se encuentran entre regiones.
+ Como cuenta de GuardDuty administrador delegado, recibirá una EventBridge notificación de Amazon cada vez que se produzca un cambio en un bucket [Consulta y lectura del estado del bucket protegido](malware-protection-s3-bucket-status-gdu.md) de S3 que una de las cuentas de los miembros de su organización haya configurado para esta función.
**Topics**
+ [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md)
+ [¿Cómo funciona la protección contra malware para S3?](how-malware-protection-for-s3-gdu-works.md)
+ [Capacidades de la protección contra malware para S3](s3-malware-protection-capability.md)
+ [(Opcional) Comience a utilizar GuardDuty Malware Protection para S3 de forma independiente (solo en la consola)](malware-protection-s3-get-started-independent.md)
+ [Configurar la protección contra malware para S3 para el bucket](configuring-malware-protection-for-s3-guardduty.md)
+ [Pasos a seguir tras habilitar la protección contra malware para S3](malware-protection-s3-steps-after-enabling.md)
+ [Escaneo de malware S3 bajo demanda GuardDuty](malware-protection-s3-on-demand.md)
+ [Utilizar el control de acceso basado en etiquetas (TBAC) con la protección contra malware para S3](tag-based-access-s3-malware-protection.md)
+ [Consulta y lectura del estado del bucket protegido](malware-protection-s3-bucket-status-gdu.md)
+ [Supervisión de los análisis de objetos de S3 en la protección contra malware para S3](monitoring-malware-protection-s3-scans-gdu.md)
+ [Resolución de problemas](troubleshoot-s3-malware-protection.md)
+ [Editar el plan de protección contra malware para un bucket protegido](edit-malware-protection-protected-s3-bucket.md)
+ [Desactivar la protección contra malware para S3 para un bucket protegido](disable-malware-s3-protected-bucket.md)
+ [Compatibilidad con las características de Amazon S3](supported-s3-features-malware-protection-s3.md)
+ [Cuotas en la protección contra malware para S3](malware-protection-s3-quotas-guardduty.md)
# Precios y costo de uso de la protección contra malware para S3
Los precios de Malware Protection para S3 funcionan de manera diferente a los de otros planes de protección GuardDuty. Si bien la mayoría de los planes de GuardDuty protección incluyen un período de prueba gratuito de 30 días, Malware Protection for S3 incluye un plan de nivel gratuito de 12 meses. AWS Para obtener información sobre GuardDuty los precios, consulte[Precios en GuardDuty](guardduty-pricing.md).
En la siguiente lista se indican los precios asociados al uso de la protección contra malware para S3.
**Plan de nivel gratuito (costo del análisis)**
Cada uno Cuenta de AWS recibe un nivel gratuito de 12 meses que incluye el uso hasta un límite específico por mes para cada región. Cada uno Cuenta de AWS recibe un nivel mensual gratuito de uso de hasta 1000 solicitudes y 1 GB de datos escaneados. Si el uso supera el límite especificado, comenzará a incurrir en el costo de uso correspondiente al límite superado. Para obtener información completa sobre los precios, consulte los [precios GuardDuty de los planes de protección](https://aws.amazon.com/guardduty/pricing/#GuardDuty_protection_plans).
El escaneo bajo demanda no está incluido en la capa gratuita.
Para obtener información sobre el costo de uso después de habilitar la protección contra malware para S3, consulte [Revisar el costo de uso de la protección contra malware para S3Revisar el costo de uso](usage-cost-malware-protection-s3-gdu.md).
**Costo de uso del etiquetado de objetos de S3**
Al habilitar la protección contra malware para S3, es opcional habilitar el etiquetado para los objetos de S3 analizados. Si decide habilitar el etiquetado de objetos de S3, existe un coste de uso asociado. Para obtener más información sobre los costos, consulte la pestaña [Administración e información](https://aws.amazon.com/s3/pricing/) en la *página de precios de Amazon S3*.
El costo de uso del etiquetado de objetos de S3 **no está incluido** en el plan de nivel gratuito.
**Amazon S3 APIs : GET y coste PUT de uso**
Se incurrirá en costes de uso cuando GuardDuty ejecute Amazon S3 en función de la APIs función de IAM. Por ejemplo, tras asumir la función de IAM, GuardDuty ejecuta la `PutObject` API para añadir el objeto de prueba al bucket seleccionado. Esto ayuda a GuardDuty evaluar el estado de activación de la función.
Para obtener información sobre los precios de las llamadas a la API de S3 en su página Región de AWS, consulte [Solicitudes y recuperaciones de datos en la pestaña Almacenamiento y solicitudes](https://aws.amazon.com/s3/pricing/#aws-element-86cbc19a-da4c-4c04-bb4f-5c4d1a2de09e) de la página de *precios de Amazon S3*.
# Revisar el costo de uso de la protección contra malware para S3
La cuenta incurrirá en costos de uso cuando se utiliza la protección contra malware para S3 más allá del límite especificado en el plan de nivel gratuito, o al finalizar el periodo de 12 meses del plan de nivel gratuito de la cuenta. Para obtener información sobre el plan de nivel gratuito, consulte [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md). Tenga en cuenta que el plan de nivel gratuito no se aplica al escaneo de objetos bajo demanda de Malware Protection for S3.
La GuardDuty consola no permite revisar el costo de uso de Malware Protection para S3. Para ver el costo de uso, navegue hasta **Cost Explorer** en la [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)consola. Para obtener información sobre la Cuenta de AWS facturación, consulte la [Guía AWS Billing del usuario](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Para obtener información sobre el costo de uso estimado en GuardDuty, consulte[Monitorear el uso y estimar los costos](monitoring_costs.md).
# ¿Cómo funciona la protección contra malware para S3?
En esta sección se describen los componentes de la protección contra malware para S3, cómo funciona después de habilitarla para un bucket de S3 y cómo puede revisar el estado y el producto del análisis de malware.
## Descripción general de
Puede activar Malware Protection for S3 para un bucket de Amazon S3 que le pertenezca Cuenta de AWS. GuardDutyle ofrece la flexibilidad necesaria para habilitar esta función en todo su depósito o limitar el alcance del análisis de malware a [prefijos de objetos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) específicos, en el que se GuardDuty analiza cada objeto cargado que comience con uno de los prefijos seleccionados. Puede agregar hasta 5 prefijos. Cuando se habilita la característica para un bucket de S3, ese bucket se denomina **bucket protegido**.
## Permisos de roles de IAM
La protección contra malware para S3 utiliza una función de IAM que le permite GuardDuty realizar las acciones de análisis de malware en su nombre. Estas acciones incluyen recibir una notificación de los objetos recién cargados en el bucket seleccionado, analizar dichos objetos y, opcionalmente, agregar etiquetas a los objetos analizados. Este es un requisito previo para configurar el bucket de S3 con esta característica.
Tiene la opción de actualizar un rol de IAM existente o crear un nuevo rol para este propósito. Al habilitar la protección contra malware para S3 para más de un bucket, podrá actualizar el rol de IAM existente de modo que incluya el nombre del otro bucket, según sea necesario. Para obtener más información, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
## Etiquetado opcional de objetos en función del resultado del análisis
Al habilitar la protección contra malware para S3 para el bucket, es posible seguir un paso opcional para habilitar el etiquetado de los objetos de S3 analizados. El rol de IAM ya incluye el permiso para agregar etiquetas al objeto después del análisis. Sin embargo, solo GuardDuty añadirá etiquetas cuando habilites esta opción en el momento de la configuración.
Debe habilitar esta opción antes de que se cargue un objeto. Una vez finalizado el escaneo, GuardDuty agrega una etiqueta predefinida al objeto S3 escaneado con el siguiente par clave-valor:
`GuardDutyMalwareScanStatus`:`Potential scan result`
Los posibles valores de la etiqueta del producto del análisis son `NO_THREATS_FOUND`, `THREATS_FOUND`, `UNSUPPORTED`, `ACCESS_DENIED` y `FAILED`. Para obtener más información acerca de estos valores, consulte [Estado potencial de análisis de objeto de S3 y estado del producto](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
Habilitar el etiquetado es una de las formas de conocer el producto del análisis del objeto de S3. Además, puede utilizar estas etiquetas para agregar una política de recursos de S3 de control de acceso basado en etiquetas (TBAC), de modo que pueda tomar medidas respecto a los objetos potencialmente maliciosos. Para obtener más información, consulte [Agregar TBAC en el recurso del bucket de S3](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
Recomendamos que habilite el etiquetado en el momento de configurar la protección contra malware para S3 para el bucket. Si habilita el etiquetado después de cargar un objeto y, posiblemente, se inicie el escaneo, no GuardDuty podrá añadir etiquetas al objeto escaneado. Para obtener información sobre el costo asociado al etiquetado de objetos de S3, consulte [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md).
## Proceso posterior a la habilitación de la protección contra malware para S3 para un bucket
Tras habilitar la protección contra malware para S3, se creará un **recurso del plan de protección contra malware** exclusivo para el bucket de S3 seleccionado. Este recurso está asociado a un ID de plan de protección contra malware, que es un identificador único para el recurso protegido. Al usar uno de los permisos de IAM, crea GuardDuty y administra una regla EventBridge administrada con el nombre de. `DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*`
### Cómo GuardDuty gestiona sus datos: barreras para la protección de datos
Malware Protection for S3 escucha las EventBridge notificaciones de Amazon. Cuando se carga un objeto en el depósito seleccionado o en uno de los prefijos, GuardDuty descarga ese objeto del depósito de S3 mediante un [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html)y, a continuación, lo lee, descifra y escanea en un entorno aislado de la misma región. El entorno de análisis se ejecuta en una nube privada virtual (VPC) bloqueada sin acceso a Internet. La VPC está conectada a un grupo de reglas de firewall de DNS que permite la comunicación solo con los dominios que son propietarios de la lista de permitidos. AWS Durante el análisis, almacena GuardDuty temporalmente el objeto S3 descargado en el entorno de análisis cifrado con las claves [AWS Key Management Service ()AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
**nota**
De forma predeterminada, todos los Amazon S3 APIs incluidos en el [tipo de evento creado por objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventBridge.html) en la *Guía del usuario de Amazon S3* iniciarán el escaneo de Malware Protection for S3.
Estos *tipos de eventos* incluyen [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)[POST Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html) y [CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html). [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
Para obtener información sobre la metodología de detección de GuardDuty malware y los motores de análisis que utiliza, consulte[GuardDuty motor de escaneo de detección de malware](guardduty-malware-detection-scan-engine.md).
Una vez finalizado el análisis de software malicioso, GuardDuty procesa los metadatos del análisis con el estado del análisis y, a continuación, elimina la copia descargada del objeto.
GuardDuty limpia el entorno de escaneo cada vez antes de que comience un nuevo escaneo. GuardDuty utiliza una autorización condicionada para el acceso del operador al entorno de digitalización, y todas las solicitudes de acceso se revisan, aprueban y auditan.
### Revisar el estado y el producto del análisis de objetos del S3
GuardDuty publica el evento resultante del escaneo de objetos de S3 en el bus de eventos EventBridge predeterminado de Amazon. GuardDuty también envía a Amazon las métricas de escaneo, como el número de objetos escaneados y los bytes escaneados CloudWatch. Si has activado el etiquetado, GuardDuty añadirá la etiqueta predefinida `GuardDutyMalwareScanStatus` y un posible resultado del escaneo como valor de la etiqueta.
**importante**
GuardDuty utiliza la at-least-once entrega, lo que significa que puede recibir varios resultados de escaneo para el mismo objeto. Le recomendamos que diseñe sus aplicaciones para gestionar los resultados duplicados. Solo se le facturará una vez por cada objeto analizado.
Para obtener más información, consulte [Supervisión de los análisis de objetos de S3 en la protección contra malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
### Revisar los resultados generados
La revisión de los resultados dependerá de si utiliza o no Malware Protection for S3 con GuardDuty. Considere los siguientes escenarios:
**Uso de la protección contra malware para S3 cuando el GuardDuty servicio está activado (ID del detector)**
Si el análisis de malware detecta un archivo potencialmente malicioso en un objeto S3, GuardDuty generará un hallazgo asociado. Puede ver los detalles del resultado y seguir los pasos recomendados para remediarlo potencialmente. En función de la [frecuencia de las búsquedas de exportación, las conclusiones](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency) generadas se exportan a un bucket de S3 y a un bus de EventBridge eventos.
Para obtener información sobre el tipo de resultado que se generará, consulte [Tipo de resultado de la protección contra malware para S3](gdu-malware-protection-s3-finding-types.md).
**Utilizar la protección contra malware para S3 como una característica independiente (sin ID de detector)**
GuardDuty no podrá generar resultados porque no hay un ID de detector asociado. Para conocer el estado del análisis de malware con objetos S3, puede ver el resultado del análisis que GuardDuty se publica automáticamente en su bus de eventos predeterminado. También puede ver las CloudWatch métricas para evaluar la cantidad de objetos y bytes que se GuardDuty intentaron escanear. Puede configurar CloudWatch alarmas para recibir notificaciones sobre los resultados del escaneo. Si ha habilitado el etiquetado de objetos de S3, también podrá ver el estado del análisis de malware si comprueba en el objeto de S3 la clave de la etiqueta `GuardDutyMalwareScanStatus` y el valor de la etiqueta del producto del análisis.
Para obtener información sobre el estado y el producto del análisis de objetos de S3, consulte [Supervisión de los análisis de objetos de S3 en la protección contra malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
# Capacidades de la protección contra malware para S3
La siguiente lista ofrece una descripción general de lo que puede esperar o realizar después de habilitar la protección contra malware para S3 en el bucket:
+ **Elija qué analizar**: analice los archivos a medida que se cargan en todos los prefijos o en prefijos específicos (hasta 5) asociados al bucket de S3 seleccionado.
+ **Análisis automáticos de los objetos cargados**: una vez que actives Malware Protection for S3 para un bucket, se GuardDuty iniciará automáticamente un análisis para detectar el posible malware en un objeto recién cargado.
+ **Escaneos bajo demanda**: puede iniciar escaneos de objetos existentes o volver a escanear objetos escaneados anteriormente. Para obtener más información, consulte [Escaneo de malware S3 bajo demanda GuardDuty](malware-protection-s3-on-demand.md).
+ **Actívela a través de la consola, mediante API/AWS CLI o CloudFormation** elija el método que prefiera para activar la protección contra malware para S3.
Puede habilitar la protección contra malware para S3 por medio de plataformas de infraestructura como código (IaC), como *Terraform*. Para obtener más información, consulte [Recurso: `aws_guardduty_malware_protection_plan`](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/guardduty_malware_protection_plan).
+ **Formatos de archivo compatibles, cuotas de la protección contra malware para S3 y características de Amazon S3**: la protección contra malware para S3 es compatible con todos los formatos de archivo que se pueden cargar en un bucket de S3. Si el archivo cargado está protegido con contraseña y GuardDuty es capaz de detectar la presencia de una protección por contraseña para el tipo de archivo cargado, GuardDuty intentará escanear el contenido original con contraseñas comunes. Si la contraseña falla, se omitirá el escaneo. GuardDuty no puede detectar la presencia de protección por contraseña en todos los formatos de archivo. Si no GuardDuty puede detectar la presencia de una protección con contraseña, GuardDuty seguirá escaneando el contenido cifrado.
Para obtener información sobre las cuotas relacionadas con el tamaño de los objetos, el nivel máximo de profundidad del archivo y otros detalles, consulte [Cuotas en la protección contra malware para S3](malware-protection-s3-quotas-guardduty.md).
Para obtener información sobre si una característica de Amazon S3 es compatible, consulte [Compatibilidad con las características de Amazon S3](supported-s3-features-malware-protection-s3.md).
+ **Admite el etiquetado de objetos S3 escaneados**: si lo [Etiquetado opcional de objetos en función del resultado del análisis](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3) habilitas, después de cada análisis de malware, GuardDuty se añadirá una etiqueta que indica el estado del escaneo. Puede utilizar esta etiqueta para configurar el control de acceso basado en etiquetas (TBAC) para los objetos de S3. Por ejemplo, puede restringir el acceso a los objetos de S3 indicados como maliciosos y cuyo valor de etiqueta sea `THREATS_FOUND`.
+ ** EventBridge Notificaciones de Amazon**: GuardDuty envía eventos a Amazon EventBridge cuando el estado de los recursos del plan de protección contra malware cambia o cuando se completa un análisis de malware del objeto S3. Estos eventos se envían al bus de eventos predeterminado. Puede usar EventBridge estos eventos para escribir reglas que tomen medidas, como monitorear cuándo ocurren estos eventos. Para obtener más información, consulte [Supervisión de escaneos de objetos de S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ **CloudWatch métricas**: consulta CloudWatch las métricas para activar las alarmas en determinados estados de detección de malware. Para obtener más información, consulte [Métricas de estado del escaneo de objetos de S3 en CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md).
# (Opcional) Comience a utilizar GuardDuty Malware Protection para S3 de forma independiente (solo en la consola)
Utilice este paso opcional si quiere empezar a utilizar la opción de detección de amenazas de Malware Protection for S3, independientemente del GuardDuty estado en el que se encuentre Cuenta de AWS.
Si también quieres utilizar otros planes de protección dedicados GuardDuty, debes empezar con el GuardDuty servicio de Amazon. Para obtener información sobre los planes de GuardDuty protección, consulte[Características de GuardDuty](what-is-guardduty.md#features-of-guardduty). Si ya lo ha activado GuardDuty en su cuenta, puede omitir este paso y continuar con él[Configurar la protección contra malware para S3 para el bucket](configuring-malware-protection-for-s3-guardduty.md).
**Pasos para comenzar a utilizar la detección de amenazas de la protección contra malware para S3 únicamente**
1. Inicia sesión en Consola de administración de AWS y abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Seleccione **Protección contra GuardDuty malware únicamente para S3**. Esto ayuda a detectar si un archivo recién cargado en el bucket de Amazon Simple Storage Service (Amazon S3) potencialmente contiene malware.
![\[Seleccione la opción Protección contra GuardDuty malware únicamente para S3 y, a continuación, elija Comenzar.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/select-malware-protection-for-s3-console.png)
1. Elija **Comenzar**. Ahora puede continuar con los pasos que se indican en [Configurar la protección contra malware para S3 para el bucket](configuring-malware-protection-for-s3-guardduty.md).
# Configurar la protección contra malware para S3 para el bucket
Para que la protección contra malware para S3 analice y (opcionalmente) agregue etiquetas a los objetos de S3, puede utilizar roles de servicio que tengan los permisos necesarios para realizar acciones de análisis de malware en su nombre. Para obtener más información sobre el uso de roles de servicio para habilitar la protección contra malware para S3, consulte [Acceso a servicios](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Esta función es diferente de la función [vinculada al servicio GuardDuty Malware Protection](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Si prefiere utilizar funciones de IAM, puede adjuntar una función de IAM que incluya los permisos necesarios para escanear y (opcionalmente) añadir etiquetas a sus objetos de S3. GuardDuty a continuación, asume esta función de IAM para realizar estas acciones en su nombre. Necesitará este nombre de rol de IAM a la hora de habilitar este plan de protección para el bucket de Amazon S3.
Si utiliza roles de IAM, cada vez que desee proteger un bucket de Amazon S3, deberá seguir los dos pasos que se indican en esta sección.
Para habilitar la protección contra malware para S3, necesitará detalles, como el nombre del bucket de S3, los prefijos de objetos si desea centrar la protección en prefijos específicos y el nombre del rol de IAM con los permisos necesarios.
Los pasos siguen siendo los mismos tanto si empieza a utilizar Malware Protection para S3 de forma independiente como si lo habilita como parte del GuardDuty servicio.
**Temas**
1. [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md)
1. [Habilitar la protección contra malware para S3 para el bucket](enable-malware-protection-s3-bucket.md)
1. [Solución de problemas de errores de permisos de roles de IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Habilitar la protección contra malware para S3 para el bucket
En esta sección se indican los pasos detallados que se deben seguir para habilitar la protección contra malware para S3 en un bucket de una cuenta propia. Revise las siguientes consideraciones antes de continuar:
+ Cuando habilita este plan de protección mediante la GuardDuty consola, incluye el paso para crear un nuevo rol o usar un rol existente en la sección **Acceso al servicio**.
+ Cuando habilita este plan de protección mediante la GuardDuty API o la CLI, debe hacerlo [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md) antes de continuar.
+ Independientemente de cómo habilite este plan de protección, debe tener lo el [Permisos para crear un recurso de plan de protección contra malware](#malware-protection-s3-permissions-prerequisite) requerido.
**Pensar la limitación de los buckets de Amazon S3**
La limitación de S3 podría limitar la velocidad a la que se pueden transferir datos hacia o desde sus buckets de Amazon S3. Esto podría retrasar los análisis de malware de los objetos recién cargados.
Si espera que sus buckets de S3 reciban grandes volúmenes de solicitudes de `GET` y `PUT`, considere implementar medidas para evitar que se limiten. Para obtener información sobre cómo hacerlo, consulte [Evitar la limitación de Amazon S3](https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-s3-throttling.html) en la *Guía del usuario de Amazon Athena*.
**Topics**
## Permisos para crear un recurso de plan de protección contra malware
Al habilitar Malware Protection for S3 para un bucket de Amazon S3, GuardDuty crea un recurso del plan de protección contra malware que actúa como identificador del plan de protección del bucket. Si aún no utiliza el [AWS política gestionada: AmazonGuardDutyFullAccess\$1v2 (recomendada)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2), debe agregar los siguientes permisos para crear este recurso:
+ `guardDuty:CreateMalwareProtectionPlan`
+ `iam:PassRole`
Puedes usar el siguiente ejemplo de política personalizada y sustituirlo por los valores adecuados para tu cuenta: *placeholder values*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"guardduty:CreateMalwareProtectionPlan"
],
"Resource": "*"
}
]
}
```
------
## Habilitar la protección contra malware para S3 mediante GuardDuty la consola
En las siguientes secciones se proporciona un step-by-step tutorial tal y como se verá en la GuardDuty consola.
**Para habilitar la protección contra malware para S3 mediante la consola GuardDuty **
### Ingrese los detalles del bucket de S3
Siga los pasos que se indican a continuación para proporcionar los detalles del bucket de Amazon S3:
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee activar la protección contra malware para S3.
1. En el panel de navegación, elija **Protección contra malware para S3**.
1. En la sección **Depósitos protegidos**, seleccione **Activar** para activar la protección contra malware para S3 en un depósito de S3 que le Cuenta de AWS pertenezca.
1. En **Ingresar detalles del bucket de S3**, ingrese el nombre del **bucket de Amazon S3**. O bien, seleccione **Examinar S3** para seleccionar un bucket de S3.
El compartimento Región de AWS de S3 y el lugar en el que Cuenta de AWS se habilita la protección contra malware para S3 deben ser iguales. Por ejemplo, si la cuenta pertenece a la región `us-east-1`, la región del bucket de Amazon S3 también debe ser `us-east-1`.
1. En **Prefijo**, puede seleccionar **Todos los objetos del bucket de S3** u O**bjetos que comiencen con un prefijo específico**.
+ Seleccione **Todos los objetos del depósito de S3** cuando desee y GuardDuty podrá escanear todos los objetos recién cargados del depósito seleccionado.
+ Seleccione **Objetos que comienzan con un prefijo específico** cuando desee analizar los objetos recién cargados que pertenezcan a un prefijo específico. Esta opción sirve para focalizar el alcance del análisis de malware únicamente en los prefijos de objetos seleccionados. Para obtener más información sobre el uso de prefijos, consulte [Organizar objetos en la Consola de Amazon S3 mediante carpetas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) en la *Guía del usuario de Amazon S3*.
Elija **Agregar prefijo** e ingrese el prefijo. Puede agregar hasta cinco prefijos.
### Habilite el etiquetado para los objetos analizados
Se trata de un paso **opcional**. Si activas la opción de etiquetado antes de que un objeto se cargue en tu depósito, después de completar el escaneo, GuardDuty añadirá una etiqueta predefinida con la clave as `GuardDutyMalwareScanStatus` y el valor como resultado del escaneo. Para utilizar la protección contra malware para S3 de forma óptima, recomendamos habilitar la opción de agregar etiquetas a los objetos de S3 una vez finalizado el análisis. Se aplica el costo estándar de etiquetado de objetos de S3. Para obtener más información, consulte [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md).
**¿Por qué debería habilitar el etiquetado?**
+ Habilitar el etiquetado es una de las formas de conocer el resultado del análisis de malware. Para obtener información sobre el resultado de un análisis de malware de S3, consulte [Supervisión de los análisis de objetos de S3 en la protección contra malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
+ Configure la política de control de acceso basado en etiquetas (TBAC) en el bucket de S3 que contiene el objeto potencialmente malicioso. Para obtener información sobre las consideraciones y la forma de aplicar el control de acceso basado en etiquetas (TBAC), consulte [Utilizar el control de acceso basado en etiquetas (TBAC) con la protección contra malware para S3](tag-based-access-s3-malware-protection.md).
**Consideraciones GuardDuty para añadir una etiqueta a su objeto de S3:**
+ De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto. Para obtener más información, consulte [Categorizar el almacenamiento mediante etiquetas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) en la *Guía del usuario de Amazon S3*.
Si las 10 etiquetas ya están en uso, no GuardDuty se puede añadir la etiqueta predefinida al objeto escaneado. GuardDuty también publica el resultado del escaneo en el bus de EventBridge eventos predeterminado. Para obtener más información, consulte [Supervisión de escaneos de objetos de S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Si la función de IAM seleccionada no incluye el permiso para GuardDuty etiquetar el objeto de S3, ni siquiera con el etiquetado activado en el depósito protegido, no GuardDuty podrá añadir una etiqueta a este objeto de S3 escaneado. Para obtener más información sobre el permiso de rol de IAM necesario para el etiquetado, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
GuardDuty también publica el resultado del escaneo en el bus de EventBridge eventos predeterminado. Para obtener más información, consulte [Supervisión de escaneos de objetos de S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
**Para seleccionar una opción en **Etiquetar objetos analizados****
+ Cuando **desee** añadir etiquetas GuardDuty a los objetos S3 escaneados, seleccione **Etiquetar objetos**.
+ Si **no desea** añadir etiquetas GuardDuty a los objetos S3 escaneados, seleccione **No etiquetar objetos**.
### Acceso a los servicios
Siga los pasos que se indican a continuación para elegir un rol de servicio existente o crear un nuevo rol de servicio que cuente con los permisos necesarios para realizar acciones de análisis de malware en su nombre. Entre esas acciones se incluye el análisis de objetos de S3 recién cargados y (opcionalmente) la adición de etiquetas a esos objetos. Para obtener información sobre los permisos que tendrá el rol, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
En la sección **Acceso al servicio**, puede realizar una de las siguientes acciones:
1. **Crear y utilizar un nuevo rol de servicio**: puede utilizar la opción de crear un nuevo rol de servicio que cuente con los permisos necesarios para realizar el análisis de malware.
En el **nombre del rol**, puede elegir usar el nombre rellenado previamente GuardDuty o introducir un nombre significativo de su elección para identificar el rol. Por ejemplo, `GuardDutyS3MalwareScanRole`. El nombre del rol debe tener entre 1 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, and '\$1=,.@-\$1'.
1. **Utilizar un rol de servicio existente**: puede elegir un rol de servicio existente de la lista **Nombre del rol de servicio**.
1. En **Plantilla de política** puede ver la política que corresponde al bucket de S3. Asegúrese de que ha ingresado o seleccionado un bucket de S3 en la sección de detalles **Ingrese el bucket de S3**.
1. En **Nombre de rol de servicio**, elija un rol de servicio de la lista de roles de servicio.
Puede realizar cambios en la política en función de sus necesidades Para obtener más información sobre cómo crear o actualizar un rol de IAM, consulte [Crear o actualizar una política de rol de IAM](https://docs.aws.amazon.com//guardduty/latest/ug/malware-protection-s3-iam-policy-prerequisite.html).
Si tiene problemas con los permisos de los roles de IAM, consulte [Solución de problemas de errores de permisos de roles de IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
### (Opcional) Etiquetar el ID del plan de protección contra malware
Este es un paso opcional que ayuda a agregar etiquetas al recurso del plan de protección contra malware que se creará para el recurso de bucket de S3.
Cada etiqueta consta de dos partes: una clave de etiqueta y un valor de etiqueta opcional. Para obtener más información sobre el etiquetado y sus ventajas, consulte Recursos sobre [etiquetado AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Para agregar etiquetas al recurso del plan de protección contra malware**
1. Ingrese la **Clave** y un **Valor** opcional para la etiqueta. Tanto la clave como el valor de la etiqueta distinguen entre mayúsculas y minúsculas. Para obtener información sobre los nombres de clave y valor de etiqueta, consulte [Límites y requisitos al asignar nombres a las etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
1. Para agregar más etiquetas al recurso del plan de protección contra malware, seleccione **Agregar nueva etiqueta** y repita el paso anterior. Puede agregar hasta 50 etiquetas a cada recurso de .
1. Seleccione **Habilitar**.
## Habilitar la protección contra malware para S3 mediante la API o la CLI
En esta sección se incluyen los pasos que debe seguir para activar la protección contra malware para S3 mediante programación en su entorno. AWS Para esto se requiere el nombre de recurso de Amazon (ARN) del rol de IAM que creó en este paso: [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Para habilitar la protección contra malware para S3 mediante programación por medio de la API o la CLI**
+ **Por medio de la API**
Ejecute [CreateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMalwareProtectionPlan.html)para habilitar la protección contra malware para S3 en un bucket que pertenezca a su propia cuenta.
+ **Mediante el uso de AWS CLI**
En función de cómo desee activar la protección contra malware para S3, en la siguiente lista se proporcionan AWS CLI ejemplos de comandos para un caso de uso específico. Cuando ejecute estos comandos, sustituya el*placeholder examples shown in red*, por los valores adecuados para su cuenta.
**AWS CLI comandos de ejemplo**
+ Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito sin etiquetar los objetos de S3 escaneados:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
+ Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito con prefijos de objetos específicos y sin etiquetar los objetos de S3 escaneados:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
+ Utilice el siguiente AWS CLI comando para activar la protección contra malware para S3 en un depósito con el etiquetado de objetos escaneados de S3 activado:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Después de ejecutar estos comandos correctamente, se generará un ID único de plan de protección contra malware. Para realizar acciones, como actualizar o desactivar el plan de protección del bucket, necesitará este ID de plan de protección contra malware.
Si tiene problemas con los permisos de los roles de IAM, consulte [Solución de problemas de errores de permisos de roles de IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
# Crear o actualizar la política del rol de IAM
Para que la protección contra malware para S3 analice y (opcionalmente) agregue etiquetas a los objetos de S3, puede utilizar roles de servicio que tengan los permisos necesarios para realizar acciones de análisis de malware en su nombre. Para obtener más información sobre el uso de roles de servicio para habilitar la protección contra malware para S3, consulte [Acceso a servicios](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Esta función es diferente de la función [vinculada al servicio GuardDuty Malware Protection](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Si prefiere utilizar roles de IAM, puede asociar un rol de IAM que incluya los permisos necesarios para analizar y (opcionalmente) agregar etiquetas a los objetos de S3. Debe crear un rol de IAM o actualizar un rol existente para incluir estos permisos. Dado que estos permisos son necesarios para cada bucket de Amazon S3 para el que habilite la protección contra malware para S3, deberá seguir este paso para cada bucket de Amazon S3 que desee proteger.
En la siguiente lista se explica cómo determinados permisos ayudan a GuardDuty realizar el análisis de malware en tu nombre:
+ Permita que Amazon EventBridge Actions cree y gestione la regla EventBridge gestionada para que Malware Protection for S3 pueda escuchar sus notificaciones de objetos de S3.
Para obtener más información, consulta [las reglas EventBridge gestionadas por Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) en la *Guía del EventBridge usuario de Amazon*.
+ Permita que Amazon S3 y EventBridge Actions envíen notificaciones EventBridge para todos los eventos de este bucket
Para obtener más información, consulte [Habilitar Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) en la *Guía del usuario de Amazon S3*.
+ Permita que las acciones de Amazon S3 accedan al objeto de S3 cargado y agreguen una etiqueta predefinida, `GuardDutyMalwareScanStatus`, al objeto de S3 analizado. Al utilizar un prefijo de objeto, agregue una condición `s3:prefix` únicamente en los prefijos de destino. Esto GuardDuty impide el acceso a todos los objetos de S3 del bucket.
+ Permita que las acciones de clave de KMS accedan al objeto antes de analizar y colocar un objeto de prueba en buckets con el cifrado DSSE-KMS y SSE-KMS admitido.
**nota**
Este paso es necesario cada vez que habilite la protección contra malware para S3 para un bucket en la cuenta. Si ya cuenta con un rol de IAM existente, puede actualizar su política de forma que incluya los detalles de otro recurso de bucket de Amazon S3. El tema [Agregar permisos de política de IAM](#attach-iam-policy-s3-malware-protection) proporciona un ejemplo de cómo hacerlo.
Utilice las siguientes políticas para crear o actualizar un rol de IAM.
**Topics**
+ [Agregar permisos de política de IAM](#attach-iam-policy-s3-malware-protection)
+ [Agregar la política de relación de confianza](#add-iam-trust-policy-s3-malware-protection)
## Agregar permisos de política de IAM
Puede optar por actualizar la política en línea de un rol de IAM existente o crear un nuevo rol de IAM. Para obtener información sobre los pasos, consulte [Crear un rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) o [Modificar una política de permisos de rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) en la *Guía del usuario de IAM*.
Agregue la siguiente plantilla de permisos al rol de IAM que prefiera. Sustituya los siguientes valores de marcador de posición por los valores apropiados asociados a la cuenta:
+ Para*amzn-s3-demo-bucket*, sustitúyalo por el nombre de tu bucket de Amazon S3.
Para utilizar el mismo rol de IAM para más de un recurso de bucket de S3, actualice una política existente como se muestra en el siguiente ejemplo:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Asegúrese de agregar una coma (,) antes de agregar un nuevo ARN asociado al bucket de S3. Repita este paso siempre que haga referencia a un `Resource` de bucket de S3 en la plantilla de política.
+ Para*111122223333*, sustitúyalo por tu Cuenta de AWS ID.
+ Para*us-east-1*, sustitúyalo por tu Región de AWS.
+ Sustituya *APKAEIBAERJR2EXAMPLE* por el identificador de clave administrada por el cliente. Si su depósito de S3 está cifrado mediante una AWS KMS clave, añadimos los permisos correspondientes si elige la opción [Crear un nuevo rol](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) al configurar la protección contra malware para su depósito.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Plantilla de la política del rol de IAM**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Agregar la política de relación de confianza
Asocie la siguiente política de confianza al rol de IAM. Para obtener más información sobre los pasos, consulte [Modificar una política de confianza del rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Solución de problemas de errores de permisos de roles de IAM
Al habilitar Malware Protection para S3, GuardDuty comprueba si su función de servicio de IAM tiene los permisos necesarios para validar la propiedad del bucket de Amazon S3. Si estos permisos faltan o están mal configurados, es posible que reciba el siguiente mensaje:
```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```
Los siguientes escenarios pueden ayudarlo a solucionar este error:
**Faltan permisos para el rol de IAM**
+ El rol de IAM debe tener los permisos necesarios para permitir la protección contra malware para que S3 asuma el rol.
+ GuardDuty valida la propiedad del bucket con el `"s3:ListBucket"` permiso. Debe estar presente en el rol de IAM que se utiliza.
Para obtener información acerca de los permisos, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Disponibilidad del rol de IAM**
+ Al crear un nuevo rol de IAM, espere unos minutos para que los cambios alcancen una coherencia final antes de activar la protección contra malware para S3. Si intenta activar el plan de protección inmediatamente después de crear el rol, la validación podría fallar.
+ En el caso de las implementaciones de Infrastructure as Code (IaC), GuardDuty recomienda declarar una dependencia de los recursos para garantizar que la función de IAM alcance una coherencia definitiva.
[Para ver ejemplos de plantillas sobre cómo hacerlo, consulta el repositorio. GuardDuty GitHub](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk)
**Habilitación entre regiones**
Asegúrese de que su bucket de Amazon S3 esté en la misma región en la que está habilitando Malware Protection for S3 GuardDuty.
# Pasos a seguir tras habilitar la protección contra malware para S3
En esta sección se indican los pasos que puede seguir tras habilitar la protección contra malware para S3 para un bucket. Los siguientes pasos se presentan en un orden que facilita avanzar en las próximas etapas:
**A seguir después de habilitar la protección contra malware para S3 para el bucket**
1. **Agregue la política de recursos de control de acceso basado en etiquetas (TBAC)**: al habilitar el etiquetado, antes de cargar un objeto en el bucket seleccionado, asegúrese de agregar la política TBAC al recurso del bucket de S3. Para obtener más información, consulte [Agregar TBAC en el recurso del bucket de S3](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
1. **Supervise el estado del plan de protección contra malware**: supervise la columna **Estado** para cada bucket protegido. Para obtener información sobre los posibles estados y su significado, consulte [Consulta y lectura del estado del bucket protegido](malware-protection-s3-bucket-status-gdu.md).
1. **Inicie un escaneo** seleccionando una de las siguientes opciones:
+ **Cargar un objeto**:
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Cargue un archivo en el bucket de S3 o en el prefijo de objeto para el que habilitó esta característica. Para conocer los pasos para cargar un archivo, consulte [Cargar un objeto en el bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/uploading-an-object-bucket.html) en la *Guía del usuario de Amazon S3*.
+ **Inicie un análisis bajo demanda**: [Escaneo de malware S3 bajo demanda GuardDuty](malware-protection-s3-on-demand.md)
1. **Supervise el estado del análisis del objeto de S3 y el producto del análisis**: este paso incluye información sobre cómo comprobar el estado del análisis de malware del objeto de S3.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/malware-protection-s3-steps-after-enabling.html)
# Escaneo de malware S3 bajo demanda GuardDuty
GuardDuty Malware Protection for S3 monitorea continuamente las nuevas subidas a S3. En el caso de los objetos que existían antes de activar la protección, o para volver a escanear los objetos previamente escaneados, puede iniciar un análisis de malware de S3 bajo demanda una vez que haya activado el plan de protección contra GuardDuty malware para su depósito.
El análisis de malware bajo demanda utiliza la función de IAM del plan de protección contra malware para acceder a los objetos y aplicar la configuración. El análisis anulará cualquier prefijo configurado en el plan de protección contra malware para el paquete.
**nota**
La cuota de protección contra malware para S3 se aplica al análisis de malware bajo demanda. Para obtener más información, consulte[Cuotas en la protección contra malware para S3](malware-protection-s3-quotas-guardduty.md).
Para obtener más información sobre los precios, consulte [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md).
## Requisitos previos
Antes de iniciar un análisis de software malicioso bajo demanda, su cuenta debe cumplir los siguientes requisitos previos:
+ La protección contra malware para S3 está habilitada en el depósito de destino. Para obtener más información, consulte [Configurar la protección contra malware para S3 para el bucket](configuring-malware-protection-for-s3-guardduty.md).
+ La [AWS política gestionada: AmazonGuardDutyFullAccess\$1v2 (recomendada)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) política se adjunta al usuario de IAM o al rol de IAM que invoca la API.
## Inicie un análisis de malware bajo demanda
Utilice la operación [SendObjectMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_SendObjectMalwareScan.html)API, que requiere la ruta del objeto S3 como entrada.
------
#### [ API/CLI ]
Puede escanear la última versión del objeto o especificar una versión concreta para escanearlo.
Para escanear una versión específica de un objeto:
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE", "VersionId": "d41d8cd98f00b204e9800998eEXAMPLE"}'
```
Para escanear la versión más reciente de un objeto:
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE"}'
```
------
**importante**
Una llamada a la API correcta confirma que se ha aceptado la solicitud de escaneo. Sin embargo, es importante supervisar los resultados del escaneo para garantizar que se complete correctamente e identificar cualquier problema, como errores al acceder al objeto. Para obtener más información, consulte [Supervisión de los análisis de objetos de S3 en la protección contra malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
# Utilizar el control de acceso basado en etiquetas (TBAC) con la protección contra malware para S3
Al habilitar la protección contra malware para S3 para el bucket, podrá optar por habilitar el etiquetado. Tras intentar escanear un objeto S3 recién cargado en el depósito seleccionado, GuardDuty añade una etiqueta al objeto escaneado para indicar el estado del análisis de malware. Habilitar el etiquetado conlleva un costo de uso directo. Para obtener más información, consulte [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md).
GuardDuty utiliza una etiqueta predefinida con la clave como `GuardDutyMalwareScanStatus` y el valor como uno de los estados de detección de malware. Para obtener información sobre estos valores, consulte [Estado potencial de análisis de objeto de S3 y estado del producto](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
**Consideraciones GuardDuty para añadir una etiqueta a su objeto S3:**
+ De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto. Para obtener más información, consulte [Categorizar el almacenamiento mediante etiquetas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) en la *Guía del usuario de Amazon S3*.
Si las 10 etiquetas ya están en uso, no GuardDuty se puede añadir la etiqueta predefinida al objeto escaneado. GuardDuty también publica el resultado del escaneo en el bus de EventBridge eventos predeterminado. Para obtener más información, consulte [Supervisión de escaneos de objetos de S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Si la función de IAM seleccionada no incluye el permiso para GuardDuty etiquetar el objeto de S3, ni siquiera con el etiquetado activado en el depósito protegido, no GuardDuty podrá añadir una etiqueta a este objeto de S3 escaneado. Para obtener más información sobre el permiso de rol de IAM necesario para el etiquetado, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
GuardDuty también publica el resultado del escaneo en el bus de EventBridge eventos predeterminado. Para obtener más información, consulte [Supervisión de escaneos de objetos de S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
## Agregar TBAC en el recurso del bucket de S3
Puede utilizar las políticas de recursos de bucket de S3 para administrar el control de acceso basado en etiquetas (TBAC) para los objetos de S3. Puede proporcionar acceso a usuarios específicos para acceder y leer el objeto de S3. Si tiene una organización que se creó mediante el uso AWS Organizations, debe garantizar que nadie pueda modificar las etiquetas añadidas por ella GuardDuty. Para obtener más información, consulte [Impedir que las etiquetas sean modificadas salvo por las entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations *. El ejemplo utilizado en el tema vinculado menciona `ec2`. Cuando utilice este ejemplo, *ec2* sustitúyalo por`s3`.
En la siguiente lista se explica lo que puede hacer mediante TBAC:
+ Impida que todos los usuarios, excepto la entidad principal del servicio de protección contra malware para S3, lean los objetos de S3 que aún no estén etiquetados con el siguiente par de clave y valor de etiqueta:
`GuardDutyMalwareScanStatus`:`Potential key value`
+ Solo se GuardDuty permite añadir la clave de etiqueta `GuardDutyMalwareScanStatus` con un valor como resultado del escaneo a un objeto S3 escaneado. La siguiente plantilla de política puede autorizar a determinados usuarios con acceso a anular potencialmente el par de clave y valor de la etiqueta.
**Ejemplo de política de recursos del bucket de S3:**
Sustituya los siguientes valores de marcador en la política de ejemplo:
+ *IAM-role-name*- Indique en su bucket la función de IAM que utilizó para configurar la protección contra malware para S3.
+ *555555555555*- Proporcione la información Cuenta de AWS asociada al depósito protegido.
+ *amzn-s3-demo-bucket*- Proporcione el nombre del depósito protegido.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "NoReadUnlessClean",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
}
}
},
{
"Sid": "OnlyGuardDutyCanTagScanStatus",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": "s3:PutObjectTagging",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ForAnyValue:StringEquals": {
"s3:RequestObjectTagKeys": "GuardDutyMalwareScanStatus"
}
}
}
]
}
```
------
Podrá obtener más información sobre el etiquetado del recurso S3 en [Etiquetado y políticas de control de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging-and-policies.html).
# Consulta y lectura del estado del bucket protegido
Después de habilitar la protección contra malware para S3 para un bucket, el estado indica si la característica está configurada y funciona según lo esperado. Este estado está asociado a un identificador (ID) único del plan de protección contra malware. GuardDuty crea este ID en el momento de activar la función.
Utilice el siguiente procedimiento para ver el estado del bucket protegido:
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, seleccione **Protección contra malware para S3**.
1. En la tabla **Buckets protegidos**, consulte la columna **Estado** correspondiente a su **bucket de S3**.
En la siguiente tabla se indican y describen los valores del estado asociados al recurso del plan de protección contra malware. Si entiendes qué significan estos estados para tu depósito protegido, podrás asegurarte de que se GuardDuty inicia un análisis automático de malware cuando se carga un objeto.
| Status | Description (Descripción) |
| --- | --- |
| Activo | El bucket de S3 se ha configurado correctamente con la protección contra malware para S3. Cuando el estado es *Activo*, los cambios en el rol de IAM (eliminación o modificación de permisos) no actualizarán el estado a *Advertencia* ni *Error*. Recomendamos supervisar el estado del análisis de forma continua mediante cualquiera de los métodos descritos en [Supervisión de los análisis de objetos de S3](monitoring-malware-protection-s3-scans-gdu.md). |
| Advertencia**[*](#fix-protection-status-s3-malware)** | La protección contra malware para S3 se diseñó de modo que no se vea afectada cuando aparezca una advertencia. Cuando GuardDuty detecte un nuevo objeto de S3, iniciará un análisis de malware. Después de iniciar el análisis correctamente, es posible que el valor de la columna **Estado** tarde unos minutos en cambiar a **Activo**. Recibirá una EventBridge notificación cuando se actualice el valor de la columna de **estado**. |
| Error**[*](#fix-protection-status-s3-malware)** | El bucket no está protegido. No se completará ninguno de los análisis de malware asociados a este bucket S3. Puede haber una o más causas raíz posibles. |
**\$1**Para obtener información sobre posibles problemas y los pasos correspondientes para resolverlos, consulte [Solución de problemas sobre el estado del plan de protección contra malware](troubleshoot-s3-malware-protection-status-errors.md).
# Supervisión de los análisis de objetos de S3 en la protección contra malware para S3
Al utilizar Malware Protection para S3 con un ID de GuardDuty detector, si su objeto de Amazon S3 es potencialmente malicioso, GuardDuty se generará[Tipo de resultado de la protección contra malware para S3](gdu-malware-protection-s3-finding-types.md). A través de la GuardDuty consola APIs, podrá ver los resultados generados. Para obtener información para comprender este tipo de resultado, consulte [Detalles de los resultados](guardduty_findings-summary.md).
Si se utiliza Malware Protection para S3 sin activarla GuardDuty (sin ID de detector), incluso si el objeto escaneado de Amazon S3 es potencialmente malicioso, no GuardDuty se puede generar ningún hallazgo.
**Topics**
+ [Estado potencial de análisis de objeto de S3 y estado del producto](#s3-object-scan-result-value-malware-protection)
+ [Supervisión de escaneos de objetos de S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md)
+ [Supervisión de los escaneos de objetos de S3 con etiquetas GuardDuty gestionadas](monitor-enable-s3-object-tagging-malware-protection.md)
+ [Métricas de estado del escaneo de objetos de S3 en CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md)
## Estado potencial de análisis de objeto de S3 y estado del producto
Esta sección explica los valores potenciales del estado de análisis de objetos de S3 y los valores del producto del análisis.
Un estado de análisis de objeto de S3 indica el estado del análisis de malware, como completado, omitido o fallido.
Un estado del producto del análisis de malware de objeto de S3 indica el producto del análisis basado en el valor del estado del análisis. Cada valor del estado del producto del análisis de malware se asigna a un estado de análisis.
La siguiente lista proporciona los valores potenciales del producto del análisis de objetos de S3. Si ha habilitado el etiquetado, puede supervisar el producto del análisis mediante [Utilizar etiquetas de objetos de S3](monitor-enable-s3-object-tagging-malware-protection.md). Después del análisis, el valor de la etiqueta tendrá uno de los siguientes valores del producto del análisis.
**Valores potenciales del estado del producto del análisis de malware de objetos de S3.**
+ `NO_THREATS_FOUND`— no GuardDuty detectó ninguna amenaza potencial asociada al objeto escaneado.
+ `THREATS_FOUND`— GuardDuty detectó una amenaza potencial asociada al objeto escaneado.
+ `UNSUPPORTED`: hay algunas razones por las que la protección contra malware para S3 omitirá un análisis. Por ejemplo, archivos protegidos con contraseña, archivos con tasas de compresión extremadamente altas, [Protección contra malware para las cuotas de S3](malware-protection-s3-quotas-guardduty.md) y la incompatibilidad con determinadas características de Amazon S3. Para obtener más información, consulte [Capacidades de la protección contra malware para S3](s3-malware-protection-capability.md).
+ `ACCESS_DENIED`— no GuardDuty puede acceder a este objeto para escanearlo. Compruebe los permisos de rol de IAM asociados a este bucket. Para obtener más información, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
Si ha habilitado el etiquetado de objetos de S3 posterior al análisis, consulte [Solucionar errores en el etiquetado posterior al análisis de objetos de S3](troubleshoot-s3-post-scan-tag-failures.md).
+ `FAILED`— no GuardDuty se puede realizar un análisis de malware en este objeto debido a un error interno.
La siguiente lista proporciona los valores potenciales del estado de análisis de objetos de S3 y su asignación al producto del análisis de objetos de S3.
**Valores potenciales del estado de análisis de objetos de S3.**
+ **Completado**: el análisis se completó correctamente e indica si el objeto S3 tiene malware. En este caso, el valor potencial del producto del análisis de objetos de S3 podría ser `THREATS_FOUND` o `NO_THREATS_FOUND`.
+ **Omitido**: GuardDuty omite un análisis de malware cuando el análisis de este objeto de S3 no es compatible con Malware Protection for S3 o GuardDuty no tiene acceso al objeto de S3 cargado en el depósito seleccionado.
En este caso, el valor potencial del producto del análisis de objetos de S3 podría ser `UNSUPPORTED` o `ACCESS_DENIED`.
GuardDuty también omitirá el análisis si se elimina la función de IAM requerida.
+ **Fallo**: similar al valor del resultado del escaneo de objetos S3`FAILED`, este estado de escaneo significa que no GuardDuty se pudo realizar un escaneo de malware en el objeto S3 debido a un error interno.
# Supervisión de escaneos de objetos de S3 con Amazon EventBridge
*Amazon EventBridge* es un servicio de bus de eventos sin servidor que facilita la conexión de sus aplicaciones con datos de diversas fuentes. EventBridge ofrece un flujo de datos en tiempo real desde sus propias aplicaciones, aplicaciones Software-as-a-Service (SaaS) y AWS servicios, y dirige esos datos a destinos como Lambda. Esto le permite monitorear los eventos que ocurren en los servicios y crear arquitecturas basadas en eventos. Para obtener más información, consulta la [Guía del EventBridge usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
Como cuenta propietaria de un bucket de S3 protegido con Malware Protection for S3, GuardDuty publica EventBridge las notificaciones en el bus de eventos predeterminado en los siguientes escenarios:
+ Cambios en el **estado de los recursos del plan de protección contra malware** para cualquiera de los buckets protegidos. Para obtener información sobre los diversos estados, consulte [Consulta y lectura del estado del bucket protegido](malware-protection-s3-bucket-status-gdu.md).
Para configurar la regla Amazon EventBridge (EventBridge) para el estado del recurso, consulte[Estado del recurso del plan de protección contra malware](#resource-status-malware-protection-s3-ev).
+ El **resultado del escaneo de objetos de S3** se publica en el bus de EventBridge eventos predeterminado.
El campo `s3Throttled` indica si hubo o no un retraso en la carga o recuperación de almacenamiento desde Amazon S3. El valor `true` indica que hubo un retraso, y `false` indica que no hubo retraso.
Si `s3Throttled` es `true` para el producto del análisis, Amazon S3 recomienda configurar los prefijos de manera que ayuden a reducir las transacciones por segundo (TPS) para cada prefijo. Para obtener más información, consulte [Patrones de diseño de prácticas recomendadas: optimización del rendimiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/optimizing-performance.html) en la *Guía del usuario de Amazon S3*.
Para configurar la regla Amazon EventBridge (EventBridge) para los resultados del escaneo de objetos de S3, consulte[Producto del análisis del objeto S3](#s3-object-scan-status-malware-protection-s3-ev).
+ Se produce un **evento de error en la etiqueta posterior al análisis** debido a las siguientes razones:
+ El rol de IAM no tiene los permisos necesarios para etiquetar el objeto.
La [Agregar permisos de política de IAM](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection) plantilla incluye el permiso para GuardDuty etiquetar un objeto.
+ El recurso del bucket o el objeto especificado en el rol de IAM ya no existe.
+ El objeto de S3 asociado ya ha alcanzado el límite máximo de etiquetas. Para obtener más información sobre el límite de etiquetas, consulte [Categorizar el almacenamiento mediante etiquetas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) en la *Guía del usuario de Amazon S3*.
Para configurar la regla Amazon EventBridge (EventBridge) para los eventos de error de etiquetas posteriores al escaneo, consulte[Eventos de error de etiqueta posteriores al análisis](#post-tag-failure-malware-protection-s3-ev).
## Configura las reglas EventBridge
Puede configurar EventBridge reglas en su cuenta para enviar a otra Servicio de AWS persona el estado del recurso, los eventos de error de etiquetas posteriores al escaneo o el resultado del escaneo de objetos de S3. Como cuenta de GuardDuty administrador delegado, recibirá la notificación del estado de los recursos del plan de protección contra malware cuando se produzca un cambio en el estado.
Se aplicará el EventBridge precio estándar. Para obtener más información, consulta los [ EventBridge precios de Amazon](https://aws.amazon.com/eventbridge/pricing/).
Todos los valores que aparecen en *red* son marcadores de posición para el ejemplo. Estos valores cambiarán según los valores de la cuenta y según se detecte o no malware.
**Topics**
+ [Estado del recurso del plan de protección contra malware](#resource-status-malware-protection-s3-ev)
+ [Producto del análisis del objeto S3](#s3-object-scan-status-malware-protection-s3-ev)
+ [Eventos de error de etiqueta posteriores al análisis](#post-tag-failure-malware-protection-s3-ev)
### Estado del recurso del plan de protección contra malware
Puede crear un patrón de EventBridge eventos en función de los siguientes escenarios:
**Valores potenciales de `detail-type`**
+ `"GuardDuty Malware Protection Resource Status Active"`
+ `"GuardDuty Malware Protection Resource Status Warning"`
+ `"GuardDuty Malware Protection Resource Status Error"`
**Patrón del evento**
```
{
"detail-type": ["potential detail-type"],
"source": ["aws.guardduty"]
}
```
**Ejemplo de esquema de notificaciones para `GuardDuty Malware Protection Resource Status Active`**:
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status Active",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ACTIVE"
}
}
```
**Ejemplo de esquema de notificaciones para `GuardDuty Malware Protection Resource Status Warning`**:
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status warning",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "WARNING",
"statusReasons": [
{
"code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS"
}
]
}
}
```
**Ejemplo de esquema de notificaciones para `GuardDuty Malware Protection Resource Status Error`**:
```
{
"version": "0",
"id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
"detail-type": "GuardDuty Malware Protection Resource Status Error",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ERROR",
"statusReasons": [
{
"code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
}
]
}
}
```
Según el motivo de `resourceStatus` `ERROR`, se completará el valor `statusReasons`.
Para obtener información sobre los pasos de solución de problemas para las siguientes advertencias y errores, consulte [Solución de problemas sobre el estado del plan de protección contra malware](troubleshoot-s3-malware-protection-status-errors.md).
### Producto del análisis del objeto S3
```
{
"detail-type": ["GuardDuty Malware Protection Object Scan Result"],
"source": ["aws.guardduty"]
}
```
**Ejemplo de esquema de notificaciones para `NO_THREATS_FOUND`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"threats": null
}
}
}
```
**Ejemplo de esquema de notificaciones para `THREATS_FOUND`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"threats": [
{
"name": "EICAR-Test-File (not a virus)"
}
]
}
}
}
```
**nota**
El campo `scanResultDetails.Threats` contiene solo una amenaza. De forma predeterminada, el análisis de protección contra malware para S3 indica la primera amenaza detectada. Después de esto, el `scanStatus` se establece en `COMPLETED`.
**Esquema de notificaciones de ejemplo para el estado del producto del análisis `UNSUPPORTED` (Omitido)**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "UNSUPPORTED",
"threats": null
}
}
}
```
**Esquema de notificaciones de ejemplo para el estado del producto del análisis `ACCESS_DENIED` (Omitido)**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "ACCESS_DENIED",
"threats": null
}
}
}
```
**Esquema de notificaciones de ejemplo para el estado del producto del análisis `FAILED`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "FAILED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "FAILED",
"threats": null
}
}
}
```
### Eventos de error de etiqueta posteriores al análisis
**Patrón del evento**:
```
{
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty"
}
```
**Ejemplo de esquema de notificaciones para `ACCESS_DENIED`**:
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "ACCESS_DENIED"
}]
}
}
```
**Ejemplo de esquema de notificaciones para `MAX_TAG_LIMIT_EXCEEDED`**:
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "MAX_TAG_LIMIT_EXCEEDED"
}]
}
}
```
Para solucionar estos motivos de error, consulte [Solucionar errores en el etiquetado posterior al análisis de objetos de S3](troubleshoot-s3-post-scan-tag-failures.md).
# Supervisión de los escaneos de objetos de S3 con etiquetas GuardDuty gestionadas
Utilice la opción de habilitar el etiquetado para GuardDuty poder añadir etiquetas a su objeto de Amazon S3 después de completar el análisis de malware.
**Consideraciones para habilitar el etiquetado**
+ Al GuardDuty etiquetar sus objetos de S3, hay un costo de uso asociado. Para obtener más información, consulte [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md).
+ Debe conservar los permisos de etiquetado necesarios para su función de IAM preferida asociada a este segmento; de lo contrario, no GuardDuty podrá añadir etiquetas a los objetos escaneados. El rol de IAM ya incluye los permisos para agregar etiquetas a los objetos de S3 analizados. Para obtener más información, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto de S3. Para obtener más información, consulte [Utilizar el control de acceso basado en etiquetas (TBAC)](tag-based-access-s3-malware-protection.md).
Después de habilitar el etiquetado para un bucket de S3 o prefijos específicos, cualquier objeto nuevo cargado que sea analizado tendrá una etiqueta asociada en el siguiente formato de par de clave y valor:
`GuardDutyMalwareScanStatus`:`Scan-Result-Status`
Para obtener información sobre los posibles valores de las etiquetas, consulte [Estado potencial de análisis de objeto de S3 y estado del producto](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
# Solucionar problemas de errores de etiquetas posteriores al análisis de objetos de S3 en la protección contra malware para S3
Esta sección solo se aplica si ha [Habilite el etiquetado para los objetos analizados](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection) en el bucket protegido.
Al GuardDuty intentar añadir una etiqueta al objeto de S3 escaneado, la acción de etiquetar puede provocar un error. Las posibles razones por las que esto puede ocurrir en el bucket son `ACCESS_DENIED` y `MAX_TAG_LIMIT_EXCEEDED`. Utilice los siguientes temas para comprender las posibles razones de estos errores en el etiquetado posterior al análisis y para solucionarlos.
**ACCESS\$1DENIED**
La siguiente lista proporciona posibles razones que pueden causar este problema:
+ Falta el permiso para la función de IAM utilizada para este bucket de S3 protegido. **AllowPostScanTag** Verificar que el rol de IAM asociado utilice esta política de bucket. Para obtener más información, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ La política de bucket de S3 protegido no permite añadir etiquetas GuardDuty a este objeto.
+ El objeto de S3 analizado ya no existe.
**MAX\$1TAG\$1LIMIT\$1EXCEEDED**
De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto de S3. Para obtener más información, consulte la sección Consideraciones sobre GuardDuty cómo añadir una etiqueta a un objeto [Habilite el etiquetado para los objetos analizados](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection) de S3.
# Métricas de estado del escaneo de objetos de S3 en CloudWatch
Puede monitorizar el GuardDuty uso CloudWatch, que recopila datos sin procesar y los procesa para convertirlos en métricas legibles prácticamente en tiempo real. Estas estadísticas se retienen durante 15 meses, lo que le permite acceder a información histórica y obtener una mejor perspectiva sobre el rendimiento de la protección contra malware para S3. También puede establecer alarmas que vigilen determinados umbrales y enviar notificaciones o realizar acciones cuando se cumplan dichos umbrales. Para obtener más información, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
Las CloudWatch métricas de Malware Protection for S3 están disponibles a nivel de recursos. Puede consultar estas métricas por cada recurso protegido de manera independiente. Las métricas se informan en el espacio de nombres `AWS/GuardDuty/MalwareProtection`. Puede configurar alarmas en recursos específicos para supervisar la postura de seguridad.
|
|
| **Métricas del estado del análisis de malware** |
| --- |
| **Métrica** | **Descripción** |
| `CompletedScanCount` | Cantidad de análisis de malware de objetos S3 que se completaron en un periodo determinado. Dimensiones válidas: `Malware Protection Plan Id` `Resource Name` Unidades: recuento |
| `FailedScanCount` | Cantidad de análisis de objetos de S3 maliciosos en los que se produjo un error en un intervalo de tiempo determinado. **Dimensiones válidas**: `Malware Protection Plan Id` `Resource Name` Unidades: recuento |
| `SkippedScanCount` | Cantidad de análisis de malware de objetos de S3 que se omitieron en un periodo determinado. **Dimensiones válidas**: `Malware Protection Plan Id` `Resource Name` `Skipped Reason` Valores potenciales de `Unsupported` `MissingPermissions` Unidades: recuento |
| **Métricas de productos de análisis de malware** |
| --- |
| `InfectedScanCount` | La cantidad de análisis de malware en objetos de S3 que detectaron objetos potencialmente maliciosos en un periodo determinado. Dimensiones válidas: `Malware Protection Plan Id` `Resource Name` Unidades: recuento |
| `CompletedScanBytes` | La cantidad de bytes de objetos de S3 analizados en un período de tiempo determinado. Dimensiones válidas: `Malware Protection Plan Id` `Resource Name` Unidades: recuento |
**nota**
De forma predeterminada, las estadísticas de las CloudWatch métricas son AVG.
Las siguientes dimensiones son compatibles con las métricas de protección contra malware para S3.
|
|
| **Dimensión** | **Descripción** |
| --- |--- |
| Malware Protection Plan Id | El identificador único que se asocia al recurso del plan de protección contra malware que se GuardDuty crea para el recurso protegido. |
| Resource Name | El nombre del recurso protegido. |
| Skipped Reason | La razón por la que se ha omitido un análisis de malware de objetos de S3. Valores potenciales de `Unsupported` `MissingPermissions` |
Para obtener información sobre cómo acceder a estas métricas y consultarlas, consulta Cómo [usar CloudWatch las métricas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) en la *Guía del CloudWatch usuario de Amazon*.
Para obtener información sobre la configuración de alarmas, consulta [Uso de CloudWatch alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.
# Resolución de problemas
**Topics**
+ [Solución de problemas sobre el estado del plan de protección contra malware](troubleshoot-s3-malware-protection-status-errors.md)
+ [Solución de problemas de análisis de malware bajo demanda](troubleshoot-s3-malware-protection-on-demand.md)
# Solución de problemas sobre el estado del plan de protección contra malware
Para cualquier depósito protegido, GuardDuty muestra el **estado** en función de la clasificación. Por ejemplo, si un depósito protegido tiene problemas en las categorías de **error** y **advertencia**, GuardDuty mostrará primero el problema asociado al estado de **error**.
En la siguiente lista aparecen los errores y las advertencias para el estado del plan de protección contra malware.
**Errores**
+ [EventBridge la notificación está deshabilitada para este bucket de S3](#eventbridge-notification-disabled-malware-protection-s3-error)
+ [EventBridge Falta una regla gestionada para recibir los eventos del bucket de S3](#eventbridge-managed-rule-missing-malware-protection-s3-error)
+ [El bucket de S3 ya no existe](#bucket-no-longer-exists-malware-protection-s3-error)
**Advertencia**
[No se pudo colocar el objeto de prueba](#unable-put-test-object-malware-protection-s3-warning)
## EventBridge la notificación está deshabilitada para este bucket de S3
El código de motivo de estado asociado es `EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED`.
**Detalle del estado**
GuardDuty EventBridge se utiliza para recibir una notificación cuando se carga un objeto nuevo en este depósito de S3. Este permiso falta en el rol de IAM.
**Pasos para solucionar el problema**
**Opción 1: agregue la siguiente instrucción de permiso al rol de IAM:**
```
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
```
Reemplace *amzn-s3-demo-bucket* por el nombre de su bucket de Amazon S3.
**Opción 2: Habilitar la EventBridge notificación mediante la consola Amazon S3**
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la página **Buckets**, en la pestaña **Buckets de uso general**, seleccione el nombre del bucket asociado a este error.
1. En esta página del bucket, elija la pestaña **Propiedades**.
1. En la EventBridge sección **Amazon**, selecciona **Editar**.
1. En la EventBridge página **Editar Amazon**, en **Enviar notificación a Amazon EventBridge para todos los eventos de este grupo**, selecciona **Activado**.
1. Seleccione **Save changes (Guardar cambios)**.
El valor de la columna **Estado** puede tardar unos minutos en cambiar a **Activo**.
## EventBridge Falta una regla gestionada para recibir los eventos del bucket de S3
El código de motivo de estado asociado es `EVENTBRIDGE_MANAGED_RULE_DISABLED`.
**Detalle del estado**
Faltan los permisos de la regla EventBridge administrada para administrar la configuración de la EventBridge regla.
**Pasos para solucionar el problema**
Agregue la siguiente instrucción de permiso al rol de IAM:
```
{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringEquals": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
}
```
El valor de la columna **Estado** puede tardar unos minutos en cambiar a **Activo**.
## El bucket de S3 ya no existe
El código de motivo de estado asociado es `PROTECTED_RESOURCE_DELETED`.
**Detalle del estado**
Se eliminó este bucket de S3 de la cuenta y ya no existe.
**Paso para solucionar el problema**
Si la eliminación del bucket de S3 no fue deliberada, puede crear un nuevo bucket desde la consola de Amazon S3.
Después de crear el bucket correctamente, habilite la protección contra malware para S3. Para ello, siga los pasos que se indican en la página [Configurar la protección contra malware para S3 para el bucket](configuring-malware-protection-for-s3-guardduty.md).
## No se pudo colocar el objeto de prueba
El código de motivo de estado asociado es `INSUFFICIENT_TEST_OBJECT_PERMISSIONS`.
**nota**
El permiso para agregar un objeto de prueba es opcional. La ausencia de este permiso en el rol de IAM no impide que la protección contra malware para S3 inicie el análisis de malware en los objetos recién cargados. Después de que se inicie correctamente un análisis, el **estado** del plan de protección contra malware puede tardar unos minutos en cambiar de **Advertencia** a **Activo**.
Si el rol de IAM ya incluye este permiso, entonces esta advertencia indica una política de bucket de Amazon S3 restrictiva que no permite el acceso de IAM para colocar el objeto de prueba en este bucket de S3.
**Detalle del estado**
Para validar la configuración del depósito seleccionado, GuardDuty coloca un objeto de prueba en el depósito.
**Pasos para solucionar el problema**
Puede optar por actualizar el rol de IAM para incluir los permisos que faltan. Al rol de IAM seleccionado, añada los siguientes permisos para GuardDuty poder colocar el objeto de prueba en el recurso seleccionado:
```
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
}
```
Reemplace *amzn-s3-demo-bucket* por el nombre de su bucket de Amazon S3. Para obtener más información sobre los permisos de roles de IAM, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
El valor de la columna **Estado** puede tardar unos minutos en cambiar a **Activo**.
# Solución de problemas de análisis de malware bajo demanda
## No se ha podido iniciar un análisis.
Asegúrese de que la solicitud de escaneo contenga una entrada válida y de que el plan de protección contra malware esté habilitado para el depósito.
# Editar el plan de protección contra malware para un bucket protegido
Es posible que tenga que editar la política de permisos de IAM que prefiera, habilitar o desactivar el etiquetado del objeto de S3 analizado, o agregar o eliminar prefijos de objetos de S3. Por ejemplo, cuando habilitó la protección contra malware para S3 para el bucket, decidió no habilitar el etiquetado del objeto de S3 analizado con el resultado del análisis. Sin embargo, ahora quiere GuardDuty añadir la etiqueta predefinida y el resultado del escaneo como valor de la etiqueta.
Elija el método de acceso que prefiera para actualizar el plan de protección contra malware para el bucket de S3 protegido.
------
#### [ Console ]
**Para editar un plan de protección contra malware**
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Protección contra malware para S3**.
1. En **Buckets protegidos**, seleccione el bucket para el que desea editar la configuración existente.
1. Elija **Edit (Edición de)**.
1. Actualice la configuración y los ajustes existentes para el bucket y confirme los cambios. Para obtener información sobre la descripción y los pasos de cada sección, consulte [Habilitar la protección contra malware para S3 para el bucket](enable-malware-protection-s3-bucket.md).
Supervise la columna **Estado** correspondiente a este bucket protegido. Si aparece como **Advertencia** o **Error**, consulte [Solución de problemas sobre el estado del plan de protección contra malware](troubleshoot-s3-malware-protection-status-errors.md).
------
#### [ API/CLI ]
**Para editar el plan de protección contra malware mediante la API o AWS CLI**
+ **Mediante la API**
Ejecute la [UpdateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareProtectionPlan.html)API mediante el ID del plan de protección contra malware asociado a este recurso del plan.
Para recuperar el ID del plan de protección contra malware en una región específica, puede ejecutar la [ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API en esa región.
+ **Mediante el uso de AWS CLI**
La siguiente lista proporciona AWS CLI ejemplos de comandos para actualizar el recurso del plan de protección contra malware. Necesitará el ID del plan de protección contra malware asociado al bucket de S3.
**AWS CLI ejemplos de comandos**
+ Utilice el siguiente AWS CLI comando para **activar o desactivar** el etiquetado del recurso del plan de protección contra malware asociado a su bucket de S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --actions "Tagging"={"Status"="ENABLED|DISABLED"}
```
+ Utilice el siguiente AWS CLI comando para **añadir un prefijo de objeto** al recurso del plan de protección contra malware asociado a su bucket de S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=["amzn-s3-demo-1", "amzn-s3-demo-2"]}
```
Asegúrese de incluir los prefijos de objeto existentes en este comando; de lo contrario, los GuardDuty eliminará al editar el recurso del plan de protección contra malware.
+ Utilice el siguiente AWS CLI comando para **eliminar un prefijo de objeto** del recurso del plan de protección contra malware asociado a su bucket de S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=[""]}
```
Si aún no tiene el ID del plan de protección contra malware para este recurso, puede ejecutar el siguiente AWS CLI comando y *us-east-1* sustituirlo por la región para la que desee incluir el plan IDs de protección contra malware.
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Desactivar la protección contra malware para S3 para un bucket protegido
Al deshabilitar Malware Protection for S3 para un bucket protegido, GuardDuty elimina el ID del plan de Malware Protection asociado a ese bucket. GuardDuty dejará de iniciar un análisis de malware cuando se cargue un objeto nuevo en este depósito o en uno de los prefijos de objeto seleccionados.
Si lo ha activado GuardDuty y ahora quiere suspenderlo o desactivarlo GuardDuty, consulte[Suspender o deshabilitar GuardDuty](guardduty_suspend-disable.md). Como en Malware Protection for S3 no existe el concepto de identificador de detector, la desactivación o la suspensión GuardDuty **no** repercuten en el estado de un depósito protegido de tu cuenta. Puede continuar el uso de la característica de protección contra malware para S3 de forma independiente con el precio estándar asociado. Para obtener más información, consulte [Revisar el costo de uso de la protección contra malware para S3Revisar el costo de uso](usage-cost-malware-protection-s3-gdu.md). Para dejar de utilizar la protección contra malware para S3, deberá desactivarla para todos los buckets protegidos en la cuenta. Si quieres seguir usando GuardDuty y deshabilitar solo Malware Protection for S3 para un bucket, los siguientes pasos no afectarán a la configuración del GuardDuty servicio ni a otros planes de protección que hayas habilitado.
Elija el método de acceso que prefiera para desactivar la protección contra malware para S3 en el bucket de S3 protegido.
------
#### [ Console ]
**Para deshabilitar la protección contra malware para S3 mediante GuardDuty la consola**
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Protección contra malware para S3**.
1. En **Buckets protegidos**, seleccione el bucket para el que desea desactivar la protección contra malware para S3.
Solo puede seleccionar un bucket protegido a la vez. Para desactivar la protección contra malware para S3 para más de un bucket, siga estos pasos de nuevo para otro bucket de S3.
1. Elija **Desactivar** para confirmar la selección.
------
#### [ API/CLI ]
**Para deshabilitar la protección contra malware para S3 mediante la API o AWS CLI**
+ **Mediante la API**
Ejecute la [DeleteMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMalwareProtectionPlan.html)API mediante el ID del plan de protección contra malware asociado a este recurso del plan.
Para recuperar el ID del plan de protección contra malware, puede ejecutar la [ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API.
+ **Mediante el uso de AWS CLI**
Como alternativa, puede ejecutar el siguiente AWS CLI comando para deshabilitar la protección contra malware para S3 sustituyéndolo *4cc8bf26c4d75EXAMPLE* por el ID del plan de protección contra malware asociado a este depósito de S3:
```
aws guardduty delete-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE
```
Si aún no tiene el ID del plan de protección contra malware para este bucket de S3, puede ejecutar el siguiente AWS CLI comando y *us-east-1* sustituirlo por la región para la que desee incluir el plan de protección contra malware IDs.
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Compatibilidad con las características de Amazon S3
En la siguiente tabla se especifica si la protección contra malware para S3 es compatible o no con las características de Amazon S3 enumeradas.
| Nombre de la característica de S3 | ¿Hay compatibilidad disponible? | Description (Descripción) |
| --- | --- | --- |
| Clase de almacenamiento S3: S3 Standard Clase de almacenamiento de S3: S3 Standard-Infrequent Access Clase de almacenamiento de S3: S3 One Zone-Infrequent Access Clase de almacenamiento de S3: S3 Glacier Instant Retrieval | Sí | Los objetos de S3 se pueden recuperar sin restaurar de forma asíncrona. |
| Clase de almacenamiento de S3: S3 Intelligent-Tiering | Condicional | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/supported-s3-features-malware-protection-s3.html) |
| Clase de almacenamiento de S3: S3 Express One Zone (bucket de directorio) | No | GuardDuty solo admite depósitos de uso general para Malware Protection for S3. |
| Clase de almacenamiento de S3: S3 Glacier Flexible Retrieval Clase de almacenamiento de S3: S3 Glacier Deep Archive | No | Los objetos de S3 se deben restaurar antes de poder acceder a ellos. |
| Amazon S3 en Outposts | No | La protección contra malware para S3 no se admite en Outposts. |
| Control de versiones de S3 | Sí | Todos los objetos de S3 cargados se analizan en busca de malware. Si ha cargado un objeto con la versión de archivo v1 e inmediatamente ha subido otra versión sustituida por la v2, GuardDuty escaneará las versiones v1 y v2 del archivo de objeto. Sin embargo, es posible que la hora de inicio del análisis no esté en el mismo orden. |
| Replicación S3: analizar objeto replicado | Sí | Si el depósito de destino es un recurso protegido, GuardDuty escaneará todos los objetos de S3 y los replicará con los prefijos protegidos y supervisados. |
| Replicación en S3: se replica en la etiqueta del producto del análisis | No | No puede definir una regla de replicación basada en la etiqueta del producto del análisis. Amazon S3 no admite la replicación para etiquetas, excepto durante la creación. |
| Cifrado de datos: S3-SSE Cifrado de datos: SSE-KMS Cifrado de datos: DSSE-KMS AWS KMS - Clave gestionada por el cliente | Sí | GuardDuty admite el escaneo de malware de objetos de S3 cifrados con claves administradas y administradas por el cliente. Asegúrese de que el rol de IAM incluya el permiso para utilizar la clave. Para obtener más información, consulte [Agregar permisos de política de IAM](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection). |
| Cifrado de datos: SSE-C | No | La protección contra malware para S3 no admite el análisis de objetos de S3 cifrados con claves a las que no se puede acceder. |
| Cifrado del lado del cliente | No | Si los objetos de Amazon S3 se cifran mediante el Cliente de cifrado de Amazon S3, no quedarán expuestos a terceros, incluida AWS. Para obtener información sobre por qué no se admite esta opción, consulte [Proteger los datos mediante el cifrado del cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html). Los objetos cifrados con CSE-KMS se reciben como un blob cifrado donde no se puede determinar el cifrado. Por lo tanto, los GuardDuty procesa a medida que se reciben y escanea el blob cifrado como un archivo normal. GuardDuty no devuelve el estado de `UNSUPPORTED` escaneo de dichos objetos, a menos que alguno de ellos lo [Cuotas en la protección contra malware para S3](malware-protection-s3-quotas-guardduty.md) supere. |
| Bloqueo de objetos de S3 y retención legal | Sí | Los objetos bloqueados de S3 se bloquean según WORM (única escritura, múltiples lecturas). La protección contra malware para S3 puede acceder a los objetos y analizarlos. |
| Pago por el solicitante | Sí | La protección contra malware para S3 puede analizar los buckets configurados con *Pago por el solicitante*. El solicitante pagará las llamadas a S3. Para obtener más información, consulte [Uso de buckets de pagos por solicitante para transferencias de almacenamiento y uso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) en la *Guía del usuario de Amazon S3*. |
| S3: ciclo de vida del almacenamiento | Sí | Puede definir políticas de ciclo de vida basadas en la etiqueta del producto del análisis. Por ejemplo, eliminar automáticamente los objetos maliciosos. Para obtener más información sobre la configuración del ciclo de vida, consulte [Administración del ciclo de vida del almacenamiento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) en la *Guía del usuario de Amazon S3*. |
| S3: control de acceso basado en etiquetas (TBAC) | Sí | Puede definir políticas de recursos de bucket basadas en la etiqueta del producto del análisis de objetos de S3. Por ejemplo, impida el acceso a los objetos de S3 que aún no se hayan escaneado o a las amenazas GuardDuty detectadas. Para obtener más información, consulte [Utilizar el control de acceso basado en etiquetas (TBAC) con la protección contra malware para S3](tag-based-access-s3-malware-protection.md). |
# Cuotas en la protección contra malware para S3
En esta sección se proporcionan las cuotas predeterminadas, que también se conocen como límites. Salvo que se especifique lo contrario, cada cuota es específica de una región. Para ver las cuotas predeterminadas específicas para el uso del GuardDuty servicio fundamental, consulte[GuardDuty Cuotas de Amazon](guardduty_limits.md).
En las siguientes tablas se describen las cuotas múltiples que se aplicarán a la Cuenta de AWS.
| Nombre de la cuota | AWS valor de cuota predeterminado | ¿Se puede ajustar? | Description (Descripción) |
| --- | --- | --- | --- |
| Tamaño máximo de objeto de S3 | 100 GB | No | El tamaño máximo del objeto S3 que GuardDuty se intentará escanear en busca de malware. Aunque esta cuota no se puede ajustar, si necesitas escanear objetos más grandes, ponte en contacto con nosotros AWS Support para determinar si GuardDuty puedes aumentar la cuota para tu caso de uso. |
| Bytes de archivo extraídos | 100 GB | No | La cantidad máxima de datos que GuardDuty se pueden extraer y analizar de un archivo comprimido. GuardDuty omitirá los archivos archivados que se extraigan a más de 100 GB. |
| Archivos extraídos | 10 000 | No | El número máximo de archivos que GuardDuty se pueden extraer y analizar en un archivo de almacenamiento. Si el archivo contiene más de 10 000 archivos, GuardDuty tendrá que omitir el archivo archivado. Estos límites pueden aplicarse a los tipos de archivos compuestos, Los tipos de archivo incluyen, entre otros, mensajes de correo electrónico codificados con extensiones multipropósito de correo de Internet (MIME), archivos Python compilados (PYC), archivos de ayuda HTML compilados (CHM), todos los instaladores y documentos de OpenDocument formato (ODF). |
| Niveles máximos de profundidad de archivo | 5 | No | Los niveles máximos de archivos anidados que se pueden extraer. GuardDuty Si el archivo incluye archivos anidados por encima de este valor, GuardDuty omitirá esos archivos anidados. |
| Máximo de buckets protegidos | 25 | No | La cantidad máxima de buckets de S3 para los que puede habilitar la protección contra malware para S3. Este límite de cuota es por cuenta en cada región. |