Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# GuardDuty Protection contre les logiciels malveillants pour S3
Malware Protection for S3 vous aide à détecter la présence potentielle de malwares en scannant les objets récemment chargés dans le bucket Amazon Simple Storage Service (Amazon S3) sélectionné. Lorsqu'un objet S3 ou une nouvelle version d'un objet S3 existant est chargé dans le compartiment que vous avez sélectionné, une analyse des programmes malveillants démarre GuardDuty automatiquement.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/uweeumMAif4)
**Deux approches pour activer la protection contre les malwares pour S3**
Vous pouvez activer Malware Protection pour S3 lorsque Compte AWS vous activez le GuardDuty service et que vous utilisez Malware Protection pour S3 dans le cadre de l' GuardDuty expérience globale, ou lorsque vous souhaitez utiliser la fonctionnalité Malware Protection pour S3 seule sans activer le GuardDuty service. Lorsque vous activez la protection contre les programmes malveillants pour S3 en tant que fonctionnalité indépendante, la GuardDuty documentation indique qu'elle utilise la protection contre les programmes malveillants pour S3 en tant que fonctionnalité indépendante.
**Considérations relatives à l'utilisation indépendante de Malware Protection for S3**
+ GuardDuty résultats de sécurité — L'identifiant du détecteur est un identifiant unique associé à votre compte dans une région. Lorsque vous l'activez GuardDuty dans une ou plusieurs régions d'un compte, un identifiant de détecteur est créé automatiquement pour ce compte dans chaque région où vous l'activez GuardDuty. Pour plus d'informations, voir *Détecteur* dans le [Concepts et termes clés sur Amazon GuardDuty](guardduty_concepts.md) document.
Lorsque vous activez la protection contre les programmes malveillants pour S3 indépendamment dans un compte, aucun identifiant de détecteur **n'**est associé à ce compte. Cela a un impact sur les GuardDuty fonctionnalités qui peuvent être mises à votre disposition. Par exemple, lorsqu'une analyse des programmes malveillants S3 détecte la présence d'un logiciel malveillant, aucun GuardDuty résultat n'est généré dans votre compte, Compte AWS car tous les GuardDuty résultats sont associés à un identifiant de détecteur.
+ Vérifier si l'objet scanné est malveillant — Par défaut, GuardDuty publie les résultats de l'analyse des programmes malveillants sur votre bus d' EventBridge événements Amazon par défaut et dans un espace de CloudWatch noms Amazon. Lorsque vous activez le balisage au moment de l'activation de Malware Protection for S3 pour un compartiment, l'objet S3 scanné reçoit une balise mentionnant le résultat de l'analyse. Pour plus d’informations sur le balisage, consultez [Marquage facultatif des objets en fonction du résultat de l'analyse](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3).
**Considérations générales relatives à l'activation de la protection contre les programmes malveillants pour S3**
Les considérations générales suivantes s'appliquent, que vous utilisiez Malware Protection pour S3 de manière indépendante ou dans le cadre de l' GuardDuty expérience :
+ Vous pouvez activer la protection contre les programmes malveillants pour S3 pour un compartiment Amazon S3 appartenant à votre propre compte. En tant que compte d' GuardDuty administrateur délégué, vous ne pouvez pas activer cette fonctionnalité dans un compartiment Amazon S3 appartenant à un compte membre.
+ Vous pouvez activer cette fonctionnalité dans les compartiments S3 appartenant à la même région que celle actuellement sélectionnée dans la GuardDuty console. GuardDuty ne prend pas en charge l'activation de cette fonctionnalité dans les compartiments S3 interrégionaux.
+ En tant que compte d' GuardDuty administrateur délégué, vous recevrez une EventBridge notification Amazon chaque fois qu'un changement est apporté à un compartiment S3 configuré pour cette fonctionnalité par l'un des comptes membres de votre organisation. [Affichage et compréhension de l'état du compartiment protégé](malware-protection-s3-bucket-status-gdu.md)
**Topics**
+ [Tarification et coût d'utilisation de Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md)
+ [Comment fonctionne Malware Protection for S3 ?](how-malware-protection-for-s3-gdu-works.md)
+ [Fonctionnalités de protection contre les malwares pour S3](s3-malware-protection-capability.md)
+ [(Facultatif) Commencez à utiliser GuardDuty Malware Protection pour S3 de manière indépendante (console uniquement)](malware-protection-s3-get-started-independent.md)
+ [Configuration de la protection contre les programmes malveillants pour S3 pour votre compartiment](configuring-malware-protection-for-s3-guardduty.md)
+ [Étapes à suivre après avoir activé la protection contre les programmes malveillants pour S3](malware-protection-s3-steps-after-enabling.md)
+ [Analyse des malwares S3 à la demande dans GuardDuty](malware-protection-s3-on-demand.md)
+ [Utilisation du contrôle d'accès basé sur des balises (TBAC) avec Malware Protection pour S3](tag-based-access-s3-malware-protection.md)
+ [Affichage et compréhension de l'état du compartiment protégé](malware-protection-s3-bucket-status-gdu.md)
+ [Surveillance des scans d'objets S3 dans Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md)
+ [Résolution des problèmes](troubleshoot-s3-malware-protection.md)
+ [Modification du plan de protection contre les programmes malveillants pour un compartiment protégé](edit-malware-protection-protected-s3-bucket.md)
+ [Désactivation de la protection contre les programmes malveillants pour S3 pour un compartiment protégé](disable-malware-s3-protected-bucket.md)
+ [Supportabilité des fonctionnalités d'Amazon S3](supported-s3-features-malware-protection-s3.md)
+ [Quotas dans la protection contre les malwares pour S3](malware-protection-s3-quotas-guardduty.md)
# Tarification et coût d'utilisation de Malware Protection for S3
La tarification de Malware Protection for S3 fonctionne différemment de celle des autres plans de protection de la société GuardDuty. Alors que la plupart des plans de GuardDuty protection sont assortis d'un essai gratuit à court terme de 30 jours, Malware Protection for S3 fait suite à un plan de niveau gratuit de 12 mois. AWS Pour plus d'informations sur la GuardDuty tarification, consultez[Tarification en GuardDuty](guardduty-pricing.md).
La liste suivante indique les coûts de tarification associés à l'utilisation de Malware Protection for S3.
**Plan de niveau gratuit (coût de numérisation)**
Chacun Compte AWS bénéficie d'un niveau gratuit de 12 mois qui inclut l'utilisation jusqu'à une limite mensuelle spécifique pour chaque région. Chacun Compte AWS bénéficie d'une utilisation mensuelle gratuite allant jusqu'à 1 000 demandes et 1 Go de données numérisées. Si votre consommation dépasse la limite spécifiée, vous commencerez à supporter les frais d'utilisation correspondant à la limite dépassée. Pour obtenir des informations détaillées sur les tarifs, consultez les [tarifs GuardDuty des plans de protection](https://aws.amazon.com/guardduty/pricing/#GuardDuty_protection_plans).
L'analyse à la demande n'est pas incluse dans le niveau gratuit.
Pour plus d'informations sur le coût d'utilisation après l'activation de Malware Protection pour S3, consultez[Révision du coût d'utilisation de Malware Protection for S3Révision des coûts d'utilisation](usage-cost-malware-protection-s3-gdu.md).
**Coût d'utilisation du balisage d'objets S3**
Lorsque vous activez la protection contre les programmes malveillants pour S3, il est facultatif d'activer le balisage pour vos objets S3 scannés. Lorsque vous choisissez d'activer le balisage d'objets S3, un coût d'utilisation est associé. Pour plus d'informations sur les coûts, consultez l'[onglet Gestion et informations](https://aws.amazon.com/s3/pricing/) sur la *page de tarification d'Amazon S3*.
Le coût d'utilisation du balisage d'objets S3 **n'est pas inclus** dans le plan Free Tier.
**Amazon S3 APIs - GET et coût PUT d'utilisation**
Vous devrez payer des frais d'utilisation lors de l' GuardDuty exécution d'Amazon S3 APIs en fonction du rôle IAM. Par exemple, après avoir assumé le rôle IAM, GuardDuty exécute l'`PutObject`API pour ajouter l'objet de test au compartiment sélectionné. Cela permet GuardDuty d'évaluer le statut activé de la fonctionnalité.
Pour plus d'informations sur la tarification des appels d'API S3 dans votre Région AWS compte, consultez la section [Demandes et extraction de données sous l'onglet Stockage et demandes](https://aws.amazon.com/s3/pricing/#aws-element-86cbc19a-da4c-4c04-bb4f-5c4d1a2de09e) de la page de *tarification d'Amazon S3*.
# Révision du coût d'utilisation de Malware Protection for S3
Votre compte commence à être soumis à des frais d'utilisation lorsque vous utilisez Malware Protection for S3 au-delà de la limite spécifique du plan gratuit, ou lorsque le plan gratuit de 12 mois de votre compte prend fin. Pour plus d'informations sur le plan Free Tier, consultez[Tarification et coût d'utilisation de Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md). Notez que le plan gratuit ne s'applique pas à Malware Protection pour l'analyse d'objets à la demande dans S3.
La GuardDuty console ne prend pas en charge la révision du coût d'utilisation de S3 relatif à la protection contre les programmes malveillants. Pour consulter le coût d'utilisation, accédez à **Cost Explorer** dans la [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)console. Pour plus d'informations sur Compte AWS la facturation, consultez le [guide de AWS Billing l'utilisateur](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Pour plus d'informations sur le coût d'utilisation estimé dans GuardDuty, voir[Surveillance de l'utilisation et estimation des coûts](monitoring_costs.md).
# Comment fonctionne Malware Protection for S3 ?
Cette section décrit les composants de Malware Protection for S3, son fonctionnement une fois que vous l'avez activée pour un compartiment S3 et la manière dont vous pouvez consulter l'état et le résultat de l'analyse des programmes malveillants.
## Présentation de
Vous pouvez activer la protection contre les programmes malveillants pour S3 pour un compartiment Amazon S3 qui appartient au vôtre Compte AWS. GuardDutyvous offre la possibilité d'activer cette fonctionnalité pour l'ensemble de votre compartiment ou de limiter la portée de l'analyse des programmes malveillants à des [préfixes d'objets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) spécifiques, où GuardDuty analyse chaque objet téléchargé commençant par l'un des préfixes sélectionnés. Vous pouvez ajouter jusqu'à 5 préfixes. Lorsque vous activez la fonctionnalité pour un compartiment S3, ce compartiment est appelé **compartiment protégé**.
## Autorisations de rôle IAM
Malware Protection for S3 utilise un rôle IAM qui permet GuardDuty d'effectuer les actions d'analyse des programmes malveillants en votre nom. Ces actions incluent le fait d'être informé des nouveaux objets téléchargés dans le compartiment sélectionné, de scanner ces objets et éventuellement d'ajouter des balises à vos objets numérisés. Il s'agit d'une condition préalable à la configuration de votre compartiment S3 avec cette fonctionnalité.
Vous avez la possibilité de mettre à jour un rôle IAM existant ou d'en créer un nouveau à cette fin. Lorsque vous activez Malware Protection for S3 pour plusieurs compartiments, vous pouvez mettre à jour le rôle IAM existant pour inclure le nom de l'autre compartiment, le cas échéant. Pour de plus amples informations, veuillez consulter [Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md).
## Marquage facultatif des objets en fonction du résultat de l'analyse
Lorsque vous activez Malware Protection for S3 pour votre compartiment, une étape facultative permet d'activer le balisage pour les objets S3 scannés. Le rôle IAM inclut déjà l'autorisation d'ajouter des balises à votre objet après le scan. Cependant, vous n' GuardDuty ajouterez des balises que si vous activez cette option au moment de la configuration.
Vous devez activer cette option avant qu'un objet ne soit chargé. Une fois le scan terminé, GuardDuty ajoute une balise prédéfinie à l'objet S3 scanné avec la paire clé:valeur suivante :
`GuardDutyMalwareScanStatus`:`Potential scan result`
Les valeurs potentielles des balises de résultats d'analyse incluent `NO_THREATS_FOUND``THREATS_FOUND`,`UNSUPPORTED`,`ACCESS_DENIED`, et`FAILED`. Pour plus d'informations sur ces valeurs, consultez[État du scan potentiel de l'objet S3 et état des résultats](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
L'activation du balisage est l'un des moyens de connaître le résultat de l'analyse des objets S3. Vous pouvez également utiliser ces balises pour ajouter une politique de ressources S3 de contrôle d'accès basé sur des balises (TBAC) afin de pouvoir prendre des mesures sur les objets potentiellement malveillants. Pour de plus amples informations, veuillez consulter [Ajouter le TBAC à la ressource du compartiment S3](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
Nous vous recommandons d'activer le balisage au moment de configurer Malware Protection for S3 pour votre compartiment. Si vous activez le balisage après le téléchargement d'un objet et qu'il est possible que le scan soit lancé, GuardDuty vous ne pourrez pas ajouter de balises à l'objet numérisé. Pour plus d'informations sur les coûts associés au balisage d'objets S3, consultez[Tarification et coût d'utilisation de Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
## Procédure après avoir activé la protection contre les programmes malveillants pour S3 pour un compartiment
Une fois que vous avez activé Malware Protection pour S3, une **ressource de plan de protection contre les malwares** est créée exclusivement pour le compartiment S3 sélectionné. Cette ressource est associée à un identifiant de plan de protection contre les programmes malveillants, un identifiant unique pour votre ressource protégée. En utilisant l'une des autorisations IAM, GuardDuty il crée et gère une règle EventBridge gérée nommée. `DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*`
### Comment GuardDuty traite-t-on vos données ? Garde-fous pour la protection des données
Malware Protection for S3 écoute les EventBridge notifications d'Amazon. Lorsqu'un objet est chargé dans le compartiment sélectionné ou dans l'un des préfixes, GuardDuty télécharge cet objet depuis le compartiment S3 à l'aide d'un, [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html)puis le lit, le déchiffre et le scanne dans un environnement isolé de la même région. L'environnement de numérisation s'exécute dans un cloud privé virtuel (VPC) verrouillé sans accès à Internet. Le VPC est attaché à un groupe de règles de pare-feu DNS qui autorise la communication uniquement avec les domaines autorisés qui en sont propriétaires. AWS Pendant la durée de l'analyse, stocke GuardDuty temporairement l'objet S3 téléchargé dans l'environnement d'analyse chiffré à l'aide des clés [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
**Note**
Par défaut, tous les Amazon S3 APIs répertoriés sous le [type d'événement créé par un objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventBridge.html) dans le *guide de l'utilisateur Amazon S3* lanceront le scan de protection contre les programmes malveillants pour S3.
Ces *types d'événements* incluent [PutObject[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html), [objet POST](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html) et [CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html).
Pour plus d'informations sur la méthodologie de détection des GuardDuty programmes malveillants et les moteurs d'analyse qu'elle utilise, consultez[GuardDuty moteur d'analyse pour la détection des malwares](guardduty-malware-detection-scan-engine.md).
Une fois l'analyse des programmes malveillants terminée, GuardDuty traite les métadonnées de l'analyse avec l'état de l'analyse, puis supprime la copie téléchargée de l'objet.
GuardDuty nettoie l'environnement de numérisation à chaque fois avant le début d'une nouvelle analyse. GuardDuty utilise une autorisation conditionnelle pour l'accès des opérateurs à l'environnement de numérisation, et chaque demande d'accès est examinée, approuvée et auditée.
### Révision de l'état et du résultat de l'analyse des objets S3
GuardDuty publie l'événement du résultat de l'analyse des objets S3 dans le bus d'événements EventBridge par défaut d'Amazon. GuardDuty envoie également les mesures de numérisation telles que le nombre d'objets scannés et le nombre d'octets scannés à Amazon CloudWatch. Si vous avez activé le balisage, vous GuardDuty ajouterez la balise prédéfinie `GuardDutyMalwareScanStatus` et un résultat de numérisation potentiel en tant que valeur de balise.
**Important**
GuardDuty utilise at-least-once la livraison, ce qui signifie que vous pouvez recevoir plusieurs résultats de numérisation pour le même objet. Nous vous recommandons de concevoir vos applications de manière à gérer les résultats dupliqués. Vous n'êtes facturé qu'une seule fois pour chaque objet numérisé.
Pour de plus amples informations, veuillez consulter [Surveillance des scans d'objets S3 dans Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
### Révision des résultats générés
L'examen des résultats dépend de l'utilisation ou non de Malware Protection for S3 avec GuardDuty. Réfléchissez aux scénarios suivants :
**Utilisation de la protection contre les programmes malveillants pour S3 lorsque le GuardDuty service est activé (ID du détecteur)**
Si l'analyse des programmes malveillants détecte un fichier potentiellement malveillant dans un objet S3, elle GuardDuty générera un résultat associé. Vous pouvez consulter les détails de la recherche et suivre les étapes recommandées pour éventuellement y remédier. En fonction de la [fréquence de vos résultats d'exportation](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency), les résultats générés sont exportés vers un compartiment S3 et un bus EventBridge d'événements.
Pour plus d'informations sur le type de recherche qui serait généré, consultez[Protection contre les programmes malveillants pour le type de recherche S3](gdu-malware-protection-s3-finding-types.md).
**Utilisation de Malware Protection pour S3 en tant que fonctionnalité indépendante (aucun identifiant de détecteur)**
GuardDuty ne sera pas en mesure de générer des résultats car aucun identifiant de détecteur n'est associé. Pour connaître l'état de l'analyse des malwares sur les objets S3, vous pouvez consulter le résultat de l'analyse qui est GuardDuty automatiquement publié sur votre bus d'événements par défaut. Vous pouvez également consulter les CloudWatch mesures pour évaluer le nombre d'objets et d'octets qui GuardDuty ont été tentés de scanner. Vous pouvez configurer des CloudWatch alarmes pour être informé des résultats de l'analyse. Si vous avez activé le balisage des objets S3, vous pouvez également consulter l'état de l'analyse des programmes malveillants en vérifiant la clé de balise et la valeur de la `GuardDutyMalwareScanStatus` balise de résultat de l'analyse dans l'objet S3.
Pour plus d'informations sur l'état et le résultat de l'analyse des objets S3, consultez[Surveillance des scans d'objets S3 dans Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
# Fonctionnalités de protection contre les malwares pour S3
La liste suivante fournit un aperçu de ce à quoi vous pouvez vous attendre ou de ce que vous pouvez faire après avoir activé Malware Protection for S3 pour votre compartiment :
+ **Choisissez les éléments à analyser : scannez** les fichiers au fur et à mesure qu'ils sont chargés dans tous les préfixes ou dans des préfixes spécifiques (jusqu'à 5) associés au compartiment S3 que vous avez sélectionné.
+ **Analyses automatiques des objets chargés** : une fois que vous avez activé la protection contre les programmes malveillants pour S3 pour un compartiment, une analyse est GuardDuty automatiquement lancée pour détecter les logiciels malveillants potentiels dans un objet récemment chargé.
+ **Analyses à la demande** : vous pouvez lancer des scans pour des objets existants ou numériser à nouveau des objets précédemment numérisés. Pour de plus amples informations, veuillez consulter [Analyse des malwares S3 à la demande dans GuardDuty](malware-protection-s3-on-demand.md).
+ **Activez via la console, à l'aide de l'API/AWS CLI, ou CloudFormation** — Choisissez une méthode préférée pour activer la protection contre les logiciels malveillants pour S3.
Vous pouvez activer la protection contre les programmes malveillants pour S3 en utilisant des plateformes d'infrastructure en tant que code (IaC) telles que *Terraform*. Pour plus d'informations, voir [Ressource : `aws_guardduty_malware_protection_plan`](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/guardduty_malware_protection_plan).
+ **Formats de fichiers pris en charge, protection contre les programmes malveillants pour les quotas S3 et fonctionnalités Amazon S3** : Malware Protection for S3 prend en charge tous les formats de fichiers que vous pouvez télécharger dans un compartiment S3. Si le fichier téléchargé est protégé par mot de passe et GuardDuty est capable de détecter la présence d'une protection par mot de passe pour le type de fichier téléchargé, il GuardDuty essaiera de scanner le contenu d'origine à l'aide de mots de passe courants. Si le mot de passe échoue, le scan sera ignoré. GuardDuty Impossible de détecter la présence d'une protection par mot de passe sur tous les formats de fichiers. S'il n'est pas GuardDuty possible de détecter la présence d'une protection par mot de passe, le contenu chiffré GuardDuty sera tout de même scanné.
Pour plus d'informations sur les quotas liés à la taille des objets, au niveau de profondeur d'archivage maximal et pour d'autres informations, consultez[Quotas dans la protection contre les malwares pour S3](malware-protection-s3-quotas-guardduty.md).
Pour savoir si une fonctionnalité Amazon S3 est prise en charge ou non, consultez[Supportabilité des fonctionnalités d'Amazon S3](supported-s3-features-malware-protection-s3.md).
+ **Prend en charge le balisage des objets S3 scannés** : lorsque vous activez[Marquage facultatif des objets en fonction du résultat de l'analyse](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3), une balise indiquant l'état de l'analyse est ajoutée après chaque analyse de logiciels malveillants. GuardDuty Vous pouvez utiliser cette balise pour configurer le contrôle d'accès basé sur les balises (TBAC) pour les objets S3. Par exemple, vous pouvez restreindre l'accès aux objets S3 indiqués comme malveillants et dont la valeur de balise est égale à`THREATS_FOUND`.
+ ** EventBridge Notifications Amazon** : GuardDuty envoie des événements à Amazon EventBridge lorsque le statut des ressources du plan de protection contre les malwares change ou lorsqu'une analyse des programmes malveillants de l'objet S3 est terminée. Ces événements sont envoyés au bus d'événements par défaut. Vous pouvez utiliser EventBridge ces événements pour écrire des règles qui prennent des mesures, telles que la surveillance lorsque ces événements se produisent. Pour de plus amples informations, veuillez consulter [Surveillance des scans d'objets S3 avec Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ **CloudWatch métriques** — Consultez CloudWatch les métriques pour activer les alarmes lors de l'état de certains programmes malveillants. Pour de plus amples informations, veuillez consulter [Métriques d'état d'analyse des objets S3 dans CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md).
# (Facultatif) Commencez à utiliser GuardDuty Malware Protection pour S3 de manière indépendante (console uniquement)
Utilisez cette étape facultative lorsque vous souhaitez commencer à utiliser l'option de détection des menaces Malware Protection for S3 indépendamment de l' GuardDuty état de votre Compte AWS.
Si vous souhaitez également utiliser d'autres plans de protection dédiés GuardDuty, vous devez commencer par utiliser le GuardDuty service Amazon. Pour plus d'informations sur les plans de GuardDuty protection, consultez[Caractéristiques de GuardDuty](what-is-guardduty.md#features-of-guardduty). Lorsque vous l'avez déjà activée GuardDuty dans votre compte, vous pouvez ignorer cette étape et continuer[Configuration de la protection contre les programmes malveillants pour S3 pour votre compartiment](configuring-malware-protection-for-s3-guardduty.md).
**Étapes pour démarrer avec Malware Protection pour la détection des menaces uniquement dans S3**
1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Sélectionnez **GuardDuty Malware Protection pour S3 uniquement**. Cela vous permet de détecter si un fichier récemment chargé dans votre compartiment Amazon Simple Storage Service (Amazon S3) contient potentiellement un logiciel malveillant.
![\[Sélectionnez l'option Protection contre les GuardDuty programmes malveillants pour S3 uniquement, puis choisissez Commencer.\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/images/select-malware-protection-for-s3-console.png)
1. Choisissez **Démarrer**. Vous pouvez maintenant suivre les étapes ci-dessous[Configuration de la protection contre les programmes malveillants pour S3 pour votre compartiment](configuring-malware-protection-for-s3-guardduty.md).
# Configuration de la protection contre les programmes malveillants pour S3 pour votre compartiment
Pour que Malware Protection for S3 analyse et (éventuellement) ajoute des balises à vos objets S3, vous pouvez utiliser des rôles de service disposant des autorisations nécessaires pour effectuer des actions d'analyse des programmes malveillants en votre nom. Pour plus d'informations sur l'utilisation des rôles de service pour activer la protection contre les programmes malveillants pour S3, consultez [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Ce rôle est différent du rôle [lié au service GuardDuty Malware Protection](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Si vous préférez utiliser des rôles IAM, vous pouvez associer un rôle IAM incluant les autorisations requises pour scanner et (éventuellement) ajouter des balises à vos objets S3. GuardDuty assume ensuite ce rôle IAM pour effectuer ces actions en votre nom. Vous aurez besoin de ce nom de rôle IAM au moment d'activer ce plan de protection pour votre compartiment Amazon S3.
Si vous utilisez des rôles IAM, chaque fois que vous souhaitez protéger un compartiment Amazon S3, vous devez suivre les deux étapes répertoriées dans cette section.
Pour activer la protection contre les programmes malveillants pour S3, vous aurez besoin de détails tels que le nom du compartiment S3, les préfixes d'objets si vous souhaitez concentrer la protection sur des préfixes spécifiques, et le nom du rôle IAM avec les autorisations requises.
Les étapes restent les mêmes, que vous commenciez à utiliser Malware Protection for S3 de manière indépendante ou que vous l'activiez dans le cadre du GuardDuty service.
**Rubriques**
1. [Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md)
1. [Activation de la protection contre les programmes malveillants pour S3 pour votre compartiment](enable-malware-protection-s3-bucket.md)
1. [Résolution d'une erreur d'autorisation de rôle IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Activation de la protection contre les programmes malveillants pour S3 pour votre compartiment
Cette section explique en détail comment activer la protection contre les programmes malveillants pour S3 pour un compartiment de votre propre compte. Avant de poursuivre, prenez en compte les points suivants :
+ Lorsque vous activez ce plan de protection à l'aide de la GuardDuty console, il inclut l'étape permettant de créer un nouveau rôle ou d'utiliser un rôle existant dans la section **Accès au service**.
+ Lorsque vous activez ce plan de protection à l'aide de l' GuardDuty API ou de la CLI, vous devez le faire [Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md) avant de poursuivre.
+ Quelle que soit la manière dont vous activez ce plan de protection, vous devez disposer des éléments requis[Autorisations pour créer une ressource de plan de protection contre les logiciels malveillants](#malware-protection-s3-permissions-prerequisite).
**Envisager la limitation des compartiments Amazon S3**
S3 Throttling peut limiter le débit auquel les données peuvent être transférées vers ou depuis vos compartiments Amazon S3. Cela peut retarder l'analyse des malwares sur les objets que vous venez de télécharger.
Si vous vous attendez à recevoir des volumes élevés de buckets S3 `GET` et de `PUT` requêtes à leur destination, envisagez de mettre en œuvre des mesures pour empêcher la limitation. Pour plus d'informations sur la procédure à suivre, consultez la section [Empêcher la limitation d'Amazon S3](https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-s3-throttling.html) dans le guide de l'utilisateur d'*Amazon Athena*.
**Topics**
## Autorisations pour créer une ressource de plan de protection contre les logiciels malveillants
Lorsque vous activez Malware Protection for S3 pour un compartiment Amazon S3, vous GuardDuty créez une ressource de plan de protection contre les malwares qui sert d'identifiant pour le plan de protection du compartiment. Si vous n'utilisez pas encore le[AWS politique gérée : AmazonGuardDutyFullAccess\$1v2 (recommandée)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2), vous devez ajouter les autorisations suivantes pour créer cette ressource :
+ `guardDuty:CreateMalwareProtectionPlan`
+ `iam:PassRole`
Vous pouvez utiliser l'exemple de politique personnalisée suivant et le *placeholder values* remplacer par les valeurs appropriées à votre compte :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"guardduty:CreateMalwareProtectionPlan"
],
"Resource": "*"
}
]
}
```
------
## Activation de la protection contre les programmes malveillants pour S3 à l'aide de GuardDuty la console
Les sections suivantes proposent une step-by-step procédure pas à pas, comme vous le découvrirez dans la GuardDuty console.
**Pour activer la protection contre les programmes malveillants pour S3 à l'aide de GuardDuty la console**
### Entrez les détails du compartiment S3
Suivez les étapes suivantes pour fournir les détails du compartiment Amazon S3 :
1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez activer la protection contre les programmes malveillants pour S3.
1. Dans le volet de navigation, choisissez **Malware Protection for S3**.
1. Dans la section **Compartiments protégés**, choisissez **Activer** pour activer la protection contre les programmes malveillants pour S3 pour un compartiment S3 appartenant au vôtre. Compte AWS
1. Sous **Entrez les détails du compartiment S3**, entrez le nom du **compartiment Amazon S3**. Vous pouvez également choisir **Browse S3** pour sélectionner un compartiment S3.
Le Région AWS compartiment S3 et l' Compte AWS endroit où vous activez la protection contre les programmes malveillants pour S3 doivent être identiques. Par exemple, si votre compte appartient à la `us-east-1` région, la région de votre compartiment Amazon S3 doit également l'être`us-east-1`.
1. Sous **Préfixe**, vous pouvez sélectionner soit **tous les objets du compartiment S3, soit les** **objets commençant par un préfixe spécifique**.
+ Sélectionnez **Tous les objets du compartiment S3** lorsque vous le souhaitez GuardDuty pour scanner tous les objets récemment téléchargés dans le compartiment sélectionné.
+ Sélectionnez **Objets commençant par un préfixe spécifique** lorsque vous souhaitez scanner les objets récemment chargés qui appartiennent à un préfixe spécifique. Cette option vous permet de concentrer l'analyse des programmes malveillants uniquement sur les préfixes d'objets sélectionnés. Pour plus d'informations sur l'utilisation des préfixes, consultez la section [Organisation des objets dans la console Amazon S3 à l'aide de dossiers](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) dans le *guide de l'utilisateur Amazon S3*.
Choisissez **Ajouter un préfixe** et entrez le préfixe. Vous pouvez ajouter jusqu'à cinq préfixes.
### Activer le balisage pour les objets numérisés
Il s'agit d'une étape **facultative**. Lorsque vous activez l'option de balisage avant qu'un objet ne soit chargé dans votre bucket, une fois l'analyse terminée, GuardDuty vous ajoutez une balise prédéfinie avec la clé as `GuardDutyMalwareScanStatus` et la valeur comme résultat de l'analyse. Pour utiliser Malware Protection for S3 de manière optimale, nous vous recommandons d'activer l'option permettant d'ajouter une balise aux objets S3 une fois l'analyse terminée. Le coût standard du balisage d'objets S3 s'applique. Pour de plus amples informations, veuillez consulter [Tarification et coût d'utilisation de Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
**Pourquoi devriez-vous activer le balisage ?**
+ L'activation du balisage est l'un des moyens de connaître le résultat de l'analyse des logiciels malveillants. Pour plus d'informations sur le résultat d'une analyse des programmes malveillants S3, consultez[Surveillance des scans d'objets S3 dans Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
+ Configurez une politique de contrôle d'accès basé sur des balises (TBAC) sur votre compartiment S3 contenant l'objet potentiellement malveillant. Pour plus d'informations sur les considérations à prendre en compte et sur la manière de mettre en œuvre le contrôle d'accès basé sur les balises (TBAC), consultez. [Utilisation du contrôle d'accès basé sur des balises (TBAC) avec Malware Protection pour S3](tag-based-access-s3-malware-protection.md)
**Considérations relatives GuardDuty à l'ajout d'une balise à votre objet S3 :**
+ Par défaut, vous pouvez associer jusqu'à 10 balises à un objet. Pour plus d'informations, consultez la section [Catégorisation de votre stockage à l'aide de balises](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) dans le *guide de l'utilisateur Amazon S3*.
Si les 10 balises sont déjà utilisées, GuardDuty vous ne pouvez pas ajouter la balise prédéfinie à l'objet numérisé. GuardDuty publie également le résultat de l'analyse sur votre bus d' EventBridge événements par défaut. Pour de plus amples informations, veuillez consulter [Surveillance des scans d'objets S3 avec Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Lorsque le rôle IAM sélectionné n'inclut pas l'autorisation de GuardDuty baliser l'objet S3, même si le balisage est activé pour votre compartiment protégé, vous ne GuardDuty pourrez pas ajouter de balise à cet objet S3 scanné. Pour plus d'informations sur l'autorisation de rôle IAM requise pour le balisage, consultez. [Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md)
GuardDuty publie également le résultat de l'analyse sur votre bus d' EventBridge événements par défaut. Pour de plus amples informations, veuillez consulter [Surveillance des scans d'objets S3 avec Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
**Pour sélectionner une option sous Marquer **les objets numérisés****
+ Lorsque vous **souhaitez** ajouter GuardDuty des balises à vos objets S3 numérisés, sélectionnez **Étiqueter les objets**.
+ Si vous **ne souhaitez pas** ajouter GuardDuty de balises à vos objets S3 numérisés, sélectionnez **Ne pas étiqueter les objets**.
### Accès au service
Suivez les étapes ci-dessous pour choisir un rôle de service existant ou créer un nouveau rôle de service doté des autorisations nécessaires pour effectuer des actions d'analyse des programmes malveillants en votre nom. Ces actions peuvent inclure l'analyse des objets S3 récemment téléchargés et (éventuellement) l'ajout de balises à ces objets. Pour plus d'informations sur les autorisations dont bénéficiera ce rôle, consultez[Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md).
Dans la section **Accès au service**, vous pouvez effectuer l'une des opérations suivantes :
1. **Création et utilisation d'un nouveau rôle de service** : vous pouvez créer un nouveau rôle de service doté des autorisations nécessaires pour effectuer une analyse des programmes malveillants.
Sous le **nom du rôle**, vous pouvez choisir d'utiliser le nom prérempli par GuardDuty ou de saisir un nom significatif de votre choix pour identifier le rôle. Par exemple `GuardDutyS3MalwareScanRole`. Le nom du rôle doit comporter de 1 à 64 caractères. Les caractères valides sont les suivants : a-z, A-Z, 0-9 et « \$1=, .@-\$1 ».
1. **Utiliser un rôle de service existant** : vous pouvez choisir un rôle de service existant dans la liste des **noms de rôle de service**.
1. Sous **Modèle de politique**, vous pouvez consulter la politique de votre compartiment S3. Assurez-vous d'avoir saisi ou sélectionné un compartiment S3 dans la section **Entrer les détails du compartiment S3**.
1. Sous **Nom du rôle de service**, choisissez un rôle de service dans la liste des rôles de service.
Vous pouvez modifier la politique en fonction de vos besoins. Pour plus de détails sur la façon de créer ou de mettre à jour un rôle IAM, voir [Création ou mise à jour de la politique de rôle IAM](https://docs.aws.amazon.com//guardduty/latest/ug/malware-protection-s3-iam-policy-prerequisite.html).
Pour les problèmes liés aux autorisations des rôles IAM, consultez[Résolution d'une erreur d'autorisation de rôle IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
### (Facultatif) Marquez l'identifiant du plan de protection contre les programmes malveillants
Il s'agit d'une étape facultative qui vous permet d'ajouter des balises à la ressource du plan de protection contre les programmes malveillants qui serait créée pour votre ressource de compartiment S3.
Chaque balise comporte deux parties : une clé de balise et une valeur de balise facultative. Pour plus d'informations sur le balisage et ses avantages, consultez la section Ressources relatives au [balisage AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Pour ajouter des balises à la ressource de votre plan de protection contre les programmes malveillants**
1. Entrez **la clé** et une **valeur** facultative pour le tag. La clé de balise et la valeur de la balise distinguent les majuscules et minuscules. Pour plus d'informations sur les noms de clé de balise et de valeur de balise, voir [Limites et exigences en matière de dénomination des balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
1. Pour ajouter d'autres balises à la ressource de votre plan de protection contre les programmes malveillants, choisissez **Ajouter une nouvelle balise** et répétez l'étape précédente. Vous pouvez ajouter jusqu'à 50 balises à chaque ressource .
1. Sélectionnez **Activer**.
## Activation de la protection contre les programmes malveillants pour S3 à l'aide de l'API/CLI
Cette section décrit les étapes à suivre pour activer la protection contre les programmes malveillants pour S3 par programmation dans votre AWS environnement. Cela nécessite le rôle IAM Amazon Resource Name (ARN) que vous avez créé à cette étape -[Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Pour activer la protection contre les programmes malveillants pour S3 par programmation à l'aide de l'API/CLI**
+ **En utilisant l'API**
Exécutez le [CreateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMalwareProtectionPlan.html)pour activer la protection contre les programmes malveillants pour S3 pour un compartiment appartenant à votre propre compte.
+ **En utilisant AWS CLI**
Selon la manière dont vous souhaitez activer la protection contre les programmes malveillants pour S3, la liste suivante fournit des AWS CLI exemples de commandes pour un cas d'utilisation spécifique. Lorsque vous exécutez ces commandes, remplacez le*placeholder examples shown in red*, par les valeurs appropriées à votre compte.
**AWS CLI exemples de commandes**
+ Utilisez la AWS CLI commande suivante pour activer la protection contre les programmes malveillants pour S3 pour un compartiment sans marquage pour les objets S3 scannés :
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
+ Utilisez la AWS CLI commande suivante pour activer la protection contre les programmes malveillants pour S3 pour un compartiment avec des préfixes d'objets spécifiques et aucun balisage pour les objets S3 scannés :
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
+ Utilisez la AWS CLI commande suivante pour activer la protection contre les programmes malveillants pour S3 pour un compartiment sur lequel le balisage des objets S3 scannés est activé :
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Une fois ces commandes exécutées avec succès, un identifiant unique de plan de protection contre les logiciels malveillants sera généré. Pour effectuer des actions telles que la mise à jour ou la désactivation du plan de protection de votre compartiment, vous aurez besoin de cet ID de plan de protection contre les logiciels malveillants.
Pour les problèmes liés aux autorisations des rôles IAM, consultez[Résolution d'une erreur d'autorisation de rôle IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
# Création ou mise à jour d'une politique de rôle IAM
Pour que Malware Protection for S3 analyse et (éventuellement) ajoute des balises à vos objets S3, vous pouvez utiliser des rôles de service disposant des autorisations nécessaires pour effectuer des actions d'analyse des programmes malveillants en votre nom. Pour plus d'informations sur l'utilisation des rôles de service pour activer la protection contre les programmes malveillants pour S3, consultez [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Ce rôle est différent du rôle [lié au service GuardDuty Malware Protection](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Si vous préférez utiliser des rôles IAM, vous pouvez associer un rôle IAM incluant les autorisations requises pour scanner et (éventuellement) ajouter des balises à vos objets S3. Vous devez créer un rôle IAM ou mettre à jour un rôle existant pour inclure ces autorisations. Ces autorisations étant requises pour chaque compartiment Amazon S3 pour lequel vous activez Malware Protection for S3, vous devez effectuer cette étape pour chaque compartiment Amazon S3 que vous souhaitez protéger.
La liste suivante explique comment certaines autorisations permettent d' GuardDuty effectuer l'analyse des programmes malveillants en votre nom :
+ Autorisez EventBridge les actions Amazon à créer et à gérer la règle EventBridge gérée afin que Malware Protection for S3 puisse écouter les notifications de vos objets S3.
Pour plus d'informations, consultez les [règles EventBridge gérées par Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) dans le *guide de EventBridge l'utilisateur Amazon*.
+ Autoriser Amazon S3 et EventBridge les actions à envoyer des notifications EventBridge pour tous les événements de ce compartiment
Pour plus d'informations, consultez la section [Activation d'Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) dans le *guide de l'utilisateur Amazon S3*.
+ Autorisez les actions Amazon S3 à accéder à l'objet S3 chargé et à ajouter une balise prédéfinie à l'objet S3 scanné. `GuardDutyMalwareScanStatus` Lorsque vous utilisez un préfixe d'objet, ajoutez une `s3:prefix` condition uniquement aux préfixes ciblés. Cela GuardDuty empêche l'accès à tous les objets S3 de votre compartiment.
+ Autorisez les actions clés KMS à accéder à l'objet avant de scanner et de placer un objet de test sur des compartiments avec le chiffrement DSSE-KMS et SSE-KMS pris en charge.
**Note**
Cette étape est obligatoire chaque fois que vous activez la protection contre les programmes malveillants pour S3 pour un compartiment de votre compte. Si vous possédez déjà un rôle IAM, vous pouvez mettre à jour sa politique pour inclure les détails d'une autre ressource de compartiment Amazon S3. La [Ajouter des autorisations de politique IAM](#attach-iam-policy-s3-malware-protection) rubrique fournit un exemple expliquant comment procéder.
Utilisez les politiques suivantes pour créer ou mettre à jour un rôle IAM.
**Topics**
+ [Ajouter des autorisations de politique IAM](#attach-iam-policy-s3-malware-protection)
+ [Ajouter une politique de relation de confiance](#add-iam-trust-policy-s3-malware-protection)
## Ajouter des autorisations de politique IAM
Vous pouvez choisir de mettre à jour la politique intégrée d'un rôle IAM existant ou de créer un nouveau rôle IAM. Pour plus d'informations sur les étapes, voir [Création d'un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) ou [Modification d'une politique d'autorisations de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) dans le Guide de l'*utilisateur IAM*.
Ajoutez le modèle d'autorisations suivant à votre rôle IAM préféré. Remplacez les valeurs d'espace réservé suivantes par les valeurs appropriées associées à votre compte :
+ Pour*amzn-s3-demo-bucket*, remplacez-le par le nom de votre compartiment Amazon S3.
Pour utiliser le même rôle IAM pour plusieurs ressources de compartiment S3, mettez à jour une politique existante, comme indiqué dans l'exemple suivant :
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Assurez-vous d'ajouter une virgule (,) avant d'ajouter un nouvel ARN associé au compartiment S3. Procédez ainsi chaque fois que vous faites référence à un compartiment S3 `Resource` dans le modèle de politique.
+ Pour*111122223333*, remplacez-le par votre Compte AWS identifiant.
+ Pour*us-east-1*, remplacez-le par votre Région AWS.
+ Pour*APKAEIBAERJR2EXAMPLE*, remplacez-le par votre identifiant de clé géré par le client. Si votre compartiment S3 est chiffré à l'aide d'une AWS KMS clé, nous ajoutons les autorisations appropriées si vous choisissez l'option [Créer un nouveau rôle](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) lors de la configuration de la protection contre les programmes malveillants pour votre compartiment.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Modèle de politique de rôle IAM**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Ajouter une politique de relation de confiance
Associez la politique de confiance suivante à votre rôle IAM. Pour plus d'informations sur les étapes, consultez la section [Modification d'une politique d'approbation des rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Résolution d'une erreur d'autorisation de rôle IAM
Lorsque vous activez Malware Protection pour S3, GuardDuty vérifiez si votre rôle de service IAM dispose des autorisations nécessaires pour valider la propriété du compartiment Amazon S3. Si ces autorisations sont manquantes ou mal configurées, le message suivant peut s'afficher :
```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```
Les scénarios suivants peuvent vous aider à résoudre cette erreur :
**Autorisations de rôle IAM manquantes**
+ Le rôle IAM doit disposer des autorisations requises pour permettre à Malware Protection for S3 d'assumer le rôle.
+ GuardDuty valide la propriété du bucket avec l'`"s3:ListBucket"`autorisation. Cela doit être présent dans le rôle IAM que vous utilisez.
Pour plus d'informations sur les autorisations, consultez[Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Disponibilité des rôles IAM**
+ Lorsque vous créez un nouveau rôle IAM, attendez quelques minutes pour que les modifications soient finalement cohérentes avant d'activer Malware Protection pour S3. Si vous essayez d'activer le plan de protection immédiatement après avoir créé le rôle, la validation risque d'échouer.
+ Pour les déploiements d'infrastructure en tant que code (IaC), il est GuardDuty recommandé de déclarer une dépendance aux ressources afin de garantir la cohérence finale du rôle IAM.
Pour des exemples de modèles expliquant comment procéder, consultez le [GuardDuty GitHubréférentiel](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk).
**Facilitation interrégionale**
Assurez-vous que votre compartiment Amazon S3 se trouve dans la même région que celle dans laquelle vous activez la protection contre les programmes malveillants pour S3 GuardDuty.
# Étapes à suivre après avoir activé la protection contre les programmes malveillants pour S3
Cette section répertorie les étapes que vous pouvez suivre après avoir activé Malware Protection for S3 pour un compartiment. Les étapes suivantes sont répertoriées dans un ordre qui vous aidera à passer aux étapes suivantes :
**À suivre après avoir activé la protection contre les programmes malveillants pour S3 pour votre compartiment**
1. **Ajouter une politique de ressources de contrôle d'accès basée sur des balises (TBAC)** : lorsque vous activez le balisage, assurez-vous d'ajouter la politique TBAC à la ressource de votre compartiment S3 avant qu'un objet ne soit chargé dans le compartiment sélectionné. Pour de plus amples informations, veuillez consulter [Ajouter le TBAC à la ressource du compartiment S3](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
1. **Surveiller l'état du plan de protection contre les programmes malveillants** : surveillez la colonne **État** de chaque compartiment protégé. Pour plus d'informations sur les statuts potentiels et leur signification, consultez[Affichage et compréhension de l'état du compartiment protégé](malware-protection-s3-bucket-status-gdu.md).
1. **Lancez une analyse** en choisissant l'une des options suivantes :
+ **Téléchargez un objet** :
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Téléchargez un fichier dans le compartiment S3 ou dans le préfixe d'objet pour lequel vous avez activé cette fonctionnalité. Pour savoir comment charger un fichier, consultez la section [Charger un objet dans votre compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/uploading-an-object-bucket.html) dans le *guide de l'utilisateur Amazon S3*.
+ **Lancez une analyse à la demande** : [Analyse des malwares S3 à la demande dans GuardDuty](malware-protection-s3-on-demand.md)
1. **Surveiller l'état de l'analyse des objets S3 et les résultats de l'analyse** : cette étape inclut des informations sur la façon de vérifier l'état de l'analyse des programmes malveillants de l'objet S3.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/malware-protection-s3-steps-after-enabling.html)
# Analyse des malwares S3 à la demande dans GuardDuty
GuardDuty Malware Protection for S3 surveille en permanence les nouveaux téléchargements S3. Pour les objets qui existaient avant l'activation de la protection, ou pour réanalyser des objets précédemment analysés, vous pouvez lancer une analyse des programmes malveillants S3 à la demande une fois que vous avez activé le plan de protection contre les GuardDuty programmes malveillants pour votre compartiment.
L'analyse des programmes malveillants à la demande utilise le rôle IAM du Malware Protection Plan pour l'accès aux objets et l'application de la configuration. L'analyse remplacera tout préfixe configuré dans le plan de protection contre les programmes malveillants pour le compartiment.
**Note**
Le quota Malware Protection for S3 s'applique à l'analyse des programmes malveillants à la demande. Pour plus d'informations, voir[Quotas dans la protection contre les malwares pour S3](malware-protection-s3-quotas-guardduty.md).
Pour de plus amples informations sur la tarification, consultez [Tarification et coût d'utilisation de Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
## Conditions préalables
Avant de lancer une analyse des programmes malveillants à la demande, votre compte doit remplir les conditions préalables suivantes :
+ La protection contre les programmes malveillants pour S3 est activée sur le compartiment cible. Pour plus d’informations, consultez [Configuration de la protection contre les programmes malveillants pour S3 pour votre compartiment](configuring-malware-protection-for-s3-guardduty.md).
+ La [AWS politique gérée : AmazonGuardDutyFullAccess\$1v2 (recommandée)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) politique est attachée à l'utilisateur IAM ou au rôle IAM qui appelle l'API.
## Lancer une analyse des programmes malveillants à la
Utilisez l'opération [SendObjectMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_SendObjectMalwareScan.html)API, qui nécessite le chemin de l'objet S3 en entrée.
------
#### [ API/CLI ]
Vous pouvez numériser la dernière version de l'objet ou spécifier une version particulière à numériser.
Pour scanner une version spécifique d'un objet :
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE", "VersionId": "d41d8cd98f00b204e9800998eEXAMPLE"}'
```
Pour scanner la dernière version d'un objet :
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE"}'
```
------
**Important**
Un appel d'API réussi confirme que la demande d'analyse a été acceptée. Cependant, il est important de surveiller les résultats de l'analyse pour garantir le bon déroulement de l'analyse et identifier les éventuels problèmes, tels que les erreurs d'accès à l'objet. Pour de plus amples informations, veuillez consulter [Surveillance des scans d'objets S3 dans Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
# Utilisation du contrôle d'accès basé sur des balises (TBAC) avec Malware Protection pour S3
Lorsque vous activez Malware Protection for S3 pour votre compartiment, vous pouvez éventuellement choisir d'activer le balisage. Après avoir tenté de scanner un objet S3 récemment chargé dans le compartiment sélectionné, GuardDuty ajoute une balise à l'objet scanné pour indiquer l'état de l'analyse des programmes malveillants. Un coût d'utilisation direct est associé à l'activation du balisage. Pour de plus amples informations, veuillez consulter [Tarification et coût d'utilisation de Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
GuardDuty utilise une balise prédéfinie avec la clé as `GuardDutyMalwareScanStatus` et la valeur comme l'un des statuts d'analyse des programmes malveillants. Pour plus d'informations sur ces valeurs, consultez[État du scan potentiel de l'objet S3 et état des résultats](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
**Considérations relatives GuardDuty à l'ajout d'une balise à votre objet S3 :**
+ Par défaut, vous pouvez associer jusqu'à 10 balises à un objet. Pour plus d'informations, consultez la section [Catégorisation de votre stockage à l'aide de balises](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) dans le *guide de l'utilisateur Amazon S3*.
Si les 10 balises sont déjà utilisées, GuardDuty vous ne pouvez pas ajouter la balise prédéfinie à l'objet numérisé. GuardDuty publie également le résultat de l'analyse sur votre bus d' EventBridge événements par défaut. Pour de plus amples informations, veuillez consulter [Surveillance des scans d'objets S3 avec Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Lorsque le rôle IAM sélectionné n'inclut pas l'autorisation de GuardDuty baliser l'objet S3, même si le balisage est activé pour votre compartiment protégé, vous ne GuardDuty pourrez pas ajouter de balise à cet objet S3 scanné. Pour plus d'informations sur l'autorisation de rôle IAM requise pour le balisage, consultez. [Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md)
GuardDuty publie également le résultat de l'analyse sur votre bus d' EventBridge événements par défaut. Pour de plus amples informations, veuillez consulter [Surveillance des scans d'objets S3 avec Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
## Ajouter le TBAC à la ressource du compartiment S3
Vous pouvez utiliser les politiques de ressources du compartiment S3 pour gérer le contrôle d'accès basé sur les balises (TBAC) pour vos objets S3. Vous pouvez autoriser des utilisateurs spécifiques à accéder à l'objet S3 et à le lire. Si votre organisation a été créée en utilisant AWS Organizations, vous devez faire en sorte que personne ne puisse modifier les balises ajoutées par GuardDuty. Pour plus d'informations, consultez [la section Empêcher la modification des balises, sauf par des personnes autorisées](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin), dans le *Guide de l'AWS Organizations utilisateur*. L'exemple utilisé dans le sujet lié mentionne`ec2`. Lorsque vous utilisez cet exemple, remplacez *ec2* par`s3`.
La liste suivante explique ce que vous pouvez faire à l'aide du TBAC :
+ Empêchez tous les utilisateurs, à l'exception du principal de service Malware Protection for S3, de lire les objets S3 qui ne sont pas encore balisés avec la paire clé-valeur de balise suivante :
`GuardDutyMalwareScanStatus`:`Potential key value`
+ GuardDuty Autoriser uniquement l'ajout de la clé de balise `GuardDutyMalwareScanStatus` avec une valeur comme résultat de numérisation, à un objet S3 scanné. Le modèle de politique suivant peut permettre à des utilisateurs spécifiques ayant accès de potentiellement remplacer la paire clé-valeur du tag.
**Exemple de politique de ressources du compartiment S3 :**
Remplacez les valeurs d'espace réservé suivantes dans l'exemple de politique :
+ *IAM-role-name*- Indiquez le rôle IAM que vous avez utilisé pour configurer Malware Protection pour S3 dans votre compartiment.
+ *555555555555*- Fournissez le compartiment Compte AWS associé au compartiment protégé.
+ *amzn-s3-demo-bucket*- Indiquez le nom du compartiment protégé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "NoReadUnlessClean",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
}
}
},
{
"Sid": "OnlyGuardDutyCanTagScanStatus",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": "s3:PutObjectTagging",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ForAnyValue:StringEquals": {
"s3:RequestObjectTagKeys": "GuardDutyMalwareScanStatus"
}
}
}
]
}
```
------
Pour plus d'informations sur le balisage de votre ressource S3, les politiques de [balisage et de contrôle d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging-and-policies.html).
# Affichage et compréhension de l'état du compartiment protégé
Après avoir activé Malware Protection for S3 pour un compartiment, l'état indique si la fonctionnalité est configurée et fonctionne comme prévu. Ce statut est associé à un identifiant (ID) unique du plan de protection contre les logiciels malveillants. GuardDuty crée cet identifiant au moment de l'activation de la fonctionnalité.
Pour consulter le statut de votre bucket protégé, procédez comme suit :
1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, sélectionnez **Malware Protection for S3**.
1. Dans le tableau **des compartiments protégés**, consultez la colonne **État** correspondante pour votre **compartiment S3**.
Le tableau suivant répertorie et décrit les valeurs d'état associées à la ressource de votre plan de protection contre les programmes malveillants. En comprenant ce que ces statuts signifient pour votre compartiment protégé, vous pouvez mieux vous assurer qu'il GuardDuty lance une analyse automatique des programmes malveillants lorsqu'un objet est chargé.
| Statut | Description |
| --- | --- |
| Actif | Votre compartiment S3 a été correctement configuré avec Malware Protection for S3. Lorsque le statut est *Actif*, les modifications apportées au rôle IAM (suppression ou modification des autorisations) ne mettent pas le statut *Avertissement* ou *Erreur* à jour. Nous vous recommandons de surveiller en permanence l'état du scan en utilisant l'une des méthodes décrites dans[Surveillance des scans d'objets S3](monitoring-malware-protection-s3-scans-gdu.md). |
| Avertissement **[*](#fix-protection-status-s3-malware)** | La protection contre les programmes malveillants pour S3 est conçue pour ne pas être affectée lorsqu'un avertissement apparaît. Lorsqu' GuardDuty il détecte un nouvel objet S3, il lance une analyse des logiciels malveillants. Une fois l'analyse lancée avec succès, la valeur de la colonne **Status** peut prendre quelques minutes pour passer à **Active**. Vous recevrez une EventBridge notification après la mise à jour de la valeur de la colonne **État**. |
| Erreur **[*](#fix-protection-status-s3-malware)** | Votre seau n'est pas protégé. Aucune des analyses de programmes malveillants associées à ce compartiment S3 ne sera terminée. Il peut y avoir une ou plusieurs causes profondes potentielles. |
**\$1** Pour plus d'informations sur les problèmes potentiels et les étapes correspondantes pour les résoudre, consultez[Résolution des problèmes liés à l'état du plan de protection](troubleshoot-s3-malware-protection-status-errors.md).
# Surveillance des scans d'objets S3 dans Malware Protection for S3
Lorsque vous utilisez Malware Protection for S3 avec un identifiant de GuardDuty détecteur, si votre objet Amazon S3 est potentiellement malveillant, il GuardDuty sera généré[Protection contre les programmes malveillants pour le type de recherche S3](gdu-malware-protection-s3-finding-types.md). À l'aide de la GuardDuty console APIs, vous pouvez consulter les résultats générés. Pour plus d'informations sur la compréhension de ce type de recherche, consultez[Détails d'un résultat](guardduty_findings-summary.md).
Lorsque vous utilisez Malware Protection for S3 sans l'activer GuardDuty (aucun identifiant de détecteur), même si votre objet Amazon S3 scanné est potentiellement malveillant, GuardDuty vous ne pouvez générer aucun résultat.
**Topics**
+ [État du scan potentiel de l'objet S3 et état des résultats](#s3-object-scan-result-value-malware-protection)
+ [Surveillance des scans d'objets S3 avec Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md)
+ [Surveillance des scans d'objets S3 à l'aide de balises GuardDuty gérées](monitor-enable-s3-object-tagging-malware-protection.md)
+ [Métriques d'état d'analyse des objets S3 dans CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md)
## État du scan potentiel de l'objet S3 et état des résultats
Cette section explique les valeurs d'état d'analyse potentielles des objets S3 et les valeurs des résultats d'analyse.
L'état d'analyse d'un objet S3 indique l'état de l'analyse des programmes malveillants, par exemple terminée, ignorée ou échouée.
L'état du résultat de l'analyse des programmes malveillants d'un objet S3 indique le résultat de l'analyse en fonction de la valeur de l'état d'analyse. La valeur d'état de chaque résultat d'analyse de programmes malveillants correspond à un état d'analyse.
La liste suivante fournit les valeurs potentielles des résultats d'analyse des objets S3. Si vous avez activé le balisage, vous pouvez surveiller le résultat de l'analyse en[Utilisation des balises d'objets S3](monitor-enable-s3-object-tagging-malware-protection.md). Après l'analyse, la valeur de la balise aura l'une des valeurs de résultat d'analyse suivantes.
**Valeurs d'état des résultats d'analyse des malwares potentiels d'un objet S3**
+ `NO_THREATS_FOUND`— n'a GuardDuty détecté aucune menace potentielle associée à l'objet scanné.
+ `THREATS_FOUND`— GuardDuty a détecté une menace potentielle associée à l'objet scanné.
+ `UNSUPPORTED`— Il existe plusieurs raisons pour lesquelles Malware Protection for S3 ignore une analyse. Les raisons potentielles incluent un fichier protégé par mot de passe, des archives présentant des taux de compression extrêmement élevés et le support de certaines fonctionnalités d'Amazon S3 peut ne pas être disponible. [Protection contre les malwares pour les quotas S3](malware-protection-s3-quotas-guardduty.md) Pour de plus amples informations, veuillez consulter [Fonctionnalités de protection contre les malwares pour S3](s3-malware-protection-capability.md).
+ `ACCESS_DENIED`— GuardDuty Impossible d'accéder à cet objet pour le scanner. Vérifiez les autorisations de rôle IAM associées à ce compartiment. Pour de plus amples informations, veuillez consulter [Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md).
Si vous avez activé le balisage des objets S3 après le scan, consultez. [Résolution des défaillances des balises après numérisation des objets S3](troubleshoot-s3-post-scan-tag-failures.md)
+ `FAILED`— GuardDuty impossible d'effectuer une analyse des programmes malveillants sur cet objet en raison d'une erreur interne.
La liste suivante fournit les valeurs d'état potentielles de l'analyse des objets S3 et leur mappage avec le résultat de l'analyse des objets S3.
**Valeurs d'état de scan potentiel de l'objet S3**
+ **Terminé** — L'analyse s'est terminée avec succès et indique si l'objet S3 contient un logiciel malveillant. Dans ce cas, la valeur potentielle du résultat de l'analyse d'un objet S3 peut être l'une `THREATS_FOUND` ou l'autre`NO_THREATS_FOUND`.
+ **Ignoré** : GuardDuty ignore une analyse des programmes malveillants lorsque le scan de cet objet S3 n'est pas pris en charge par Malware Protection for S3 ou GuardDuty s'il n'a pas accès à l'objet S3 chargé dans le compartiment sélectionné.
Dans ce cas, la valeur potentielle du résultat de l'analyse d'un objet S3 peut être l'une `UNSUPPORTED` ou l'autre`ACCESS_DENIED`.
GuardDuty ignorera également l'analyse si le rôle IAM requis est supprimé.
+ **Échec** : similaire à la valeur du résultat de l'analyse de l'objet S3`FAILED`, cet état d'analyse signifie qu'il n' GuardDuty a pas été possible d'effectuer une analyse des programmes malveillants sur l'objet S3 en raison d'une erreur interne.
# Surveillance des scans d'objets S3 avec Amazon EventBridge
*Amazon EventBridge* est un service de bus d'événements sans serveur qui permet de connecter facilement vos applications à des données provenant de diverses sources. EventBridge fournit un flux de données en temps réel à partir de vos propres applications, applications Software-as-a-Service (SaaS) et AWS services et achemine ces données vers des cibles telles que Lambda. Cela vous permet de surveiller les événements qui se produisent dans les services et de créer des architectures basées sur les événements. Pour plus d'informations, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
En tant que compte propriétaire d'un compartiment S3 protégé par Malware Protection for S3, il GuardDuty publie EventBridge des notifications sur le bus d'événements par défaut dans les scénarios suivants :
+ **La protection contre les programmes malveillants planifie les modifications de l'état des ressources** pour tous vos compartiments protégés. Pour plus d'informations sur les différents statuts, consultez[Affichage et compréhension de l'état du compartiment protégé](malware-protection-s3-bucket-status-gdu.md).
Pour configurer la règle Amazon EventBridge (EventBridge) pour le statut des ressources, consultez[État des ressources du plan de protection contre les logiciels malveillants](#resource-status-malware-protection-s3-ev).
+ Le **résultat de l'analyse des objets S3** est publié sur votre bus d' EventBridge événements par défaut.
Le `s3Throttled` champ indique s'il y a eu un retard dans le chargement ou la récupération du stockage depuis Amazon S3. La valeur `true` indique qu'il y a eu un retard et `false` qu'il n'y a pas eu de retard.
Si `s3Throttled` c'est `true` pour le résultat de votre analyse, Amazon S3 recommande de configurer des préfixes de manière à réduire le nombre de transactions par seconde (TPS) pour chaque préfixe. Pour plus d'informations, consultez la section [Modèles de conception des meilleures pratiques : optimisation des performances d'Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/optimizing-performance.html) dans le *guide de l'utilisateur Amazon S3*.
Pour configurer la règle Amazon EventBridge (EventBridge) pour les résultats d'analyse des objets S3, consultez[Résultat de l'analyse d'objets S3](#s3-object-scan-status-malware-protection-s3-ev).
+ Il y a un **événement d'échec de la balise après le scan** pour les raisons suivantes :
+ Votre rôle IAM ne dispose pas des autorisations nécessaires pour étiqueter l'objet.
Le [Ajouter des autorisations de politique IAM](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection) modèle inclut l'autorisation de GuardDuty baliser un objet.
+ La ressource ou l'objet du bucket spécifié dans le rôle IAM n'existe plus.
+ L'objet S3 associé a déjà atteint la limite maximale de balises. Pour plus d'informations sur la limite de balises, consultez la section [Catégorisation de votre stockage à l'aide de balises](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) dans le *guide de l'utilisateur Amazon S3*.
Pour configurer la règle Amazon EventBridge (EventBridge) pour les événements de défaillance des balises après le scan, consultez[Événements de défaillance des balises après la numérisation](#post-tag-failure-malware-protection-s3-ev).
## Configurer des EventBridge règles
Vous pouvez configurer des EventBridge règles dans votre compte pour envoyer soit l'état des ressources, soit les événements d'échec des balises après le scan, soit le résultat de l'analyse des objets S3 à une autre Service AWS personne. En tant que compte GuardDuty administrateur délégué, vous recevrez la notification de l'état des ressources du plan de protection contre les programmes malveillants en cas de modification du statut.
La EventBridge tarification standard s'appliquera. Pour plus d'informations, consultez les [ EventBridge tarifs Amazon](https://aws.amazon.com/eventbridge/pricing/).
Toutes les valeurs qui apparaissent dans *red* sont des espaces réservés pour l'exemple. Ces valeurs changeront en fonction des valeurs de votre compte et de la détection ou non d'un logiciel malveillant.
**Topics**
+ [État des ressources du plan de protection contre les logiciels malveillants](#resource-status-malware-protection-s3-ev)
+ [Résultat de l'analyse d'objets S3](#s3-object-scan-status-malware-protection-s3-ev)
+ [Événements de défaillance des balises après la numérisation](#post-tag-failure-malware-protection-s3-ev)
### État des ressources du plan de protection contre les logiciels malveillants
Vous pouvez créer un modèle d' EventBridge événement basé sur les scénarios suivants :
**`detail-type`Valeurs potentielles**
+ `"GuardDuty Malware Protection Resource Status Active"`
+ `"GuardDuty Malware Protection Resource Status Warning"`
+ `"GuardDuty Malware Protection Resource Status Error"`
**Schéma d'événement**
```
{
"detail-type": ["potential detail-type"],
"source": ["aws.guardduty"]
}
```
**Exemple de schéma de notification pour `GuardDuty Malware Protection Resource Status Active`** :
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status Active",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ACTIVE"
}
}
```
**Exemple de schéma de notification pour `GuardDuty Malware Protection Resource Status Warning`** :
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status warning",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "WARNING",
"statusReasons": [
{
"code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS"
}
]
}
}
```
**Exemple de schéma de notification pour `GuardDuty Malware Protection Resource Status Error`** :
```
{
"version": "0",
"id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
"detail-type": "GuardDuty Malware Protection Resource Status Error",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ERROR",
"statusReasons": [
{
"code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
}
]
}
}
```
En fonction de la raison `resourceStatus``ERROR`, la `statusReasons` valeur sera renseignée.
Pour plus d'informations sur les étapes de résolution des problèmes liés aux avertissements et erreurs suivants, consultez[Résolution des problèmes liés à l'état du plan de protection](troubleshoot-s3-malware-protection-status-errors.md).
### Résultat de l'analyse d'objets S3
```
{
"detail-type": ["GuardDuty Malware Protection Object Scan Result"],
"source": ["aws.guardduty"]
}
```
**Exemple de schéma de notification pour `NO_THREATS_FOUND`** :
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"threats": null
}
}
}
```
**Exemple de schéma de notification pour `THREATS_FOUND`** :
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"threats": [
{
"name": "EICAR-Test-File (not a virus)"
}
]
}
}
}
```
**Note**
Le `scanResultDetails.Threats` champ ne contient qu'une seule menace. Par défaut, le scan Malware Protection for S3 signale la première menace détectée. Ensuite, le `scanStatus` est réglé sur`COMPLETED`.
**Exemple de schéma de notification pour l'état des résultats du scan `UNSUPPORTED` (ignoré)** :
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "UNSUPPORTED",
"threats": null
}
}
}
```
**Exemple de schéma de notification pour l'état des résultats du scan `ACCESS_DENIED` (ignoré)** :
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "ACCESS_DENIED",
"threats": null
}
}
}
```
**Exemple de schéma de notification pour l'état des résultats du scan `FAILED`** :
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "FAILED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "FAILED",
"threats": null
}
}
}
```
### Événements de défaillance des balises après la numérisation
**Schéma de l'événement** :
```
{
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty"
}
```
**Exemple de schéma de notification pour `ACCESS_DENIED`** :
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "ACCESS_DENIED"
}]
}
}
```
**Exemple de schéma de notification pour `MAX_TAG_LIMIT_EXCEEDED`** :
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "MAX_TAG_LIMIT_EXCEEDED"
}]
}
}
```
Pour résoudre ces causes de défaillance, voir[Résolution des défaillances des balises après numérisation des objets S3](troubleshoot-s3-post-scan-tag-failures.md).
# Surveillance des scans d'objets S3 à l'aide de balises GuardDuty gérées
Utilisez l'option d'activation du balisage afin d' GuardDuty ajouter des balises à votre objet Amazon S3 une fois l'analyse des logiciels malveillants terminée.
**Considérations relatives à l'activation du balisage**
+ Il y a un coût d'utilisation associé lorsque vous GuardDuty balisez vos objets S3. Pour de plus amples informations, veuillez consulter [Tarification et coût d'utilisation de Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
+ Vous devez conserver les autorisations de balisage requises pour votre rôle IAM préféré associé à ce compartiment ; sinon, GuardDuty vous ne pourrez pas ajouter de balises à vos objets numérisés. Le rôle IAM inclut déjà les autorisations permettant d'ajouter des balises aux objets S3 scannés. Pour de plus amples informations, veuillez consulter [Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ Par défaut, vous pouvez associer jusqu'à 10 balises à un objet S3. Pour de plus amples informations, veuillez consulter [Utilisation du contrôle d'accès basé sur des balises (TBAC)](tag-based-access-s3-malware-protection.md).
Une fois que vous avez activé le balisage pour un compartiment S3 ou pour des préfixes spécifiques, tout objet récemment chargé qui est scanné sera associé à une balise au format de paire clé-valeur suivant :
`GuardDutyMalwareScanStatus`:`Scan-Result-Status`
Pour plus d'informations sur les valeurs de balise potentielles, consultez[État du scan potentiel de l'objet S3 et état des résultats](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
# Résolution des défaillances des balises après le scan des objets S3 dans Malware Protection for S3
Cette section ne s'applique à vous que si vous êtes [Activer le balisage pour les objets numérisés](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection) dans votre compartiment protégé.
Lorsque GuardDuty vous tentez d'ajouter une balise à votre objet S3 scanné, l'action de balisage peut entraîner un échec. Les raisons potentielles pour lesquelles cela peut arriver à votre compartiment sont `ACCESS_DENIED` et`MAX_TAG_LIMIT_EXCEEDED`. Consultez les rubriques suivantes pour comprendre les causes potentielles de ces défaillances des balises après le scan et pour les résoudre.
**ACCÈS REFUSÉ**
La liste suivante fournit les raisons potentielles pouvant être à l'origine de ce problème :
+ L'**AllowPostScanTag**autorisation n'est pas requise pour le rôle IAM utilisé pour ce compartiment S3 protégé. Vérifiez que le rôle IAM associé utilise cette politique de compartiment. Pour de plus amples informations, veuillez consulter [Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ La politique du compartiment S3 protégé n'autorise pas GuardDuty l'ajout de balises à cet objet.
+ L'objet S3 scanné n'existe plus.
**MAX\$1TAG\$1LIMIT\$1EXCEDED**
Par défaut, vous pouvez associer jusqu'à 10 balises à un objet S3. Pour plus d'informations, consultez la section Considérations relatives GuardDuty à l'ajout d'une balise à votre objet S3 sous[Activer le balisage pour les objets numérisés](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection).
# Métriques d'état d'analyse des objets S3 dans CloudWatch
Vous pouvez surveiller GuardDuty l'utilisation CloudWatch, qui collecte les données brutes et les transforme en indicateurs lisibles en temps quasi réel. Ces statistiques sont conservées pendant 15 mois, afin que vous puissiez accéder aux informations historiques et avoir une meilleure idée des performances de Malware Protection for S3. Vous pouvez également définir des alarmes qui surveillent certains seuils et envoient des notifications ou prennent des mesures lorsque ces seuils sont atteints. Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
Les CloudWatch métriques relatives à Malware Protection for S3 sont disponibles au niveau des ressources. Vous pouvez interroger ces métriques séparément pour chaque ressource protégée. Les métriques sont signalées dans l'espace de `AWS/GuardDuty/MalwareProtection` noms. Vous pouvez configurer des alarmes sur des ressources spécifiques afin de surveiller le niveau de sécurité.
|
|
| **Mesures d'état de l'analyse des programmes malveillants** |
| --- |
| **Métrique** | **Description** |
| `CompletedScanCount` | Le nombre d'analyses de programmes malveillants sur les objets S3 effectuées dans un laps de temps donné. Dimensions valides : `Malware Protection Plan Id` `Resource Name` Unités : nombre |
| `FailedScanCount` | Nombre d'analyses de programmes malveillants sur des objets S3 qui ont échoué au cours d'une période donnée. **Dimensions valides** : `Malware Protection Plan Id` `Resource Name` Unités : nombre |
| `SkippedScanCount` | Nombre d'analyses de programmes malveillants sur des objets S3 qui ont été ignorées au cours d'une période donnée. **Dimensions valides** : `Malware Protection Plan Id` `Resource Name` `Skipped Reason` Valeurs potentielles `Unsupported` `MissingPermissions` Unités : nombre |
| **Mesures des résultats de l'analyse des logiciels malveillants** |
| --- |
| `InfectedScanCount` | Nombre d'analyses de programmes malveillants sur des objets S3 qui ont détecté un objet potentiellement malveillant au cours d'une période donnée. Dimensions valides : `Malware Protection Plan Id` `Resource Name` Unités : nombre |
| `CompletedScanBytes` | Le nombre d'octets d'objets S3 analysés au cours d'une période donnée. Dimensions valides : `Malware Protection Plan Id` `Resource Name` Unités : nombre |
**Note**
Par défaut, les statistiques des CloudWatch métriques sont AVG.
Les dimensions suivantes sont prises en charge pour les métriques de protection contre les programmes malveillants pour S3.
|
|
| **Dimension** | **Description** |
| --- |--- |
| Malware Protection Plan Id | Identifiant unique associé à la ressource du plan de protection contre les programmes malveillants GuardDuty créée pour votre ressource protégée. |
| Resource Name | Nom de la ressource protégée. |
| Skipped Reason | La raison pour laquelle une analyse des malwares liés à un objet S3 a été ignorée. Valeurs potentielles `Unsupported` `MissingPermissions` |
Pour plus d'informations sur l'accès à ces statistiques et leur interrogation, consultez la section [Utiliser CloudWatch les métriques Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
Pour plus d'informations sur la configuration des alarmes, consultez la section [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
# Résolution des problèmes
**Topics**
+ [Résolution des problèmes liés à l'état du plan de protection](troubleshoot-s3-malware-protection-status-errors.md)
+ [Résolution des problèmes liés au scan des programmes malveillants](troubleshoot-s3-malware-protection-on-demand.md)
# Résolution des problèmes liés à l'état du plan de protection
Pour tout compartiment protégé, GuardDuty affiche le **statut** en fonction du classement. Par exemple, si un bucket protégé présente des problèmes dans les catégories **Erreur** et **Avertissement**, GuardDuty il affichera d'abord le problème associé au statut **d'erreur**.
La liste suivante inclut les erreurs et l'avertissement concernant l'état du plan de protection contre les programmes malveillants.
**Erreurs**
+ [EventBridge la notification est désactivée pour ce compartiment S3](#eventbridge-notification-disabled-malware-protection-s3-error)
+ [EventBridge la règle gérée pour recevoir les événements du compartiment S3 est manquante](#eventbridge-managed-rule-missing-malware-protection-s3-error)
+ [Le compartiment S3 n'existe plus](#bucket-no-longer-exists-malware-protection-s3-error)
**Warning (Avertissement)**
[Impossible de mettre l'objet de test](#unable-put-test-object-malware-protection-s3-warning)
## EventBridge la notification est désactivée pour ce compartiment S3
Le code de motif du statut associé est`EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED`.
**Détail du statut**
GuardDuty utilise EventBridge pour recevoir une notification lorsqu'un nouvel objet est chargé dans ce compartiment S3. Cette autorisation est absente de votre rôle IAM.
**Étapes de résolution des problèmes**
**Option 1 : ajoutez la déclaration d'autorisation suivante à votre rôle IAM :**
```
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
```
*amzn-s3-demo-bucket*Remplacez-le par le nom de votre compartiment Amazon S3.
**Option 2 : activer les EventBridge notifications à l'aide de la console Amazon S3**
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Sur la page **Compartiments**, sous l'onglet **Compartiments à usage général**, sélectionnez le nom du compartiment associé à cette erreur.
1. Sur cette page de bucket, choisissez l'onglet **Propriétés**.
1. Dans la EventBridge section **Amazon**, sélectionnez **Modifier**.
1. Sur la EventBridge page **Modifier Amazon**, pour **Envoyer une notification à Amazon EventBridge pour tous les événements de ce compartiment**, sélectionnez **Activé**.
1. Sélectionnez **Enregistrer les modifications**.
Quelques minutes peuvent être nécessaires pour que la valeur de la colonne **Status** passe à **Active**.
## EventBridge la règle gérée pour recevoir les événements du compartiment S3 est manquante
Le code de motif du statut associé est`EVENTBRIDGE_MANAGED_RULE_DISABLED`.
**Détail du statut**
Les autorisations des règles EventBridge gérées permettant de gérer la configuration des EventBridge règles sont manquantes.
**Étapes de résolution des problèmes**
Ajoutez la déclaration d'autorisation suivante à votre rôle IAM :
```
{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringEquals": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
}
```
Quelques minutes peuvent être nécessaires pour que la valeur de la colonne **Status** passe à **Active**.
## Le compartiment S3 n'existe plus
Le code de motif du statut associé est`PROTECTED_RESOURCE_DELETED`.
**Détail du statut**
Ce compartiment S3 a été supprimé de votre compte et n'existe plus.
**Étape de résolution des problèmes**
Si la suppression du compartiment S3 n'était pas intentionnelle, vous pouvez en créer un nouveau à l'aide de la console Amazon S3.
Une fois le compartiment créé avec succès, activez Malware Protection for S3 en suivant les étapes décrites dans la [Configuration de la protection contre les programmes malveillants pour S3 pour votre compartiment](configuring-malware-protection-for-s3-guardduty.md) page.
## Impossible de mettre l'objet de test
Le code de motif du statut associé est`INSUFFICIENT_TEST_OBJECT_PERMISSIONS`.
**Note**
L'autorisation d'ajouter un objet de test est facultative. L'absence de cette autorisation dans votre rôle IAM n'empêche pas Malware Protection for S3 de lancer une analyse des programmes malveillants sur un objet récemment chargé. Une fois l'analyse lancée avec succès, le passage de l'**état** du plan de protection contre les programmes malveillants de **Avertissement** à **Actif** peut prendre quelques minutes.
Si le rôle IAM inclut déjà cette autorisation, cet avertissement indique une politique de compartiment Amazon S3 restrictive qui n'autorise pas l'accès IAM pour placer l'objet de test dans ce compartiment S3.
**Détail du statut**
Pour valider la configuration du bucket sélectionné, GuardDuty place un objet de test dans votre bucket.
**Étapes de résolution des problèmes**
Vous pouvez choisir de mettre à jour le rôle IAM pour inclure les autorisations manquantes. Au rôle IAM sélectionné, ajoutez les autorisations suivantes GuardDuty afin de placer l'objet de test sur la ressource sélectionnée :
```
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
}
```
*amzn-s3-demo-bucket*Remplacez-le par le nom de votre compartiment Amazon S3. Pour plus d'informations sur les autorisations des rôles IAM, consultez[Création ou mise à jour d'une politique de rôle IAM](malware-protection-s3-iam-policy-prerequisite.md).
Quelques minutes peuvent être nécessaires pour que la valeur de la colonne **Status** passe à **Active**.
# Résolution des problèmes liés au scan des programmes malveillants
## Impossible de démarrer un scan.
Assurez-vous que la demande d'analyse contient des données valides et que le plan de protection contre les programmes malveillants est activé pour le compartiment.
# Modification du plan de protection contre les programmes malveillants pour un compartiment protégé
Vous devrez peut-être modifier la politique d'autorisation IAM préférée, activer ou désactiver le balisage de l'objet S3 scanné, ou ajouter ou supprimer des préfixes d'objet S3. Par exemple, lorsque vous avez activé Malware Protection for S3 pour votre compartiment, vous avez décidé de ne pas activer le balisage de l'objet S3 scanné avec le résultat de l'analyse. Cependant, vous souhaitez maintenant GuardDuty ajouter la balise prédéfinie et le résultat de l'analyse en tant que valeur de balise.
Choisissez une méthode d'accès préférée pour mettre à jour le plan de protection contre les programmes malveillants de votre compartiment S3 protégé.
------
#### [ Console ]
**Pour modifier un plan de protection contre les programmes malveillants**
1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Malware Protection for S3**.
1. Sous **Compartiments protégés**, sélectionnez le compartiment pour lequel vous souhaitez modifier la configuration existante.
1. Choisissez **Modifier**.
1. Mettez à jour la configuration et les paramètres existants de votre compartiment et confirmez les modifications. Pour plus d'informations sur la description et les étapes à suivre pour chaque section, consultez[Activation de la protection contre les programmes malveillants pour S3 pour votre compartiment](enable-malware-protection-s3-bucket.md).
Surveillez la colonne **État** de ce compartiment protégé. S'il apparaît sous la forme **d'un avertissement** ou **d'une erreur**, consultez[Résolution des problèmes liés à l'état du plan de protection](troubleshoot-s3-malware-protection-status-errors.md).
------
#### [ API/CLI ]
**Pour modifier le plan de protection contre les programmes malveillants à l'aide de l'API ou AWS CLI**
+ **En utilisant l'API**
Exécutez l'[UpdateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareProtectionPlan.html)API à l'aide de l'ID du plan de protection contre les logiciels malveillants associé à cette ressource du plan.
Pour récupérer l'ID du plan de protection contre les programmes malveillants dans une région spécifique, vous pouvez exécuter l'[ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API dans cette région.
+ **En utilisant AWS CLI**
La liste suivante fournit des AWS CLI exemples de commandes pour mettre à jour la ressource du plan de protection contre les programmes malveillants. Vous aurez besoin de l'ID du plan de protection contre les programmes malveillants associé à votre compartiment S3.
**AWS CLI exemples de commandes**
+ Utilisez la AWS CLI commande suivante pour **activer ou désactiver** le balisage pour la ressource du plan de protection contre les programmes malveillants associée à votre compartiment S3 :
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --actions "Tagging"={"Status"="ENABLED|DISABLED"}
```
+ Utilisez la AWS CLI commande suivante pour **ajouter un préfixe d'objet** à la ressource du plan de protection contre les programmes malveillants associée à votre compartiment S3 :
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=["amzn-s3-demo-1", "amzn-s3-demo-2"]}
```
Assurez-vous d'inclure les préfixes d'objets existants dans cette commande ; sinon, ces préfixes GuardDuty seront supprimés lors de la modification de la ressource du plan de protection contre les programmes malveillants.
+ Utilisez la AWS CLI commande suivante pour **supprimer un préfixe d'objet** de la ressource du plan de protection contre les programmes malveillants associée à votre compartiment S3 :
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=[""]}
```
Si vous ne possédez pas encore l'ID du plan de protection contre les programmes malveillants pour cette ressource, vous pouvez exécuter la AWS CLI commande suivante et la *us-east-1* remplacer par la région pour laquelle vous souhaitez répertorier le plan de protection contre les programmes malveillants IDs.
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Désactivation de la protection contre les programmes malveillants pour S3 pour un compartiment protégé
Lorsque vous désactivez la protection contre les programmes malveillants pour S3 pour un compartiment protégé, l'ID du GuardDuty plan de protection contre les programmes malveillants associé à ce compartiment est supprimé. GuardDuty ne lancera plus d'analyse des programmes malveillants lorsqu'un nouvel objet est chargé dans ce compartiment ou dans l'un des préfixes d'objets sélectionnés.
Si vous avez activé GuardDuty et souhaitez maintenant le suspendre ou le désactiver GuardDuty, consultez[Suspension ou désactivation GuardDuty](guardduty_suspend-disable.md). Comme il n'existe aucun concept d'identifiant de détecteur dans Malware Protection for S3, la désactivation ou la suspension GuardDuty **n'a aucune** incidence sur le statut d'un compartiment protégé dans votre compte. Vous pouvez continuer à utiliser la fonctionnalité Malware Protection for S3 indépendamment avec le tarif standard associé. Pour de plus amples informations, veuillez consulter [Révision du coût d'utilisation de Malware Protection for S3Révision des coûts d'utilisation](usage-cost-malware-protection-s3-gdu.md). Pour arrêter d'utiliser Malware Protection for S3, vous devez la désactiver pour tous les compartiments protégés de votre compte. Si vous souhaitez continuer à utiliser GuardDuty et désactiver uniquement Malware Protection for S3 pour un bucket, les étapes suivantes n'auront aucune incidence sur la configuration du GuardDuty service ni sur les autres plans de protection que vous avez peut-être activés.
Choisissez une méthode d'accès préférée pour désactiver la protection contre les programmes malveillants pour S3 dans votre compartiment S3 protégé.
------
#### [ Console ]
**Pour désactiver la protection contre les programmes malveillants pour S3 à l'aide de GuardDuty la console**
1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Malware Protection for S3**.
1. Sous **Compartiments protégés**, sélectionnez le compartiment pour lequel vous souhaitez désactiver la protection contre les programmes malveillants pour S3.
Vous ne pouvez sélectionner qu'un seul compartiment protégé à la fois. Pour désactiver la protection contre les programmes malveillants pour S3 pour plusieurs compartiments, suivez à nouveau ces étapes pour un autre compartiment S3.
1. Choisissez **Désactiver** pour confirmer la sélection.
------
#### [ API/CLI ]
**Pour désactiver la protection contre les programmes malveillants pour S3 à l'aide de l'API ou AWS CLI**
+ **En utilisant l'API**
Exécutez l'[DeleteMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMalwareProtectionPlan.html)API à l'aide de l'ID du plan de protection contre les logiciels malveillants associé à cette ressource du plan.
Pour récupérer l'identifiant du plan de protection contre les malwares, vous pouvez exécuter l'[ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API.
+ **En utilisant AWS CLI**
Vous pouvez également exécuter la AWS CLI commande suivante pour désactiver la protection contre les programmes malveillants pour S3 en le *4cc8bf26c4d75EXAMPLE* remplaçant par l'ID du plan de protection contre les programmes malveillants associé à ce compartiment S3 :
```
aws guardduty delete-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE
```
Si vous ne possédez pas encore l'ID du plan de protection contre les programmes malveillants pour ce compartiment S3, vous pouvez exécuter la AWS CLI commande suivante et le *us-east-1* remplacer par la région pour laquelle vous souhaitez répertorier le plan de protection contre les programmes malveillants IDs.
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Supportabilité des fonctionnalités d'Amazon S3
Le tableau suivant indique si Malware Protection for S3 prend en charge les fonctionnalités Amazon S3 répertoriées.
| Nom de la fonctionnalité S3 | Le support est-il disponible ? | Description |
| --- | --- | --- |
| Classe de stockage S3 - Standard S3 Classe de stockage S3 - Accès peu fréquent standard S3 Classe de stockage S3 - Accès peu fréquent à une zone S3 Classe de stockage S3 - S3 Glacier Instant Retrieval | Oui | Les objets S3 peuvent être récupérés sans restauration asynchrone. |
| Classe de stockage S3 - Hiérarchisation intelligente S3 | Conditionnel | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/supported-s3-features-malware-protection-s3.html) |
| Classe de stockage S3 - S3 Express One Zone (compartiment de répertoire) | Non | GuardDuty ne prend en charge que les compartiments à usage général pour la protection contre les logiciels malveillants pour S3. |
| Classe de stockage S3 - S3 Glacier Flexible Retrieval Classe de stockage S3 - S3 Glacier Deep Archive | Non | Les objets S3 doivent être restaurés avant d'être accessibles. |
| Amazon S3 sur Outposts | Non | La protection contre les programmes malveillants pour S3 n'est pas prise en charge sur Outposts. |
| Versionnage S3 | Oui | Tous les objets S3 chargés sont analysés pour détecter la présence de malwares. Si vous avez chargé un objet avec la version de fichier v1 et que vous avez immédiatement téléchargé une autre version, remplacez par v2, les versions v1 et v2 du fichier objet GuardDuty seront analysées à la fois. Cependant, il se peut que l'heure de début de l'analyse ne soit pas dans le même ordre. |
| S3 Replication : analyse l'objet répliqué | Oui | Si le compartiment de destination est une ressource protégée, il GuardDuty scannera tous les objets S3 et les répliquera vers les préfixes protégés et surveillés. |
| Réplication S3 : réplication sur étiquette de résultat du scan | Non | Vous ne pouvez pas définir de règle de réplication en fonction de la balise de résultat du scan. Amazon S3 ne prend pas en charge la réplication pour les balises, sauf lors de la création. |
| Chiffrement des données - S3-SSE Chiffrement des données - SSE-KMS Chiffrement des données - DSSE-KMS AWS KMS - Clé gérée par le client | Oui | GuardDuty prend en charge les analyses de programmes malveillants pour les objets S3 chiffrés à l'aide de clés gérées et gérées par le client. Assurez-vous que le rôle IAM inclut l'autorisation d'utiliser la clé. Pour de plus amples informations, veuillez consulter [Ajouter des autorisations de politique IAM](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection). |
| Chiffrement des données - SSE-C | Non | Malware Protection for S3 ne prend pas en charge l'analyse des objets S3 chiffrés avec des clés inaccessibles. |
| Chiffrement côté client | Non | Lorsque vos objets Amazon S3 sont chiffrés à l'aide du client de chiffrement Amazon S3, ils ne sont exposés à aucun tiers, y compris AWS. Pour savoir pourquoi cela n'est pas pris en charge, consultez la section [Protection des données à l'aide du chiffrement côté client.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) Les objets chiffrés CSE-KMS sont reçus sous la forme d'un blob chiffré dont le chiffrement ne peut pas être déterminé. Par conséquent, il les GuardDuty traite au fur et à mesure de leur réception et analyse le blob chiffré comme un fichier normal. GuardDuty ne renvoie pas d'état de `UNSUPPORTED` numérisation pour de tels objets, sauf si l'un des résultats est [Quotas dans la protection contre les malwares pour S3](malware-protection-s3-quotas-guardduty.md) dépassé. |
| Verrouillage des objets S3 et conservation légale | Oui | Les objets S3 verrouillés sont verrouillés sur la base de WORM - Write Once Read Many. Malware Protection for S3 peut accéder aux objets et les scanner. |
| Le demandeur paie | Oui | Malware Protection for S3 peut scanner les buckets configurés avec *Requester Pays.* Le demandeur paiera les appels S3. Pour plus d'informations, consultez [Utilisation des compartiments de type Paiement par le demandeur pour les transferts et l'utilisation du stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) dans le *Guide de l'utilisateur Amazon S3*. |
| S3 : cycle de vie du stockage | Oui | Vous pouvez définir des politiques de cycle de vie en fonction de la balise de résultat du scan. Supprimez automatiquement les objets malveillants, par exemple. Pour plus d'informations sur la configuration du cycle de vie, consultez [la section Gérer le cycle de vie de votre stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) dans le *guide de l'utilisateur Amazon S3*. |
| S3 : Contrôle d'accès basé sur des balises (TBAC) | Oui | Vous pouvez définir des politiques de ressources de compartiment en fonction de votre balise de résultat d'analyse d'objets S3. Par exemple, empêchez l'accès aux objets S3 qui ne sont pas encore scannés ou aux menaces GuardDuty détectées. Pour de plus amples informations, veuillez consulter [Utilisation du contrôle d'accès basé sur des balises (TBAC) avec Malware Protection pour S3](tag-based-access-s3-malware-protection.md). |
# Quotas dans la protection contre les malwares pour S3
Cette section fournit des quotas par défaut, souvent appelés limites. Sauf indication contraire, chaque quota est spécifique à une région. Pour consulter les quotas par défaut spécifiques à l'utilisation du GuardDuty service de base, voir[GuardDuty Quotas Amazon](guardduty_limits.md).
Les tableaux suivants décrivent les multiples quotas qui s'appliqueront à votre Compte AWS.
| Nom du quota | AWS valeur de quota par défaut | Est-il ajustable ? | Description |
| --- | --- | --- | --- |
| Taille maximale de l'objet S3 | 100 Go | Non | Taille maximale de l'objet S3 qui GuardDuty tentera de détecter les logiciels malveillants. Bien que ce quota ne soit pas ajustable, si vous devez numériser des objets plus volumineux, contactez-nous AWS Support pour déterminer s'il est GuardDuty possible d'augmenter le quota pour votre cas d'utilisation. |
| Octets d'archive extraits | 100 Go | Non | Quantité maximale de données GuardDuty pouvant être extraites et analysées à partir d'un fichier d'archive. GuardDuty ignorera l'extraction des fichiers d'archive sur une taille supérieure à 100 Go. |
| Fichiers d'archives extraits | 10 000 | Non | Nombre maximal de fichiers GuardDuty pouvant être extraits et analysés dans un fichier d'archive. Si l'archive contient plus de 10 000 fichiers, vous GuardDuty devrez ignorer le fichier archivé. Les types de fichiers composés sont potentiellement soumis à ces limites. Les types de fichiers incluent, sans s'y limiter, les messages électroniques codés MIME (Multipurpose Internet Mail Extensions), les fichiers Python compilés (PYC), les fichiers d'aide HTML compilés (CHM), tous les programmes d'installation et les documents OpenDocument Format (ODF). |
| Niveaux de profondeur d'archivage maximaux | 5 | Non | Les niveaux maximaux d'archives imbriquées GuardDuty pouvant être extraites. Si l'archive inclut des fichiers imbriqués au-delà de cette valeur, ces fichiers imbriqués GuardDuty seront ignorés. |
| Godets protégés au maximum | 25 | Non | Nombre maximal de compartiments S3 pour lesquels vous pouvez activer la protection contre les programmes malveillants pour S3. Cette limite de quota est fixée par compte dans chaque région. |