Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengonfigurasi Perlindungan Malware untuk S3 untuk bucket Anda
Agar Perlindungan Malware untuk S3 dapat memindai dan (opsional) menambahkan tag ke objek S3 Anda, Anda dapat menggunakan peran layanan yang memiliki izin yang diperlukan untuk melakukan tindakan pemindaian malware atas nama Anda. Untuk informasi selengkapnya tentang penggunaan peran layanan guna mengaktifkan perlindungan malware untuk S3, lihat [Akses Layanan](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Peran ini berbeda dengan peran [terkait layanan Perlindungan GuardDuty Malware](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Jika Anda lebih suka menggunakan peran IAM, Anda dapat melampirkan peran IAM yang menyertakan izin yang diperlukan untuk memindai dan (opsional) menambahkan tag ke objek S3 Anda. GuardDuty kemudian mengasumsikan peran IAM ini untuk melakukan tindakan ini atas nama Anda. Anda akan memerlukan nama peran IAM ini pada saat mengaktifkan paket perlindungan ini untuk bucket Amazon S3 Anda.
Jika Anda menggunakan peran IAM, untuk setiap kali Anda ingin melindungi bucket Amazon S3, Anda harus melakukan kedua langkah yang tercantum di bagian ini.
Untuk mengaktifkan Perlindungan Malware untuk S3, Anda memerlukan detail seperti nama bucket S3, awalan objek jika Anda ingin memfokuskan perlindungan untuk awalan tertentu, dan nama peran IAM dengan izin yang diperlukan.
Langkah-langkahnya tetap sama apakah Anda memulai dengan Perlindungan Malware untuk S3 secara independen atau mengaktifkannya sebagai bagian dari GuardDuty layanan.
**Topik**
1. [Membuat atau memperbarui kebijakan peran IAM](malware-protection-s3-iam-policy-prerequisite.md)
1. [Mengaktifkan Perlindungan Malware untuk S3 untuk bucket Anda](enable-malware-protection-s3-bucket.md)
1. [Memecahkan masalah kesalahan izin peran IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Mengaktifkan Perlindungan Malware untuk S3 untuk bucket Anda
Bagian ini memberikan langkah-langkah terperinci tentang cara mengaktifkan Perlindungan Malware untuk S3 untuk ember di akun Anda sendiri. Sebelum Anda melanjutkan, tinjau pertimbangan berikut:
+ Saat Anda mengaktifkan paket perlindungan ini menggunakan GuardDuty konsol, ini mencakup langkah untuk membuat peran baru atau menggunakan peran yang ada di bagian **Akses layanan**.
+ Ketika Anda mengaktifkan paket perlindungan ini menggunakan GuardDuty API atau CLI, maka Anda harus [Membuat atau memperbarui kebijakan peran IAM](malware-protection-s3-iam-policy-prerequisite.md) sebelum melanjutkan lebih jauh.
+ Terlepas dari bagaimana Anda mengaktifkan rencana perlindungan ini, Anda harus memiliki yang diperlukan[Izin untuk membuat sumber daya paket Perlindungan Malware](#malware-protection-s3-permissions-prerequisite).
**Mempertimbangkan pelambatan bucket Amazon S3**
S3 Throttling mungkin membatasi kecepatan transfer data ke atau dari bucket Amazon S3 Anda. Ini berpotensi menunda pemindaian malware dari objek yang baru Anda unggah.
Jika Anda mengharapkan volume `GET` dan `PUT` permintaan yang tinggi ke bucket S3 Anda, pertimbangkan untuk menerapkan langkah-langkah untuk mencegah pelambatan. *Untuk informasi tentang cara melakukannya, lihat [Mencegah pelambatan Amazon S3](https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-s3-throttling.html) di Panduan Pengguna Amazon Athena.*
**Topics**
## Izin untuk membuat sumber daya paket Perlindungan Malware
Saat Anda mengaktifkan Perlindungan Malware untuk S3 untuk bucket Amazon S3 GuardDuty , buat sumber daya paket Perlindungan Malware yang berfungsi sebagai pengenal untuk paket perlindungan bucket. Jika Anda belum menggunakan[AWS kebijakan terkelola: AmazonGuardDutyFullAccess\$1v2 (disarankan)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2), maka Anda harus menambahkan izin berikut untuk membuat sumber daya ini:
+ `guardDuty:CreateMalwareProtectionPlan`
+ `iam:PassRole`
Anda dapat menggunakan contoh kebijakan kustom berikut dan menggantinya *placeholder values* dengan nilai yang sesuai untuk akun Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"guardduty:CreateMalwareProtectionPlan"
],
"Resource": "*"
}
]
}
```
------
## Mengaktifkan Perlindungan Malware untuk S3 dengan menggunakan konsol GuardDuty
Bagian berikut memberikan step-by-step panduan seperti yang akan Anda alami di konsol. GuardDuty
**Untuk mengaktifkan Perlindungan Malware untuk S3 dengan menggunakan konsol GuardDuty **
### Masukkan detail bucket S3
Gunakan langkah-langkah berikut untuk memberikan detail bucket Amazon S3:
1. Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengaktifkan Perlindungan Malware untuk S3.
1. Di panel navigasi, pilih **Perlindungan Malware untuk S3**.
1. Di bagian **Protected Bucket**, pilih **Aktifkan** untuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket S3 milik Anda. Akun AWS
1. Di bawah **Masukkan detail bucket S3**, masukkan nama bucket **Amazon S3**. Atau, pilih **Browse S3** untuk memilih bucket S3.
Bucket S3 dan Akun AWS tempat Anda mengaktifkan Perlindungan Malware untuk S3 harus sama. Wilayah AWS Misalnya, jika akun Anda milik `us-east-1` Wilayah, maka Wilayah bucket Amazon S3 Anda juga harus. `us-east-1`
1. Di bawah **Awalan**, Anda dapat memilih **All the objects in the S3 bucket** atau **Objects yang dimulai dengan awalan tertentu**.
+ Pilih **Semua objek di bucket S3** bila Anda mau GuardDuty dapat memindai semua objek yang baru diunggah di bucket yang dipilih.
+ Pilih **Objek yang dimulai dengan awalan tertentu** saat Anda ingin memindai objek yang baru diunggah milik awalan tertentu. Opsi ini membantu Anda memfokuskan ruang lingkup pemindaian malware pada awalan objek yang dipilih saja. Untuk informasi selengkapnya tentang penggunaan awalan, lihat [Mengatur objek di konsol Amazon S3 menggunakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) folder di Panduan Pengguna Amazon *S3*.
Pilih **Tambahkan awalan** dan masukkan awalan. Anda dapat menambahkan hingga lima awalan.
### Aktifkan penandaan untuk objek yang dipindai
Ini adalah langkah **opsional**. Saat Anda mengaktifkan opsi penandaan sebelum objek diunggah ke bucket Anda, maka setelah menyelesaikan pemindaian, GuardDuty akan menambahkan tag yang telah ditentukan dengan kunci sebagai `GuardDutyMalwareScanStatus` dan nilai sebagai hasil pemindaian. Untuk menggunakan Perlindungan Malware untuk S3 secara optimal, kami sarankan untuk mengaktifkan opsi untuk menambahkan tag ke objek S3 setelah pemindaian berakhir. Biaya Penandaan Objek S3 standar berlaku. Untuk informasi selengkapnya, lihat [Harga dan biaya penggunaan untuk Perlindungan Malware untuk S3](pricing-malware-protection-for-s3-guardduty.md).
**Mengapa Anda harus mengaktifkan penandaan?**
+ Mengaktifkan penandaan adalah salah satu cara untuk mengetahui tentang hasil pemindaian malware. Untuk informasi tentang hasil pemindaian malware S3, lihat[Memantau pemindaian objek S3 di Perlindungan Malware untuk S3](monitoring-malware-protection-s3-scans-gdu.md).
+ Siapkan kebijakan kontrol akses berbasis tag (TBAC) di bucket S3 Anda yang berisi objek yang berpotensi berbahaya. Untuk informasi tentang pertimbangan dan cara menerapkan kontrol akses berbasis tag (TBAC), lihat. [Menggunakan kontrol akses berbasis tag (TBAC) dengan Perlindungan Malware untuk S3](tag-based-access-s3-malware-protection.md)
**Pertimbangan GuardDuty untuk menambahkan tag ke objek S3 Anda:**
+ Secara default, Anda dapat mengaitkan hingga 10 tag dengan objek. Untuk informasi selengkapnya, lihat [Mengkategorikan penyimpanan menggunakan tag](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) di Panduan Pengguna *Amazon S3*.
Jika semua 10 tag sudah digunakan, tidak GuardDuty dapat menambahkan tag yang telah ditentukan ke objek yang dipindai. GuardDuty juga menerbitkan hasil pemindaian ke bus EventBridge acara default Anda. Untuk informasi selengkapnya, lihat [Memantau pemindaian objek S3 dengan Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Jika peran IAM yang dipilih tidak menyertakan izin GuardDuty untuk menandai objek S3, bahkan dengan penandaan diaktifkan untuk bucket Anda yang dilindungi, tidak GuardDuty akan dapat menambahkan tag ke objek S3 yang dipindai ini. Untuk informasi selengkapnya tentang izin peran IAM yang diperlukan untuk penandaan, lihat. [Membuat atau memperbarui kebijakan peran IAM](malware-protection-s3-iam-policy-prerequisite.md)
GuardDuty juga menerbitkan hasil pemindaian ke bus EventBridge acara default Anda. Untuk informasi selengkapnya, lihat [Memantau pemindaian objek S3 dengan Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
**Untuk memilih opsi di bawah **Tag objek yang dipindai****
+ Saat Anda **ingin** GuardDuty menambahkan tag ke objek S3 yang dipindai, pilih objek **Tag**.
+ Bila Anda **tidak ingin** menambahkan tag GuardDuty ke objek S3 yang dipindai, pilih **Jangan beri tag** objek.
### Akses layanan
Gunakan langkah-langkah berikut untuk memilih peran layanan yang ada atau membuat peran layanan baru yang memiliki izin yang diperlukan untuk melakukan tindakan pemindaian malware atas nama Anda. Tindakan ini mungkin termasuk memindai objek S3 yang baru diunggah dan (opsional) menambahkan tag ke objek tersebut. Untuk informasi tentang izin yang akan dimiliki peran ini, lihat[Membuat atau memperbarui kebijakan peran IAM](malware-protection-s3-iam-policy-prerequisite.md).
Di bagian **Akses Layanan**, Anda dapat melakukan salah satu hal berikut:
1. **Buat dan gunakan peran layanan baru** — Anda dapat menggunakan buat peran layanan baru yang memiliki izin yang diperlukan untuk melakukan pemindaian malware.
Di bawah **nama Peran**, Anda dapat memilih untuk menggunakan nama yang telah diisi sebelumnya GuardDuty atau memasukkan nama bermakna pilihan Anda untuk mengidentifikasi peran tersebut. Sebagai contoh, `GuardDutyS3MalwareScanRole`. Nama peran harus 1-64 karakter. Karakter yang valid adalah karakter a-z, A-Z, 0-9, dan '\$1=, .@-\$1'.
1. **Menggunakan peran layanan yang ada** — Anda dapat memilih peran layanan yang ada dari daftar **nama peran Layanan**.
1. Di bawah **Templat kebijakan**, Anda dapat melihat kebijakan untuk bucket S3 Anda. Pastikan Anda memasukkan atau memilih bucket S3 di bagian **Enter S3 bucket** details.
1. Di bawah **Nama peran Layanan** pilih peran layanan dari daftar peran layanan.
Anda dapat membuat perubahan pada kebijakan berdasarkan persyaratan Anda Untuk detail selengkapnya tentang cara membuat atau memperbarui peran IAM, lihat [Membuat atau memperbarui kebijakan peran IAM](https://docs.aws.amazon.com//guardduty/latest/ug/malware-protection-s3-iam-policy-prerequisite.html).
Untuk masalah dengan izin peran IAM, lihat. [Memecahkan masalah kesalahan izin peran IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
### (Opsional) Tandai ID paket Perlindungan Malware
Ini adalah langkah opsional yang membantu Anda menambahkan tag ke sumber daya paket Perlindungan Malware yang akan dibuat untuk sumber daya bucket S3 Anda.
Setiap tag memiliki dua bagian: Kunci tag dan nilai tag opsional. Untuk informasi selengkapnya tentang penandaan dan manfaatnya, lihat [Menandai sumber daya AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Untuk menambahkan tag ke sumber daya paket Perlindungan Malware**
1. Masukkan **Kunci** dan **Nilai** opsional untuk tag. Baik kunci tag dan nilai tag peka huruf besar/kecil. Untuk informasi tentang nama kunci tag dan nilai tag, lihat [Batas dan persyaratan penamaan tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
1. Untuk menambahkan lebih banyak tag ke sumber daya paket Perlindungan Malware Anda, pilih **Tambahkan tag baru** dan ulangi langkah sebelumnya. Anda dapat menambahkan hingga 50 tanda ke setiap sumber daya .
1. Pilih **Aktifkan**.
## Mengaktifkan Perlindungan Malware untuk S3 dengan menggunakan API/CLI
Bagian ini mencakup langkah-langkah kapan Anda ingin mengaktifkan Perlindungan Malware untuk S3 secara terprogram di lingkungan Anda. AWS Ini memerlukan peran IAM Amazon Resource Name (ARN) yang Anda buat pada langkah ini -. [Membuat atau memperbarui kebijakan peran IAM](malware-protection-s3-iam-policy-prerequisite.md)
**Untuk mengaktifkan Perlindungan Malware untuk S3 secara terprogram dengan menggunakan API/CLI**
+ **Dengan menggunakan API**
Jalankan [CreateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMalwareProtectionPlan.html)untuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket milik akun Anda sendiri.
+ **Dengan menggunakan AWS CLI**
Bergantung pada bagaimana Anda ingin mengaktifkan Perlindungan Malware untuk S3, daftar berikut memberikan AWS CLI contoh perintah untuk kasus penggunaan tertentu. Saat Anda menjalankan perintah ini, ganti*placeholder examples shown in red*, dengan nilai yang sesuai untuk akun Anda.
**AWS CLI contoh perintah**
+ Gunakan AWS CLI perintah berikut untuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket tanpa penandaan untuk objek S3 yang dipindai:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
+ Gunakan AWS CLI perintah berikut untuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket dengan awalan objek tertentu dan tanpa penandaan untuk objek S3 yang dipindai:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
+ Gunakan AWS CLI perintah berikut untuk mengaktifkan Perlindungan Malware untuk S3 untuk bucket dengan penandaan objek S3 yang dipindai diaktifkan:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Setelah Anda menjalankan perintah ini dengan sukses, ID paket Perlindungan Malware yang unik akan dihasilkan. Untuk melakukan tindakan seperti memperbarui atau menonaktifkan paket perlindungan untuk bucket Anda, Anda memerlukan ID paket Perlindungan Malware ini.
Untuk masalah dengan izin peran IAM, lihat. [Memecahkan masalah kesalahan izin peran IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Membuat atau memperbarui kebijakan peran IAM
Agar Perlindungan Malware untuk S3 dapat memindai dan (opsional) menambahkan tag ke objek S3 Anda, Anda dapat menggunakan peran layanan yang memiliki izin yang diperlukan untuk melakukan tindakan pemindaian malware atas nama Anda. Untuk informasi selengkapnya tentang penggunaan peran layanan guna mengaktifkan perlindungan malware untuk S3, lihat [Akses Layanan](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Peran ini berbeda dengan peran [terkait layanan Perlindungan GuardDuty Malware](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Jika Anda lebih suka menggunakan peran IAM, Anda dapat melampirkan peran IAM yang menyertakan izin yang diperlukan untuk memindai dan (opsional) menambahkan tag ke objek S3 Anda. Anda harus membuat peran IAM atau memperbarui peran yang ada untuk menyertakan izin ini. Karena izin ini diperlukan untuk setiap bucket Amazon S3 yang Anda aktifkan Perlindungan Malware untuk S3, Anda perlu melakukan langkah ini untuk setiap bucket Amazon S3 yang harus Anda lindungi.
Daftar berikut menjelaskan bagaimana izin tertentu membantu GuardDuty melakukan pemindaian malware atas nama Anda:
+ Izinkan EventBridge tindakan Amazon membuat dan mengelola aturan EventBridge terkelola sehingga Perlindungan Malware untuk S3 dapat mendengarkan pemberitahuan objek S3 Anda.
Untuk informasi selengkapnya, lihat [Aturan EventBridge terkelola Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) *di Panduan EventBridge Pengguna Amazon*.
+ Izinkan Amazon S3 dan EventBridge tindakan mengirim pemberitahuan ke semua peristiwa di bucket EventBridge ini
Untuk informasi selengkapnya, lihat [Mengaktifkan Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) di Panduan *Pengguna Amazon S3*.
+ Izinkan tindakan Amazon S3 mengakses objek S3 yang diunggah dan menambahkan tag yang telah ditentukan`GuardDutyMalwareScanStatus`, ke objek S3 yang dipindai. Saat menggunakan awalan objek, tambahkan `s3:prefix` kondisi pada awalan yang ditargetkan saja. Ini GuardDuty mencegah mengakses semua objek S3 di bucket Anda.
+ Izinkan tindakan kunci KMS untuk mengakses objek sebelum memindai dan meletakkan objek uji pada ember dengan enkripsi DSSE-KMS dan SSE-KMS yang didukung.
**catatan**
Langkah ini diperlukan setiap kali Anda mengaktifkan Perlindungan Malware untuk S3 untuk ember di akun Anda. Jika Anda sudah memiliki peran IAM yang sudah ada, Anda dapat memperbarui kebijakannya untuk menyertakan detail sumber daya bucket Amazon S3 lainnya. [Menambahkan izin kebijakan IAM](#attach-iam-policy-s3-malware-protection)Topik ini memberikan contoh tentang cara melakukan ini.
Gunakan kebijakan berikut untuk membuat atau memperbarui peran IAM.
**Topics**
+ [Menambahkan izin kebijakan IAM](#attach-iam-policy-s3-malware-protection)
+ [Menambahkan kebijakan hubungan Trust](#add-iam-trust-policy-s3-malware-protection)
## Menambahkan izin kebijakan IAM
Anda dapat memilih untuk memperbarui kebijakan inline peran IAM yang ada, atau membuat peran IAM baru. Untuk selengkapnya tentang langkah-langkahnya, lihat [Membuat peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) atau [Memodifikasi kebijakan izin peran di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) Pengguna *IAM*.
Tambahkan templat izin berikut ke peran IAM pilihan Anda. Ganti nilai placeholder berikut dengan nilai yang sesuai yang terkait dengan akun Anda:
+ Untuk*amzn-s3-demo-bucket*, ganti dengan nama bucket Amazon S3 Anda.
Untuk menggunakan peran IAM yang sama untuk lebih dari satu sumber daya bucket S3, perbarui kebijakan yang ada seperti yang ditampilkan dalam contoh berikut:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Pastikan untuk menambahkan koma (,) sebelum menambahkan ARN baru yang terkait dengan bucket S3. Lakukan ini di mana pun Anda merujuk ke bucket S3 `Resource` di template kebijakan.
+ Untuk*111122223333*, ganti dengan Akun AWS ID Anda.
+ Untuk*us-east-1*, ganti dengan Anda Wilayah AWS.
+ Untuk*APKAEIBAERJR2EXAMPLE*, ganti dengan ID kunci terkelola pelanggan Anda. Jika bucket S3 Anda dienkripsi menggunakan AWS KMS kunci, kami menambahkan izin yang relevan jika Anda memilih opsi [Buat peran baru](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) saat mengonfigurasi perlindungan malware untuk bucket Anda.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Templat kebijakan peran IAM**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Menambahkan kebijakan hubungan Trust
Lampirkan kebijakan kepercayaan berikut ke peran IAM Anda. Untuk selengkapnya tentang langkah-langkah, lihat [Memodifikasi kebijakan kepercayaan peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Memecahkan masalah kesalahan izin peran IAM
Saat mengaktifkan Perlindungan Malware untuk S3, GuardDuty periksa apakah peran layanan IAM Anda memiliki izin yang diperlukan untuk memvalidasi kepemilikan bucket Amazon S3. Jika izin ini hilang atau salah dikonfigurasi, Anda mungkin mendapatkan pesan berikut:
```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```
Skenario berikut dapat membantu Anda memecahkan masalah kesalahan ini:
**Izin peran IAM tidak ada**
+ Peran IAM harus memiliki izin yang diperlukan untuk memungkinkan Perlindungan Malware untuk S3 untuk mengambil peran.
+ GuardDuty memvalidasi kepemilikan bucket dengan `"s3:ListBucket"` izin. Ini harus ada dalam peran IAM yang Anda gunakan.
Untuk informasi tentang izin, lihat[Membuat atau memperbarui kebijakan peran IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Ketersediaan peran IAM**
+ Saat Anda membuat peran IAM baru, biarkan beberapa menit agar perubahan mencapai konsistensi akhirnya sebelum mengaktifkan Perlindungan Malware untuk S3. Jika Anda mencoba mengaktifkan rencana perlindungan segera setelah membuat peran, validasi mungkin gagal.
+ Untuk penyebaran Infrastructure as Code (IAc), GuardDuty merekomendasikan untuk mendeklarasikan ketergantungan sumber daya untuk memastikan peran IAM mencapai konsistensi akhirnya.
Untuk contoh templat tentang cara melakukannya, lihat [GuardDuty GitHubrepositori](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk).
**Pemberdayaan lintas wilayah**
Pastikan bucket Amazon S3 Anda berada di Wilayah yang sama tempat Anda mengaktifkan Perlindungan Malware untuk S3. GuardDuty