Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat atau memperbarui kebijakan peran IAM
Agar Perlindungan Malware untuk S3 dapat memindai dan (opsional) menambahkan tag ke objek S3 Anda, Anda dapat menggunakan peran layanan yang memiliki izin yang diperlukan untuk melakukan tindakan pemindaian malware atas nama Anda. Untuk informasi selengkapnya tentang penggunaan peran layanan guna mengaktifkan perlindungan malware untuk S3, lihat [Akses Layanan](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Peran ini berbeda dengan peran [terkait layanan Perlindungan GuardDuty Malware](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Jika Anda lebih suka menggunakan peran IAM, Anda dapat melampirkan peran IAM yang menyertakan izin yang diperlukan untuk memindai dan (opsional) menambahkan tag ke objek S3 Anda. Anda harus membuat peran IAM atau memperbarui peran yang ada untuk menyertakan izin ini. Karena izin ini diperlukan untuk setiap bucket Amazon S3 yang Anda aktifkan Perlindungan Malware untuk S3, Anda perlu melakukan langkah ini untuk setiap bucket Amazon S3 yang harus Anda lindungi.
Daftar berikut menjelaskan bagaimana izin tertentu membantu GuardDuty melakukan pemindaian malware atas nama Anda:
+ Izinkan EventBridge tindakan Amazon membuat dan mengelola aturan EventBridge terkelola sehingga Perlindungan Malware untuk S3 dapat mendengarkan pemberitahuan objek S3 Anda.
Untuk informasi selengkapnya, lihat [Aturan EventBridge terkelola Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) *di Panduan EventBridge Pengguna Amazon*.
+ Izinkan Amazon S3 dan EventBridge tindakan mengirim pemberitahuan ke semua peristiwa di bucket EventBridge ini
Untuk informasi selengkapnya, lihat [Mengaktifkan Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) di Panduan *Pengguna Amazon S3*.
+ Izinkan tindakan Amazon S3 mengakses objek S3 yang diunggah dan menambahkan tag yang telah ditentukan`GuardDutyMalwareScanStatus`, ke objek S3 yang dipindai. Saat menggunakan awalan objek, tambahkan `s3:prefix` kondisi pada awalan yang ditargetkan saja. Ini GuardDuty mencegah mengakses semua objek S3 di bucket Anda.
+ Izinkan tindakan kunci KMS untuk mengakses objek sebelum memindai dan meletakkan objek uji pada ember dengan enkripsi DSSE-KMS dan SSE-KMS yang didukung.
**catatan**
Langkah ini diperlukan setiap kali Anda mengaktifkan Perlindungan Malware untuk S3 untuk ember di akun Anda. Jika Anda sudah memiliki peran IAM yang sudah ada, Anda dapat memperbarui kebijakannya untuk menyertakan detail sumber daya bucket Amazon S3 lainnya. [Menambahkan izin kebijakan IAM](#attach-iam-policy-s3-malware-protection)Topik ini memberikan contoh tentang cara melakukan ini.
Gunakan kebijakan berikut untuk membuat atau memperbarui peran IAM.
**Topics**
+ [Menambahkan izin kebijakan IAM](#attach-iam-policy-s3-malware-protection)
+ [Menambahkan kebijakan hubungan Trust](#add-iam-trust-policy-s3-malware-protection)
## Menambahkan izin kebijakan IAM
Anda dapat memilih untuk memperbarui kebijakan inline peran IAM yang ada, atau membuat peran IAM baru. Untuk selengkapnya tentang langkah-langkahnya, lihat [Membuat peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) atau [Memodifikasi kebijakan izin peran di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) Pengguna *IAM*.
Tambahkan templat izin berikut ke peran IAM pilihan Anda. Ganti nilai placeholder berikut dengan nilai yang sesuai yang terkait dengan akun Anda:
+ Untuk*amzn-s3-demo-bucket*, ganti dengan nama bucket Amazon S3 Anda.
Untuk menggunakan peran IAM yang sama untuk lebih dari satu sumber daya bucket S3, perbarui kebijakan yang ada seperti yang ditampilkan dalam contoh berikut:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Pastikan untuk menambahkan koma (,) sebelum menambahkan ARN baru yang terkait dengan bucket S3. Lakukan ini di mana pun Anda merujuk ke bucket S3 `Resource` di template kebijakan.
+ Untuk*111122223333*, ganti dengan Akun AWS ID Anda.
+ Untuk*us-east-1*, ganti dengan Anda Wilayah AWS.
+ Untuk*APKAEIBAERJR2EXAMPLE*, ganti dengan ID kunci terkelola pelanggan Anda. Jika bucket S3 Anda dienkripsi menggunakan AWS KMS kunci, kami menambahkan izin yang relevan jika Anda memilih opsi [Buat peran baru](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) saat mengonfigurasi perlindungan malware untuk bucket Anda.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Templat kebijakan peran IAM**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Menambahkan kebijakan hubungan Trust
Lampirkan kebijakan kepercayaan berikut ke peran IAM Anda. Untuk selengkapnya tentang langkah-langkah, lihat [Memodifikasi kebijakan kepercayaan peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------