Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione della protezione da malware per S3 per il tuo bucket
Affinché Malware Protection for S3 esegua la scansione e (facoltativamente) aggiunga tag agli oggetti S3, puoi utilizzare ruoli di servizio che dispongono delle autorizzazioni necessarie per eseguire azioni di scansione del malware per tuo conto. [Per ulteriori informazioni sull'utilizzo dei ruoli di servizio per abilitare la protezione da malware per S3, consulta Service Access.](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection) Questo ruolo è diverso dal ruolo collegato al [servizio GuardDuty Malware Protection](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Se preferisci utilizzare i ruoli IAM, puoi associare un ruolo IAM che include le autorizzazioni necessarie per eseguire la scansione e (facoltativamente) aggiungere tag agli oggetti S3. GuardDuty assume quindi questo ruolo IAM per eseguire queste azioni per tuo conto. Avrai bisogno di questo nome di ruolo IAM al momento dell'attivazione di questo piano di protezione per il tuo bucket Amazon S3.
Se utilizzi ruoli IAM, per ogni volta che desideri proteggere un bucket Amazon S3, devi eseguire entrambi i passaggi elencati in questa sezione.
Per abilitare Malware Protection for S3, avrai bisogno di dettagli come il nome del bucket S3, i prefissi degli oggetti se desideri concentrare la protezione per prefissi specifici e il nome del ruolo IAM con le autorizzazioni richieste.
I passaggi rimangono invariati sia che tu inizi a usare Malware Protection for S3 in modo indipendente sia che lo abiliti come parte del servizio. GuardDuty
**Argomenti**
1. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
1. [Attivazione della protezione da malware per S3 per il tuo bucket](enable-malware-protection-s3-bucket.md)
1. [Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Attivazione della protezione da malware per S3 per il tuo bucket
Questa sezione fornisce passaggi dettagliati su come abilitare Malware Protection for S3 per un bucket nel tuo account. Prima di procedere, esamina le seguenti considerazioni:
+ Quando abiliti questo piano di protezione utilizzando la GuardDuty console, include il passaggio per creare un nuovo ruolo o utilizzare un ruolo esistente nella sezione **Accesso al servizio**.
+ Quando abiliti questo piano di protezione utilizzando l' GuardDuty API o la CLI, devi [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md) prima procedere ulteriormente.
+ Indipendentemente dal modo in cui si abilita questo piano di protezione, è necessario disporre del necessario. [Autorizzazioni per creare una risorsa del piano Malware Protection](#malware-protection-s3-permissions-prerequisite)
**Considerando la limitazione del bucket Amazon S3**
S3 Throttling potrebbe limitare la velocità con cui i dati possono essere trasferiti da o verso i bucket Amazon S3. Ciò può potenzialmente ritardare le scansioni antimalware degli oggetti appena caricati.
Se ti aspetti volumi `GET` e `PUT` richieste elevati verso i tuoi bucket S3, prendi in considerazione l'implementazione di misure per prevenire il throttling. *Per informazioni su come eseguire questa operazione, consulta [Prevent Amazon S3 throttling](https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-s3-throttling.html) nella Guida per l'utente di Amazon Athena.*
**Topics**
## Autorizzazioni per creare una risorsa del piano Malware Protection
Quando abiliti Malware Protection for S3 per un bucket Amazon S3 GuardDuty , crea una risorsa del piano Malware Protection che funge da identificatore per il piano di protezione del bucket. Se non stai già utilizzando[AWS politica gestita: AmazonGuardDutyFullAccess\$1v2 (consigliata)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2), devi aggiungere le seguenti autorizzazioni per creare questa risorsa:
+ `guardDuty:CreateMalwareProtectionPlan`
+ `iam:PassRole`
Puoi utilizzare il seguente esempio di politica personalizzata e sostituirla *placeholder values* con i valori appropriati per il tuo account:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"guardduty:CreateMalwareProtectionPlan"
],
"Resource": "*"
}
]
}
```
------
## Attivazione della protezione da malware per S3 tramite console GuardDuty
Le seguenti sezioni forniscono una step-by-step guida dettagliata, come sperimenterai nella console. GuardDuty
**Per abilitare Malware Protection for S3 utilizzando la console GuardDuty **
### Inserisci i dettagli del bucket S3
Utilizza i seguenti passaggi per fornire i dettagli del bucket Amazon S3:
1. Accedi Console di gestione AWS e apri la GuardDuty console all'indirizzo. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri abilitare Malware Protection for S3.
1. **Nel pannello di navigazione, scegli Malware Protection for S3.**
1. Nella sezione **Bucket protetti**, scegli **Abilita per abilitare** la protezione da malware per S3 per un bucket S3 che appartiene al tuo. Account AWS
1. In **Inserisci i dettagli del bucket S3**, inserisci il nome del bucket **Amazon S3**. In alternativa, scegli **Browse S3 per selezionare un bucket S3**.
Il Regione AWS bucket S3 e il Account AWS punto in cui abiliti Malware Protection for S3 devono coincidere. Ad esempio, se il tuo account appartiene alla `us-east-1` regione, deve esserlo anche la tua regione del bucket Amazon S3. `us-east-1`
1. In **Prefisso**, puoi selezionare **Tutti gli oggetti nel bucket S3** o Oggetti che **iniziano con un prefisso specifico**.
+ Seleziona **Tutti gli oggetti nel bucket S3** quando vuoi GuardDuty puoi scansionare tutti gli oggetti appena caricati nel bucket selezionato.
+ Seleziona **Oggetti che iniziano con un prefisso specifico** quando desideri scansionare gli oggetti appena caricati che appartengono a un prefisso specifico. Questa opzione consente di concentrare l'ambito della scansione antimalware solo sui prefissi degli oggetti selezionati. Per ulteriori informazioni sull'uso dei prefissi, consulta [Organizzazione degli oggetti nella console Amazon S3 utilizzando](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) le cartelle nella Amazon *S3* User Guide.
Scegli **Aggiungi prefisso e inserisci il prefisso**. Puoi aggiungere fino a cinque prefissi.
### Abilita l'etichettatura per gli oggetti scansionati
Si tratta di un passaggio **facoltativo**. Quando abiliti l'opzione di etichettatura prima che un oggetto venga caricato nel tuo bucket, dopo aver completato la scansione, GuardDuty aggiungerai un tag predefinito con chiave as `GuardDutyMalwareScanStatus` e il valore come risultato della scansione. Per utilizzare Malware Protection for S3 in modo ottimale, consigliamo di abilitare l'opzione per aggiungere tag agli oggetti S3 al termine della scansione. Si applica il costo standard di S3 Object Tagging. Per ulteriori informazioni, consulta [Prezzi e costi di utilizzo di Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
**Perché dovresti abilitare il tagging?**
+ L'attivazione dei tag è uno dei modi per conoscere i risultati della scansione antimalware. Per informazioni sui risultati di una scansione antimalware S3, consulta. [Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md)
+ Configura una politica di controllo degli accessi basata su tag (TBAC) sul tuo bucket S3 che contiene l'oggetto potenzialmente dannoso. Per informazioni sulle considerazioni e su come implementare il controllo degli accessi basato su tag (TBAC), consulta. [Utilizzo del controllo degli accessi basato su tag (TBAC) con Malware Protection for S3](tag-based-access-s3-malware-protection.md)
**Considerazioni sull'aggiunta di un tag GuardDuty all'oggetto S3:**
+ Per impostazione predefinita, puoi associare fino a 10 tag a un oggetto. Per ulteriori informazioni, consulta [Categorizzazione dello storage mediante tag nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) per l'utente di *Amazon S3*.
Se tutti e 10 i tag sono già in uso, non è GuardDuty possibile aggiungere il tag predefinito all'oggetto scansionato. GuardDuty pubblica inoltre il risultato della scansione nel bus degli eventi predefinito EventBridge . Per ulteriori informazioni, consulta [Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Se il ruolo IAM selezionato non include l'autorizzazione GuardDuty per taggare l'oggetto S3, anche con l'etichettatura abilitata per il bucket protetto, non GuardDuty sarà possibile aggiungere tag a questo oggetto S3 scansionato. Per ulteriori informazioni sull'autorizzazione del ruolo IAM richiesta per l'etichettatura, consulta. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
GuardDuty pubblica inoltre il risultato della scansione nel bus EventBridge degli eventi predefinito. Per ulteriori informazioni, consulta [Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
**Per selezionare un'opzione in **Etichetta gli oggetti scansionati****
+ GuardDuty **Per **aggiungere** tag agli oggetti S3 scansionati, seleziona Etichetta gli oggetti.**
+ Se **non desideri** aggiungere tag GuardDuty agli oggetti S3 scansionati, seleziona **Non** etichettare gli oggetti.
### Accesso al servizio
Utilizza i seguenti passaggi per scegliere un ruolo di servizio esistente o creare un nuovo ruolo di servizio con le autorizzazioni necessarie per eseguire azioni di scansione antimalware per tuo conto. Queste azioni possono includere la scansione degli oggetti S3 appena caricati e (facoltativamente) l'aggiunta di tag a tali oggetti. Per informazioni sulle autorizzazioni che avrà questo ruolo, consulta. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
Nella sezione **Accesso al servizio**, puoi effettuare una delle seguenti operazioni:
1. **Creare e utilizzare un nuovo ruolo di servizio**: è possibile utilizzare la funzione Crea un nuovo ruolo di servizio con le autorizzazioni necessarie per eseguire la scansione antimalware.
Sotto il **nome del ruolo** puoi scegliere di utilizzare il nome precompilato da GuardDuty o inserire un nome significativo a tua scelta per identificare il ruolo. Ad esempio, `GuardDutyS3MalwareScanRole`. Il nome del ruolo deve contenere da 1 a 64 caratteri. I caratteri validi sono a-z, A-Z, 0-9 e '\$1=, .@-\$1'.
1. **Usa un ruolo di servizio esistente: puoi scegliere un ruolo** **di servizio esistente dall'elenco dei nomi del ruolo di servizio.**
1. In **Modello di policy** puoi visualizzare la policy per il tuo bucket S3. Assicurati di aver inserito o selezionato un bucket S3 nella sezione **Inserisci i dettagli del bucket S3**.
1. In **Nome del ruolo di servizio** scegli un ruolo di servizio dall'elenco dei ruoli di servizio.
Puoi apportare modifiche alla policy in base ai tuoi requisiti. Per maggiori dettagli su come creare o aggiornare un ruolo IAM, consulta [Creare o aggiornare la policy del ruolo IAM](https://docs.aws.amazon.com//guardduty/latest/ug/malware-protection-s3-iam-policy-prerequisite.html).
Per problemi con le autorizzazioni dei ruoli IAM, consulta[Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
### (Facoltativo) Etichetta l'ID del piano di protezione da malware
Si tratta di un passaggio facoltativo che consente di aggiungere tag alla risorsa del piano Malware Protection che verrebbe creata per la risorsa del bucket S3.
Ogni tag è composto da due parti: una chiave di tag e un valore di tag opzionale. Per ulteriori informazioni sull'etichettatura e sui relativi vantaggi, consulta Risorse per l'[etichettatura AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Per aggiungere tag alla risorsa del piano Malware Protection**
1. Inserisci **la chiave** e un **valore** opzionale per il tag. Sia la chiave che il valore del tag fanno distinzione tra maiuscole e minuscole. Per informazioni sui nomi della chiave e del valore del tag, consulta [Limiti e requisiti di denominazione dei tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
1. Per aggiungere altri tag alla risorsa del piano Malware Protection, scegli **Aggiungi nuovo tag** e ripeti il passaggio precedente. Puoi aggiungere fino a 50 tag per ciascuna risorsa .
1. Scegli **Abilita **.
## Abilitazione della protezione da malware per S3 tramite API/CLI
Questa sezione include i passaggi da seguire quando si desidera abilitare Malware Protection for S3 a livello di codice nel proprio ambiente. AWS Ciò richiede il ruolo IAM Amazon Resource Name (ARN) che hai creato in questa fase -. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
**Per abilitare la protezione da malware per S3 a livello di codice utilizzando API/CLI**
+ **Utilizzando l'API**
Esegui [CreateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMalwareProtectionPlan.html)per abilitare Malware Protection for S3 per un bucket che appartiene al tuo account.
+ **Utilizzando AWS CLI**
A seconda di come si desidera abilitare Malware Protection for S3, il seguente elenco fornisce comandi di AWS CLI esempio per casi d'uso specifici. Quando esegui questi comandi, sostituisci*placeholder examples shown in red*, con i valori appropriati per il tuo account.
**AWS CLI comandi di esempio**
+ Utilizzate il seguente AWS CLI comando per abilitare Malware Protection for S3 per un bucket senza tag per gli oggetti S3 scansionati:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
+ Usa il AWS CLI comando seguente per abilitare Malware Protection for S3 per un bucket con prefissi di oggetti specifici e senza tag per gli oggetti S3 scansionati:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
+ Utilizza il seguente AWS CLI comando per abilitare Malware Protection for S3 per un bucket con la codifica degli oggetti S3 scansionati abilitata:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Dopo aver eseguito correttamente questi comandi, verrà generato un ID del piano Malware Protection univoco. Per eseguire azioni come l'aggiornamento o la disabilitazione del piano di protezione per il tuo bucket, avrai bisogno di questo ID del piano di protezione da malware.
Per problemi con le autorizzazioni dei ruoli IAM, consulta. [Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Creare o aggiornare la politica dei ruoli IAM
Per consentire a Malware Protection for S3 di scansionare e (facoltativamente) aggiungere tag agli oggetti S3, puoi utilizzare ruoli di servizio che dispongono delle autorizzazioni necessarie per eseguire azioni di scansione del malware per tuo conto. [Per ulteriori informazioni sull'utilizzo dei ruoli di servizio per abilitare la protezione da malware per S3, consulta Service Access.](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection) Questo ruolo è diverso dal ruolo collegato al [servizio GuardDuty Malware Protection](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Se preferisci utilizzare i ruoli IAM, puoi associare un ruolo IAM che include le autorizzazioni necessarie per eseguire la scansione e (facoltativamente) aggiungere tag agli oggetti S3. È necessario creare un ruolo IAM o aggiornare un ruolo esistente per includere queste autorizzazioni. Poiché queste autorizzazioni sono necessarie per ogni bucket Amazon S3 per il quale abiliti Malware Protection for S3, devi eseguire questo passaggio per ogni bucket Amazon S3 da proteggere.
L'elenco seguente spiega in che modo determinate autorizzazioni aiutano a GuardDuty eseguire la scansione antimalware per tuo conto:
+ Consenti ad Amazon EventBridge Actions di creare e gestire la regola EventBridge gestita in modo che Malware Protection for S3 possa ascoltare le notifiche degli oggetti S3.
Per ulteriori informazioni, consulta [Amazon EventBridge managed rules](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) nella *Amazon EventBridge User Guide*.
+ Consenti ad Amazon S3 e alle EventBridge azioni di inviare notifiche per tutti gli eventi in questo bucket EventBridge
Per ulteriori informazioni, consulta [Enabling Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) nella *Amazon S3 User* Guide.
+ Consenti alle azioni di Amazon S3 di accedere all'oggetto S3 caricato e aggiungi un tag predefinito all'oggetto S3 `GuardDutyMalwareScanStatus` scansionato. Quando usi un prefisso di oggetto, aggiungi una `s3:prefix` condizione solo sui prefissi di destinazione. Ciò GuardDuty impedisce l'accesso a tutti gli oggetti S3 nel bucket.
+ Consenti alle azioni chiave KMS di accedere all'oggetto prima di scansionare e inserire un oggetto di test sui bucket con la crittografia DSSE-KMS e SSE-KMS supportata.
**Nota**
Questo passaggio è necessario ogni volta che attivi Malware Protection for S3 per un bucket nel tuo account. Se disponi già di un ruolo IAM, puoi aggiornarne la policy per includere i dettagli di un'altra risorsa bucket Amazon S3. L'[Aggiungere le autorizzazioni delle policy IAM](#attach-iam-policy-s3-malware-protection)argomento fornisce un esempio su come eseguire questa operazione.
Utilizza le seguenti politiche per creare o aggiornare un ruolo IAM.
**Topics**
+ [Aggiungere le autorizzazioni delle policy IAM](#attach-iam-policy-s3-malware-protection)
+ [Aggiungere una politica di relazione di fiducia](#add-iam-trust-policy-s3-malware-protection)
## Aggiungere le autorizzazioni delle policy IAM
Puoi scegliere di aggiornare la policy in linea di un ruolo IAM esistente o creare un nuovo ruolo IAM. Per informazioni sui passaggi, consulta [Creazione di un ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) o [Modifica della politica di autorizzazione di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) nella Guida per l'utente *IAM*.
Aggiungi il seguente modello di autorizzazioni al tuo ruolo IAM preferito. Sostituisci i seguenti valori segnaposto con i valori appropriati associati al tuo account:
+ Infatti*amzn-s3-demo-bucket*, sostituiscilo con il nome del tuo bucket Amazon S3.
Per utilizzare lo stesso ruolo IAM per più di una risorsa bucket S3, aggiorna una policy esistente come mostrato nell'esempio seguente:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Assicurati di aggiungere una virgola (,) prima di aggiungere un nuovo ARN associato al bucket S3. Esegui questa operazione ogni volta che fai riferimento a un bucket `Resource` S3 nel modello di policy.
+ Perché*111122223333*, sostituiscilo con il tuo Account AWS ID.
+ Perché*us-east-1*, sostituisci con il tuo Regione AWS.
+ Perché*APKAEIBAERJR2EXAMPLE*, sostituiscilo con il tuo ID chiave gestito dal cliente. Se il tuo bucket S3 è crittografato utilizzando una AWS KMS chiave, aggiungiamo le autorizzazioni pertinenti se scegli l'opzione [Crea un nuovo ruolo](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) durante la configurazione della protezione da malware per il tuo bucket.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Modello di policy sui ruoli IAM**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Aggiungere una politica di relazione di fiducia
Allega la seguente politica di fiducia al tuo ruolo IAM. Per informazioni sui passaggi, consulta [Modifica di una policy di fiducia per i ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM
Quando abiliti Malware Protection for S3, GuardDuty verifica se il tuo ruolo di servizio IAM dispone delle autorizzazioni necessarie per convalidare la proprietà del bucket Amazon S3. Se queste autorizzazioni sono mancanti o non sono configurate correttamente, potresti ricevere il seguente messaggio:
```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```
Gli scenari seguenti possono aiutarti a risolvere questo errore:
**Autorizzazioni per i ruoli IAM mancanti**
+ Il ruolo IAM deve disporre delle autorizzazioni necessarie per consentire a Malware Protection for S3 di assumere il ruolo.
+ GuardDuty convalida la proprietà del bucket con l'autorizzazione. `"s3:ListBucket"` Questo deve essere presente nel ruolo IAM che utilizzi.
Per informazioni sulle autorizzazioni, consulta[Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Disponibilità dei ruoli IAM**
+ Quando crei un nuovo ruolo IAM, attendi alcuni minuti affinché le modifiche raggiungano la coerenza finale prima di abilitare Malware Protection for S3. Se tenti di abilitare il piano di protezione subito dopo aver creato il ruolo, la convalida potrebbe fallire.
+ Per le implementazioni Infrastructure as Code (IaC), GuardDuty consiglia di dichiarare una dipendenza dalle risorse per garantire che il ruolo IAM raggiunga la coerenza finale.
[Per modelli di esempio su come eseguire questa operazione, consulta il repository. GuardDuty GitHub](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk)
**Abilitazione tra regioni**
Assicurati che il tuo bucket Amazon S3 si trovi nella stessa regione in cui stai abilitando Malware Protection for S3. GuardDuty