Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# GuardDuty Protezione da malware per S3
Malware Protection for S3 ti aiuta a rilevare la potenziale presenza di malware scansionando gli oggetti appena caricati nel bucket Amazon Simple Storage Service (Amazon S3) selezionato. Quando un oggetto S3 o una nuova versione di un oggetto S3 esistente viene caricato nel bucket selezionato, GuardDuty avvia automaticamente una scansione antimalware.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/uweeumMAif4)
**Due approcci per abilitare la protezione da malware per S3**
Puoi abilitare Malware Protection for S3 quando attivi il GuardDuty servizio e utilizzi Malware Protection for S3 come parte dell' GuardDuty esperienza complessiva, oppure quando desideri utilizzare la funzionalità Malware Protection for S3 da sola senza abilitare il servizio. Account AWS GuardDuty Quando attivi da sola Malware Protection for S3, nella GuardDuty documentazione si fa riferimento all'utilizzo di Malware Protection for S3 come funzionalità indipendente.
**Considerazioni sull'utilizzo indipendente di Malware Protection for S3**
+ GuardDuty risultati di sicurezza: Detector ID è un identificatore univoco associato al tuo account in una regione. Quando abiliti GuardDuty in una o più regioni in un account, viene creato automaticamente un ID rilevatore per questo account in ogni regione in cui attivi. GuardDuty Per ulteriori informazioni, consulta *Detector* nel [Concetti e termini chiave in Amazon GuardDuty](guardduty_concepts.md) documento.
Quando abiliti Malware Protection for S3 in modo indipendente in un account, a quell'account **non** sarà associato un ID rilevatore. Ciò influisce sulle GuardDuty funzionalità che potresti avere a tua disposizione. Ad esempio, quando una scansione antimalware di S3 rileva la presenza di malware, non viene generato alcun GuardDuty risultato Account AWS perché tutti i GuardDuty risultati sono associati a un ID del rilevatore.
+ Verifica se l'oggetto scansionato è dannoso: per impostazione predefinita, GuardDuty pubblica i risultati della scansione del malware sul bus di EventBridge eventi Amazon predefinito e su un namespace Amazon CloudWatch . Quando abiliti il tagging al momento dell'attivazione di Malware Protection for S3 per un bucket, l'oggetto S3 scansionato riceve un tag che riporta il risultato della scansione. Per ulteriori informazioni sull'assegnazione di tag, consulta [Etichettatura opzionale degli oggetti in base al risultato della scansione](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3).
**Considerazioni generali per abilitare Malware Protection for S3**
Le seguenti considerazioni generali valgono sia che si utilizzi Malware Protection for S3 in modo indipendente o come parte dell'esperienza: GuardDuty
+ Puoi abilitare Malware Protection for S3 per un bucket Amazon S3 che appartiene al tuo account. Come account GuardDuty amministratore delegato non puoi abilitare questa funzionalità in un bucket Amazon S3 che appartiene a un account membro.
+ Puoi abilitare questa funzionalità nei bucket S3 che appartengono alla stessa regione attualmente selezionata nella console. GuardDuty GuardDuty non supporta l'attivazione di questa funzionalità nei bucket S3 interregionali.
+ In qualità di account GuardDuty amministratore delegato, riceverai una EventBridge notifica Amazon ogni volta che si verifica una modifica in un bucket S3 che uno [Visualizzazione e comprensione dello stato del bucket protetto](malware-protection-s3-bucket-status-gdu.md) degli account membri della tua organizzazione ha configurato per questa funzionalità.
**Topics**
+ [Prezzi e costi di utilizzo di Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md)
+ [Come funziona Malware Protection for S3?](how-malware-protection-for-s3-gdu-works.md)
+ [Funzionalità di protezione da malware per S3](s3-malware-protection-capability.md)
+ [(Facoltativo) Inizia a usare GuardDuty Malware Protection for S3 in modo indipendente (solo console)](malware-protection-s3-get-started-independent.md)
+ [Configurazione della protezione da malware per S3 per il tuo bucket](configuring-malware-protection-for-s3-guardduty.md)
+ [Passaggi dopo l'attivazione di Malware Protection for S3](malware-protection-s3-steps-after-enabling.md)
+ [Scansione malware su richiesta per S3 GuardDuty](malware-protection-s3-on-demand.md)
+ [Utilizzo del controllo degli accessi basato su tag (TBAC) con Malware Protection for S3](tag-based-access-s3-malware-protection.md)
+ [Visualizzazione e comprensione dello stato del bucket protetto](malware-protection-s3-bucket-status-gdu.md)
+ [Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md)
+ [Risoluzione dei problemi](troubleshoot-s3-malware-protection.md)
+ [Modifica del piano di protezione da malware per un bucket protetto](edit-malware-protection-protected-s3-bucket.md)
+ [Disattivazione di Malware Protection for S3 per un bucket protetto](disable-malware-s3-protected-bucket.md)
+ [Supportabilità delle funzionalità di Amazon S3](supported-s3-features-malware-protection-s3.md)
+ [Quote nella protezione da malware per S3](malware-protection-s3-quotas-guardduty.md)
# Prezzi e costi di utilizzo di Malware Protection for S3
I prezzi di Malware Protection for S3 funzionano in modo diverso rispetto ad altri piani di protezione di. GuardDuty Mentre la maggior parte dei piani di GuardDuty protezione prevede una prova gratuita a breve termine di 30 giorni, Malware Protection for S3 segue il piano Free Tier di 12 mesi. AWS Per informazioni sui GuardDuty prezzi, consulta. [Prezzi in GuardDuty](guardduty-pricing.md)
L'elenco seguente fornisce i costi di prezzo associati all'utilizzo di Malware Protection for S3.
**Piano di livello gratuito (costo di scansione)**
Ciascuno Account AWS riceve un piano gratuito di 12 mesi che include l'utilizzo fino a un limite mensile specifico per ciascuna regione. Ciascuno Account AWS riceve un piano gratuito mensile di utilizzo fino a 1.000 richieste e 1 GB di dati scansionati. Se l'utilizzo supera il limite specificato, inizierai a sostenere il costo di utilizzo per il limite superato. Per i dettagli completi sui prezzi, consulta i prezzi dei piani di [GuardDuty protezione](https://aws.amazon.com/guardduty/pricing/#GuardDuty_protection_plans).
La scansione su richiesta non è inclusa nel piano gratuito.
Per informazioni sul costo di utilizzo dopo l'attivazione di Malware Protection for S3, consulta. [Analisi dei costi di utilizzo di Malware Protection for S3Revisione dei costi di utilizzo](usage-cost-malware-protection-s3-gdu.md)
**Costo di utilizzo di S3 Object Tagging**
Quando abiliti Malware Protection for S3, è facoltativo abilitare i tag per gli oggetti S3 scansionati. Quando scegli di abilitare S3 Object Tagging, è associato un costo di utilizzo. Per ulteriori informazioni sui costi, consulta la [scheda Management & Insights nella pagina](https://aws.amazon.com/s3/pricing/) dei *prezzi di Amazon S3*.
Il costo di utilizzo di S3 Object Tagging **non è incluso** nel piano Free Tier.
**Amazon S3 APIs GET e PUT costi di utilizzo**
L' GuardDuty esecuzione di Amazon APIs S3 in base al ruolo IAM comporta costi di utilizzo. Ad esempio, dopo aver assunto il ruolo IAM, GuardDuty esegue l'`PutObject`API per aggiungere l'oggetto di test al bucket selezionato. Questo aiuta a GuardDuty valutare lo stato di attivazione della funzionalità.
Per informazioni sui prezzi delle chiamate API S3 nella tua Regione AWS, consulta [Richieste e recupero dati nella scheda Storage e richieste nella pagina](https://aws.amazon.com/s3/pricing/#aws-element-86cbc19a-da4c-4c04-bb4f-5c4d1a2de09e) dei prezzi di *Amazon* S3.
# Analisi dei costi di utilizzo di Malware Protection for S3
Il tuo account inizia a sostenere costi di utilizzo quando utilizzi Malware Protection for S3 oltre il limite specifico del piano Free Tier o quando scade il piano Free Tier di 12 mesi del tuo account. Per informazioni sul piano Free Tier, consulta. [Prezzi e costi di utilizzo di Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md) Tieni presente che il piano gratuito non si applica alla scansione su richiesta di oggetti Malware Protection for S3.
La GuardDuty console non supporta la revisione dei costi di utilizzo di Malware Protection for S3. Per visualizzare il costo di utilizzo, accedi a **Cost Explorer** nella [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)console. Per informazioni sulla Account AWS fatturazione, consulta la [Guida per l'AWS Billing utente](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Per informazioni sul costo di utilizzo stimato in GuardDuty, vedere[Monitoraggio dell'utilizzo e stima dei costi](monitoring_costs.md).
# Come funziona Malware Protection for S3?
Questa sezione descrive i componenti di Malware Protection for S3, come funziona dopo averlo abilitato per un bucket S3 e come esaminare lo stato e i risultati della scansione del malware.
## Panoramica di
Puoi abilitare Malware Protection for S3 per un bucket Amazon S3 che appartiene al tuo. Account AWS GuardDutyti offre la flessibilità necessaria per abilitare questa funzionalità per l'intero bucket o limitare l'ambito della scansione antimalware a [prefissi di oggetti specifici, in cui GuardDuty analizza ogni oggetto caricato che inizia con uno dei prefissi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) selezionati. È possibile aggiungere fino a 5 prefissi. **Quando abiliti la funzionalità per un bucket S3, quel bucket viene chiamato bucket protetto.**
## Autorizzazioni del ruolo IAM
Malware Protection for S3 utilizza un ruolo IAM che consente di eseguire le azioni di scansione del malware GuardDuty per tuo conto. Queste azioni includono la notifica dei nuovi oggetti caricati nel bucket selezionato, la scansione di tali oggetti e, facoltativamente, l'aggiunta di tag agli oggetti scansionati. Questo è un prerequisito per configurare il bucket S3 con questa funzionalità.
È possibile aggiornare un ruolo IAM esistente o creare un nuovo ruolo per questo scopo. Quando abiliti Malware Protection for S3 per più di un bucket, puoi aggiornare il ruolo IAM esistente per includere il nome dell'altro bucket, se necessario. Per ulteriori informazioni, consulta [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md).
## Etichettatura opzionale degli oggetti in base al risultato della scansione
Al momento di abilitare Malware Protection for S3 per il tuo bucket, è disponibile un passaggio opzionale per abilitare l'etichettatura per gli oggetti S3 scansionati. Il ruolo IAM include già l'autorizzazione ad aggiungere tag all'oggetto dopo la scansione. Tuttavia, GuardDuty aggiungerà tag solo quando abiliti questa opzione al momento della configurazione.
È necessario abilitare questa opzione prima che un oggetto venga caricato. Al termine della scansione, GuardDuty aggiunge un tag predefinito all'oggetto S3 scansionato con la seguente coppia chiave:valore:
`GuardDutyMalwareScanStatus`:`Potential scan result`
I potenziali valori dei tag dei risultati della scansione includono`NO_THREATS_FOUND`,,, e`THREATS_FOUND`. `UNSUPPORTED` `ACCESS_DENIED` `FAILED` Per ulteriori informazioni su questi valori, consulta [Potenziale stato di scansione dell'oggetto S3 e stato dei risultati](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).
L'abilitazione dei tag è uno dei modi per conoscere i risultati della scansione degli oggetti S3. Puoi utilizzare ulteriormente questi tag per aggiungere una politica delle risorse S3 di controllo degli accessi basata su tag (TBAC) in modo da poter intraprendere azioni sugli oggetti potenzialmente dannosi. Per ulteriori informazioni, consulta [Aggiungere TBAC alla risorsa bucket S3](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
Ti consigliamo di abilitare i tag al momento della configurazione di Malware Protection for S3 per il tuo bucket. Se abiliti l'etichettatura dopo il caricamento di un oggetto e potenzialmente l'avvio della scansione, non GuardDuty sarà possibile aggiungere tag all'oggetto scansionato. Per informazioni sui costi associati all'etichettatura degli oggetti S3, consulta. [Prezzi e costi di utilizzo di Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md)
## Procedura dopo aver abilitato Malware Protection for S3 per un bucket
Dopo aver abilitato Malware Protection for S3, viene creata una **risorsa del piano Malware Protection** esclusivamente per il bucket S3 selezionato. Questa risorsa è associata a un ID del piano Malware Protection, un identificatore univoco per la risorsa protetta. Utilizzando una delle autorizzazioni IAM GuardDuty , crea e gestisce una regola EventBridge gestita denominata. `DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*`
### Come GuardDuty gestisce i tuoi dati: guardrails per la protezione dei dati
Malware Protection for S3 ascolta le notifiche di Amazon EventBridge . Quando un oggetto viene caricato nel bucket selezionato o in uno dei prefissi, GuardDuty scarica quell'oggetto dal bucket S3 utilizzando un bucket, quindi lo legge, lo decrittografa [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html)e scansiona in un ambiente isolato nella stessa regione. L'ambiente di scansione viene eseguito in un cloud privato virtuale (VPC) bloccato senza accesso a Internet. Il VPC è collegato a un gruppo di regole DNS Firewall che consente la comunicazione solo con i domini consentiti elencati di cui è proprietario. AWS [Per tutta la durata della scansione, memorizza GuardDuty temporaneamente l'oggetto S3 scaricato all'interno dell'ambiente di scansione crittografato con chiavi ().AWS Key Management ServiceAWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Nota**
Per impostazione predefinita, tutti gli Amazon S3 APIs elencati nel [tipo Object Created Event](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventBridge.html) nella *Amazon S3 User* Guide avvieranno la scansione Malware Protection for S3.
Questi *tipi di eventi* includono [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)[POST Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html) e. [CopyObject[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
Per informazioni sulla metodologia di rilevamento del GuardDuty malware e sui motori di scansione utilizzati, consulta[GuardDuty motore di scansione per il rilevamento di malware](guardduty-malware-detection-scan-engine.md).
Al termine della scansione antimalware, GuardDuty elabora i metadati di scansione con lo stato della scansione e quindi elimina la copia scaricata dell'oggetto.
GuardDuty pulisce l'ambiente di scansione ogni volta prima che inizi una nuova scansione. GuardDuty utilizza l'autorizzazione contingente per l'accesso dell'operatore all'ambiente di scansione e ogni richiesta di accesso viene esaminata, approvata e verificata.
### Revisione dello stato e dei risultati della scansione degli oggetti S3
GuardDuty pubblica l'evento del risultato della scansione degli oggetti S3 sul bus eventi EventBridge predefinito di Amazon. GuardDuty invia anche i parametri di scansione, come il numero di oggetti scansionati e i byte scansionati, ad Amazon. CloudWatch Se hai abilitato l'etichettatura, GuardDuty aggiungerà il tag predefinito `GuardDutyMalwareScanStatus` e un potenziale risultato della scansione come valore del tag.
**Importante**
GuardDuty utilizza at-least-once la consegna, il che significa che potresti ricevere più risultati di scansione per lo stesso oggetto. Consigliamo di progettare le applicazioni per gestire risultati duplicati. Ti viene addebitata una sola volta per ogni oggetto scansionato.
Per ulteriori informazioni, consulta [Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
### Revisione dei risultati generati
La revisione dei risultati dipende dal fatto che tu stia utilizzando o meno Malware Protection for S3 con GuardDuty. Considerare i seguenti scenari:
**Utilizzo di Malware Protection for S3 quando il GuardDuty servizio è abilitato (detector ID)**
Se la scansione antimalware rileva un file potenzialmente dannoso in un oggetto S3, GuardDuty genererà un risultato associato. È possibile visualizzare i dettagli del risultato e utilizzare i passaggi consigliati per correggere potenzialmente il risultato. In base alla [frequenza di esportazione dei risultati](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency), i risultati generati vengono esportati in un bucket S3 e in un bus di eventi. EventBridge
Per informazioni sul tipo di risultato che verrebbe generato, consulta. [Protezione da malware per tipo di ricerca S3](gdu-malware-protection-s3-finding-types.md)
**Utilizzo di Malware Protection for S3 come funzionalità indipendente (nessun ID di rilevamento)**
GuardDuty non sarà in grado di generare risultati perché non esiste un ID del rilevatore associato. Per conoscere lo stato della scansione antimalware degli oggetti S3, puoi visualizzare il risultato della scansione che GuardDuty viene pubblicato automaticamente sul tuo bus eventi predefinito. Puoi anche visualizzare le CloudWatch metriche per valutare il numero di oggetti e byte che GuardDuty hanno tentato di scansionare. È possibile impostare CloudWatch allarmi per ricevere notifiche sui risultati della scansione. Se hai abilitato S3 Object Tagging, puoi anche visualizzare lo stato della scansione antimalware controllando l'oggetto S3 per la chiave del tag e il valore del `GuardDutyMalwareScanStatus` tag dei risultati della scansione.
Per informazioni sullo stato e sui risultati della scansione degli oggetti S3, consulta. [Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md)
# Funzionalità di protezione da malware per S3
L'elenco seguente fornisce una panoramica di ciò che puoi aspettarti o fare dopo aver abilitato Malware Protection for S3 per il tuo bucket:
+ **Scegli cosa scansionare: scansiona** i file man mano che vengono caricati su tutti i prefissi o su alcuni prefissi specifici (fino a 5) associati al bucket S3 selezionato.
+ **Scansioni automatiche degli oggetti caricati**: dopo aver abilitato Malware Protection for S3 per un bucket, GuardDuty avvierà automaticamente una scansione per rilevare potenziali malware in un oggetto appena caricato.
+ Scansioni **su richiesta: è possibile avviare scansioni** per oggetti esistenti o scansionare nuovamente gli oggetti precedentemente scansionati. Per ulteriori informazioni, consulta [Scansione malware su richiesta per S3 GuardDuty](malware-protection-s3-on-demand.md).
+ **Abilita tramite console, utilizzando API/AWS CLI oppure CloudFormation**: scegli un metodo preferito per abilitare Malware Protection for S3.
*Puoi abilitare Malware Protection for S3 utilizzando piattaforme Infrastructure as code (IaC) come Terraform.* [Per ulteriori informazioni, consulta Resource:. `aws_guardduty_malware_protection_plan`](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/guardduty_malware_protection_plan)
+ **Formati di file supportati, quote Malware Protection per S3 e funzionalità di Amazon S3**: Malware Protection for S3 supporta tutti i formati di file che puoi caricare in un bucket S3. Se il file caricato è protetto da password ed GuardDuty è in grado di rilevare la presenza di una protezione tramite password per il tipo di file caricato, GuardDuty tenterà di scansionare il contenuto originale utilizzando password comuni. Se la password fallisce, la scansione verrà ignorata. GuardDuty non riesce a rilevare la presenza della protezione tramite password su tutti i formati di file. Se non GuardDuty riesce a rilevare la presenza della protezione tramite password, GuardDuty eseguirà comunque la scansione del contenuto crittografato.
Per informazioni sulle quote relative alla dimensione degli oggetti, al livello massimo di profondità di archiviazione e ad altri dettagli, vedere[Quote nella protezione da malware per S3](malware-protection-s3-quotas-guardduty.md).
Per informazioni sul supporto o meno di una funzionalità di Amazon S3, consulta. [Supportabilità delle funzionalità di Amazon S3](supported-s3-features-malware-protection-s3.md)
+ **Supporta l'etichettatura degli oggetti S3 scansionati**: se abiliti[Etichettatura opzionale degli oggetti in base al risultato della scansione](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3), dopo ogni scansione antimalware, GuardDuty aggiungerai un tag che indica lo stato della scansione. Puoi utilizzare questo tag per configurare il controllo degli accessi basato su tag (TBAC) per gli oggetti S3. Ad esempio, puoi limitare l'accesso agli oggetti S3 che sono indicati come dannosi e che hanno il valore del tag come. `THREATS_FOUND`
+ ** EventBridge Notifiche Amazon**: GuardDuty invia eventi ad Amazon EventBridge quando lo stato delle risorse del piano Malware Protection cambia o viene completata una scansione antimalware dell'oggetto S3. Questi eventi vengono inviati al bus degli eventi predefinito. È possibile utilizzare EventBridge e questi eventi per scrivere regole che intraprendono azioni, come il monitoraggio del verificarsi di questi eventi. Per ulteriori informazioni, consulta [Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ **CloudWatch metriche**: visualizza le CloudWatch metriche per abilitare gli allarmi su determinati stati di scansione del malware. Per ulteriori informazioni, consulta [Metriche dello stato di scansione degli oggetti S3 in CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md).
# (Facoltativo) Inizia a usare GuardDuty Malware Protection for S3 in modo indipendente (solo console)
Utilizza questo passaggio facoltativo per iniziare a utilizzare l'opzione di rilevamento delle minacce di Malware Protection for S3 indipendentemente GuardDuty dallo stato del tuo. Account AWS
Se desideri utilizzare anche altri piani di protezione dedicati GuardDuty, devi iniziare con il GuardDuty servizio Amazon. Per informazioni sui piani di GuardDuty protezione, consulta[Caratteristiche di GuardDuty](what-is-guardduty.md#features-of-guardduty). Se l'hai già abilitato GuardDuty nel tuo account, puoi saltare questo passaggio e continuare. [Configurazione della protezione da malware per S3 per il tuo bucket](configuring-malware-protection-for-s3-guardduty.md)
**Passaggi per iniziare a utilizzare solo il rilevamento delle minacce da parte di Malware Protection for S3**
1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Seleziona **GuardDuty Malware Protection solo per S3**. Questo ti aiuta a rilevare se un file appena caricato nel tuo bucket Amazon Simple Storage Service (Amazon S3) contiene potenzialmente malware.
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/images/select-malware-protection-for-s3-console.png)
1. Scegli **Avvia**. Ora puoi continuare con i passaggi indicati [Configurazione della protezione da malware per S3 per il tuo bucket](configuring-malware-protection-for-s3-guardduty.md) di seguito.
# Configurazione della protezione da malware per S3 per il tuo bucket
Affinché Malware Protection for S3 esegua la scansione e (facoltativamente) aggiunga tag agli oggetti S3, puoi utilizzare ruoli di servizio che dispongono delle autorizzazioni necessarie per eseguire azioni di scansione del malware per tuo conto. [Per ulteriori informazioni sull'utilizzo dei ruoli di servizio per abilitare la protezione da malware per S3, consulta Service Access.](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection) Questo ruolo è diverso dal ruolo collegato al [servizio GuardDuty Malware Protection](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Se preferisci utilizzare i ruoli IAM, puoi associare un ruolo IAM che include le autorizzazioni necessarie per eseguire la scansione e (facoltativamente) aggiungere tag agli oggetti S3. GuardDuty assume quindi questo ruolo IAM per eseguire queste azioni per tuo conto. Avrai bisogno di questo nome di ruolo IAM al momento dell'attivazione di questo piano di protezione per il tuo bucket Amazon S3.
Se utilizzi ruoli IAM, per ogni volta che desideri proteggere un bucket Amazon S3, devi eseguire entrambi i passaggi elencati in questa sezione.
Per abilitare Malware Protection for S3, avrai bisogno di dettagli come il nome del bucket S3, i prefissi degli oggetti se desideri concentrare la protezione per prefissi specifici e il nome del ruolo IAM con le autorizzazioni richieste.
I passaggi rimangono invariati sia che tu inizi a usare Malware Protection for S3 in modo indipendente sia che lo abiliti come parte del servizio. GuardDuty
**Argomenti**
1. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
1. [Attivazione della protezione da malware per S3 per il tuo bucket](enable-malware-protection-s3-bucket.md)
1. [Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Attivazione della protezione da malware per S3 per il tuo bucket
Questa sezione fornisce passaggi dettagliati su come abilitare Malware Protection for S3 per un bucket nel tuo account. Prima di procedere, esamina le seguenti considerazioni:
+ Quando abiliti questo piano di protezione utilizzando la GuardDuty console, include il passaggio per creare un nuovo ruolo o utilizzare un ruolo esistente nella sezione **Accesso al servizio**.
+ Quando abiliti questo piano di protezione utilizzando l' GuardDuty API o la CLI, devi [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md) prima procedere ulteriormente.
+ Indipendentemente dal modo in cui si abilita questo piano di protezione, è necessario disporre del necessario. [Autorizzazioni per creare una risorsa del piano Malware Protection](#malware-protection-s3-permissions-prerequisite)
**Considerando la limitazione del bucket Amazon S3**
S3 Throttling potrebbe limitare la velocità con cui i dati possono essere trasferiti da o verso i bucket Amazon S3. Ciò può potenzialmente ritardare le scansioni antimalware degli oggetti appena caricati.
Se ti aspetti volumi `GET` e `PUT` richieste elevati verso i tuoi bucket S3, prendi in considerazione l'implementazione di misure per prevenire il throttling. *Per informazioni su come eseguire questa operazione, consulta [Prevent Amazon S3 throttling](https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-s3-throttling.html) nella Guida per l'utente di Amazon Athena.*
**Topics**
## Autorizzazioni per creare una risorsa del piano Malware Protection
Quando abiliti Malware Protection for S3 per un bucket Amazon S3 GuardDuty , crea una risorsa del piano Malware Protection che funge da identificatore per il piano di protezione del bucket. Se non stai già utilizzando[AWS politica gestita: AmazonGuardDutyFullAccess\$1v2 (consigliata)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2), devi aggiungere le seguenti autorizzazioni per creare questa risorsa:
+ `guardDuty:CreateMalwareProtectionPlan`
+ `iam:PassRole`
Puoi utilizzare il seguente esempio di politica personalizzata e sostituirla *placeholder values* con i valori appropriati per il tuo account:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"guardduty:CreateMalwareProtectionPlan"
],
"Resource": "*"
}
]
}
```
------
## Attivazione della protezione da malware per S3 tramite console GuardDuty
Le seguenti sezioni forniscono una step-by-step guida dettagliata, come sperimenterai nella console. GuardDuty
**Per abilitare Malware Protection for S3 utilizzando la console GuardDuty **
### Inserisci i dettagli del bucket S3
Utilizza i seguenti passaggi per fornire i dettagli del bucket Amazon S3:
1. Accedi Console di gestione AWS e apri la GuardDuty console all'indirizzo. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri abilitare Malware Protection for S3.
1. **Nel pannello di navigazione, scegli Malware Protection for S3.**
1. Nella sezione **Bucket protetti**, scegli **Abilita per abilitare** la protezione da malware per S3 per un bucket S3 che appartiene al tuo. Account AWS
1. In **Inserisci i dettagli del bucket S3**, inserisci il nome del bucket **Amazon S3**. In alternativa, scegli **Browse S3 per selezionare un bucket S3**.
Il Regione AWS bucket S3 e il Account AWS punto in cui abiliti Malware Protection for S3 devono coincidere. Ad esempio, se il tuo account appartiene alla `us-east-1` regione, deve esserlo anche la tua regione del bucket Amazon S3. `us-east-1`
1. In **Prefisso**, puoi selezionare **Tutti gli oggetti nel bucket S3** o Oggetti che **iniziano con un prefisso specifico**.
+ Seleziona **Tutti gli oggetti nel bucket S3** quando vuoi GuardDuty puoi scansionare tutti gli oggetti appena caricati nel bucket selezionato.
+ Seleziona **Oggetti che iniziano con un prefisso specifico** quando desideri scansionare gli oggetti appena caricati che appartengono a un prefisso specifico. Questa opzione consente di concentrare l'ambito della scansione antimalware solo sui prefissi degli oggetti selezionati. Per ulteriori informazioni sull'uso dei prefissi, consulta [Organizzazione degli oggetti nella console Amazon S3 utilizzando](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) le cartelle nella Amazon *S3* User Guide.
Scegli **Aggiungi prefisso e inserisci il prefisso**. Puoi aggiungere fino a cinque prefissi.
### Abilita l'etichettatura per gli oggetti scansionati
Si tratta di un passaggio **facoltativo**. Quando abiliti l'opzione di etichettatura prima che un oggetto venga caricato nel tuo bucket, dopo aver completato la scansione, GuardDuty aggiungerai un tag predefinito con chiave as `GuardDutyMalwareScanStatus` e il valore come risultato della scansione. Per utilizzare Malware Protection for S3 in modo ottimale, consigliamo di abilitare l'opzione per aggiungere tag agli oggetti S3 al termine della scansione. Si applica il costo standard di S3 Object Tagging. Per ulteriori informazioni, consulta [Prezzi e costi di utilizzo di Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
**Perché dovresti abilitare il tagging?**
+ L'attivazione dei tag è uno dei modi per conoscere i risultati della scansione antimalware. Per informazioni sui risultati di una scansione antimalware S3, consulta. [Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md)
+ Configura una politica di controllo degli accessi basata su tag (TBAC) sul tuo bucket S3 che contiene l'oggetto potenzialmente dannoso. Per informazioni sulle considerazioni e su come implementare il controllo degli accessi basato su tag (TBAC), consulta. [Utilizzo del controllo degli accessi basato su tag (TBAC) con Malware Protection for S3](tag-based-access-s3-malware-protection.md)
**Considerazioni sull'aggiunta di un tag GuardDuty all'oggetto S3:**
+ Per impostazione predefinita, puoi associare fino a 10 tag a un oggetto. Per ulteriori informazioni, consulta [Categorizzazione dello storage mediante tag nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) per l'utente di *Amazon S3*.
Se tutti e 10 i tag sono già in uso, non è GuardDuty possibile aggiungere il tag predefinito all'oggetto scansionato. GuardDuty pubblica inoltre il risultato della scansione nel bus degli eventi predefinito EventBridge . Per ulteriori informazioni, consulta [Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Se il ruolo IAM selezionato non include l'autorizzazione GuardDuty per taggare l'oggetto S3, anche con l'etichettatura abilitata per il bucket protetto, non GuardDuty sarà possibile aggiungere tag a questo oggetto S3 scansionato. Per ulteriori informazioni sull'autorizzazione del ruolo IAM richiesta per l'etichettatura, consulta. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
GuardDuty pubblica inoltre il risultato della scansione nel bus EventBridge degli eventi predefinito. Per ulteriori informazioni, consulta [Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
**Per selezionare un'opzione in **Etichetta gli oggetti scansionati****
+ GuardDuty **Per **aggiungere** tag agli oggetti S3 scansionati, seleziona Etichetta gli oggetti.**
+ Se **non desideri** aggiungere tag GuardDuty agli oggetti S3 scansionati, seleziona **Non** etichettare gli oggetti.
### Accesso al servizio
Utilizza i seguenti passaggi per scegliere un ruolo di servizio esistente o creare un nuovo ruolo di servizio con le autorizzazioni necessarie per eseguire azioni di scansione antimalware per tuo conto. Queste azioni possono includere la scansione degli oggetti S3 appena caricati e (facoltativamente) l'aggiunta di tag a tali oggetti. Per informazioni sulle autorizzazioni che avrà questo ruolo, consulta. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
Nella sezione **Accesso al servizio**, puoi effettuare una delle seguenti operazioni:
1. **Creare e utilizzare un nuovo ruolo di servizio**: è possibile utilizzare la funzione Crea un nuovo ruolo di servizio con le autorizzazioni necessarie per eseguire la scansione antimalware.
Sotto il **nome del ruolo** puoi scegliere di utilizzare il nome precompilato da GuardDuty o inserire un nome significativo a tua scelta per identificare il ruolo. Ad esempio, `GuardDutyS3MalwareScanRole`. Il nome del ruolo deve contenere da 1 a 64 caratteri. I caratteri validi sono a-z, A-Z, 0-9 e '\$1=, .@-\$1'.
1. **Usa un ruolo di servizio esistente: puoi scegliere un ruolo** **di servizio esistente dall'elenco dei nomi del ruolo di servizio.**
1. In **Modello di policy** puoi visualizzare la policy per il tuo bucket S3. Assicurati di aver inserito o selezionato un bucket S3 nella sezione **Inserisci i dettagli del bucket S3**.
1. In **Nome del ruolo di servizio** scegli un ruolo di servizio dall'elenco dei ruoli di servizio.
Puoi apportare modifiche alla policy in base ai tuoi requisiti. Per maggiori dettagli su come creare o aggiornare un ruolo IAM, consulta [Creare o aggiornare la policy del ruolo IAM](https://docs.aws.amazon.com//guardduty/latest/ug/malware-protection-s3-iam-policy-prerequisite.html).
Per problemi con le autorizzazioni dei ruoli IAM, consulta[Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
### (Facoltativo) Etichetta l'ID del piano di protezione da malware
Si tratta di un passaggio facoltativo che consente di aggiungere tag alla risorsa del piano Malware Protection che verrebbe creata per la risorsa del bucket S3.
Ogni tag è composto da due parti: una chiave di tag e un valore di tag opzionale. Per ulteriori informazioni sull'etichettatura e sui relativi vantaggi, consulta Risorse per l'[etichettatura AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Per aggiungere tag alla risorsa del piano Malware Protection**
1. Inserisci **la chiave** e un **valore** opzionale per il tag. Sia la chiave che il valore del tag fanno distinzione tra maiuscole e minuscole. Per informazioni sui nomi della chiave e del valore del tag, consulta [Limiti e requisiti di denominazione dei tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
1. Per aggiungere altri tag alla risorsa del piano Malware Protection, scegli **Aggiungi nuovo tag** e ripeti il passaggio precedente. Puoi aggiungere fino a 50 tag per ciascuna risorsa .
1. Scegli **Abilita **.
## Abilitazione della protezione da malware per S3 tramite API/CLI
Questa sezione include i passaggi da seguire quando si desidera abilitare Malware Protection for S3 a livello di codice nel proprio ambiente. AWS Ciò richiede il ruolo IAM Amazon Resource Name (ARN) che hai creato in questa fase -. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
**Per abilitare la protezione da malware per S3 a livello di codice utilizzando API/CLI**
+ **Utilizzando l'API**
Esegui [CreateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMalwareProtectionPlan.html)per abilitare Malware Protection for S3 per un bucket che appartiene al tuo account.
+ **Utilizzando AWS CLI**
A seconda di come si desidera abilitare Malware Protection for S3, il seguente elenco fornisce comandi di AWS CLI esempio per casi d'uso specifici. Quando esegui questi comandi, sostituisci*placeholder examples shown in red*, con i valori appropriati per il tuo account.
**AWS CLI comandi di esempio**
+ Utilizzate il seguente AWS CLI comando per abilitare Malware Protection for S3 per un bucket senza tag per gli oggetti S3 scansionati:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
+ Usa il AWS CLI comando seguente per abilitare Malware Protection for S3 per un bucket con prefissi di oggetti specifici e senza tag per gli oggetti S3 scansionati:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
+ Utilizza il seguente AWS CLI comando per abilitare Malware Protection for S3 per un bucket con la codifica degli oggetti S3 scansionati abilitata:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Dopo aver eseguito correttamente questi comandi, verrà generato un ID del piano Malware Protection univoco. Per eseguire azioni come l'aggiornamento o la disabilitazione del piano di protezione per il tuo bucket, avrai bisogno di questo ID del piano di protezione da malware.
Per problemi con le autorizzazioni dei ruoli IAM, consulta. [Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Creare o aggiornare la politica dei ruoli IAM
Per consentire a Malware Protection for S3 di scansionare e (facoltativamente) aggiungere tag agli oggetti S3, puoi utilizzare ruoli di servizio che dispongono delle autorizzazioni necessarie per eseguire azioni di scansione del malware per tuo conto. [Per ulteriori informazioni sull'utilizzo dei ruoli di servizio per abilitare la protezione da malware per S3, consulta Service Access.](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection) Questo ruolo è diverso dal ruolo collegato al [servizio GuardDuty Malware Protection](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Se preferisci utilizzare i ruoli IAM, puoi associare un ruolo IAM che include le autorizzazioni necessarie per eseguire la scansione e (facoltativamente) aggiungere tag agli oggetti S3. È necessario creare un ruolo IAM o aggiornare un ruolo esistente per includere queste autorizzazioni. Poiché queste autorizzazioni sono necessarie per ogni bucket Amazon S3 per il quale abiliti Malware Protection for S3, devi eseguire questo passaggio per ogni bucket Amazon S3 da proteggere.
L'elenco seguente spiega in che modo determinate autorizzazioni aiutano a GuardDuty eseguire la scansione antimalware per tuo conto:
+ Consenti ad Amazon EventBridge Actions di creare e gestire la regola EventBridge gestita in modo che Malware Protection for S3 possa ascoltare le notifiche degli oggetti S3.
Per ulteriori informazioni, consulta [Amazon EventBridge managed rules](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) nella *Amazon EventBridge User Guide*.
+ Consenti ad Amazon S3 e alle EventBridge azioni di inviare notifiche per tutti gli eventi in questo bucket EventBridge
Per ulteriori informazioni, consulta [Enabling Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) nella *Amazon S3 User* Guide.
+ Consenti alle azioni di Amazon S3 di accedere all'oggetto S3 caricato e aggiungi un tag predefinito all'oggetto S3 `GuardDutyMalwareScanStatus` scansionato. Quando usi un prefisso di oggetto, aggiungi una `s3:prefix` condizione solo sui prefissi di destinazione. Ciò GuardDuty impedisce l'accesso a tutti gli oggetti S3 nel bucket.
+ Consenti alle azioni chiave KMS di accedere all'oggetto prima di scansionare e inserire un oggetto di test sui bucket con la crittografia DSSE-KMS e SSE-KMS supportata.
**Nota**
Questo passaggio è necessario ogni volta che attivi Malware Protection for S3 per un bucket nel tuo account. Se disponi già di un ruolo IAM, puoi aggiornarne la policy per includere i dettagli di un'altra risorsa bucket Amazon S3. L'[Aggiungere le autorizzazioni delle policy IAM](#attach-iam-policy-s3-malware-protection)argomento fornisce un esempio su come eseguire questa operazione.
Utilizza le seguenti politiche per creare o aggiornare un ruolo IAM.
**Topics**
+ [Aggiungere le autorizzazioni delle policy IAM](#attach-iam-policy-s3-malware-protection)
+ [Aggiungere una politica di relazione di fiducia](#add-iam-trust-policy-s3-malware-protection)
## Aggiungere le autorizzazioni delle policy IAM
Puoi scegliere di aggiornare la policy in linea di un ruolo IAM esistente o creare un nuovo ruolo IAM. Per informazioni sui passaggi, consulta [Creazione di un ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) o [Modifica della politica di autorizzazione di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) nella Guida per l'utente *IAM*.
Aggiungi il seguente modello di autorizzazioni al tuo ruolo IAM preferito. Sostituisci i seguenti valori segnaposto con i valori appropriati associati al tuo account:
+ Infatti*amzn-s3-demo-bucket*, sostituiscilo con il nome del tuo bucket Amazon S3.
Per utilizzare lo stesso ruolo IAM per più di una risorsa bucket S3, aggiorna una policy esistente come mostrato nell'esempio seguente:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Assicurati di aggiungere una virgola (,) prima di aggiungere un nuovo ARN associato al bucket S3. Esegui questa operazione ogni volta che fai riferimento a un bucket `Resource` S3 nel modello di policy.
+ Perché*111122223333*, sostituiscilo con il tuo Account AWS ID.
+ Perché*us-east-1*, sostituisci con il tuo Regione AWS.
+ Perché*APKAEIBAERJR2EXAMPLE*, sostituiscilo con il tuo ID chiave gestito dal cliente. Se il tuo bucket S3 è crittografato utilizzando una AWS KMS chiave, aggiungiamo le autorizzazioni pertinenti se scegli l'opzione [Crea un nuovo ruolo](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) durante la configurazione della protezione da malware per il tuo bucket.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Modello di policy sui ruoli IAM**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Aggiungere una politica di relazione di fiducia
Allega la seguente politica di fiducia al tuo ruolo IAM. Per informazioni sui passaggi, consulta [Modifica di una policy di fiducia per i ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM
Quando abiliti Malware Protection for S3, GuardDuty verifica se il tuo ruolo di servizio IAM dispone delle autorizzazioni necessarie per convalidare la proprietà del bucket Amazon S3. Se queste autorizzazioni sono mancanti o non sono configurate correttamente, potresti ricevere il seguente messaggio:
```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```
Gli scenari seguenti possono aiutarti a risolvere questo errore:
**Autorizzazioni per i ruoli IAM mancanti**
+ Il ruolo IAM deve disporre delle autorizzazioni necessarie per consentire a Malware Protection for S3 di assumere il ruolo.
+ GuardDuty convalida la proprietà del bucket con l'autorizzazione. `"s3:ListBucket"` Questo deve essere presente nel ruolo IAM che utilizzi.
Per informazioni sulle autorizzazioni, consulta[Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Disponibilità dei ruoli IAM**
+ Quando crei un nuovo ruolo IAM, attendi alcuni minuti affinché le modifiche raggiungano la coerenza finale prima di abilitare Malware Protection for S3. Se tenti di abilitare il piano di protezione subito dopo aver creato il ruolo, la convalida potrebbe fallire.
+ Per le implementazioni Infrastructure as Code (IaC), GuardDuty consiglia di dichiarare una dipendenza dalle risorse per garantire che il ruolo IAM raggiunga la coerenza finale.
[Per modelli di esempio su come eseguire questa operazione, consulta il repository. GuardDuty GitHub](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk)
**Abilitazione tra regioni**
Assicurati che il tuo bucket Amazon S3 si trovi nella stessa regione in cui stai abilitando Malware Protection for S3. GuardDuty
# Passaggi dopo l'attivazione di Malware Protection for S3
Questa sezione elenca i passaggi che è possibile eseguire dopo aver abilitato Malware Protection for S3 per un bucket. I seguenti passaggi sono elencati in un ordine che ti aiuterà a navigare nei passaggi successivi:
**Da seguire dopo aver abilitato Malware Protection for S3 per il tuo bucket**
1. **Aggiungi una politica delle risorse per il controllo degli accessi basata su tag (TBAC)**: quando abiliti il tagging, prima che un oggetto venga caricato nel bucket selezionato, assicurati di aggiungere la policy TBAC alla risorsa del bucket S3. Per ulteriori informazioni, consulta [Aggiungere TBAC alla risorsa bucket S3](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection).
1. **Monitora lo stato del **piano di protezione da malware: monitora la colonna Status** per ogni bucket protetto.** Per informazioni sui potenziali stati e sul loro significato, consulta. [Visualizzazione e comprensione dello stato del bucket protetto](malware-protection-s3-bucket-status-gdu.md)
1. **Avvia una scansione** scegliendo una delle seguenti opzioni:
+ **Carica un oggetto**:
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Carica un file nel bucket S3 o nel prefisso dell'oggetto per cui hai abilitato questa funzionalità. Per la procedura di caricamento di un file, consulta [Caricare un oggetto nel bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/uploading-an-object-bucket.html) nella *Amazon S3* User Guide.
+ **Avvia una scansione** su richiesta: [Scansione malware su richiesta per S3 GuardDuty](malware-protection-s3-on-demand.md)
1. **Monitora lo stato e i risultati della scansione degli oggetti S3**: questo passaggio include informazioni su come controllare lo stato della scansione antimalware dell'oggetto S3.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/malware-protection-s3-steps-after-enabling.html)
# Scansione malware su richiesta per S3 GuardDuty
GuardDuty Malware Protection for S3 monitora continuamente i nuovi caricamenti su S3. Per gli oggetti che esistevano prima dell'attivazione della protezione o per eseguire nuovamente la scansione di oggetti scansionati in precedenza, puoi avviare una scansione antimalware S3 su richiesta dopo aver abilitato il piano Malware Protection per il tuo bucket. GuardDuty
La scansione antimalware su richiesta utilizza il ruolo IAM di Malware Protection Plan per l'accesso agli oggetti e l'applicazione della configurazione. La scansione sovrascriverà qualsiasi prefisso configurato nel Malware Protection Plan per il bucket.
**Nota**
La quota Malware Protection for S3 si applica alla scansione antimalware su richiesta. Per ulteriori informazioni, vedere. [Quote nella protezione da malware per S3](malware-protection-s3-quotas-guardduty.md)
Per ulteriori informazioni sui prezzi, consultare [Prezzi e costi di utilizzo di Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
## Prerequisiti
Prima di avviare una scansione antimalware su richiesta, l'account deve soddisfare i seguenti prerequisiti:
+ La protezione da malware per S3 è abilitata nel bucket di destinazione. Per ulteriori informazioni, consulta [Configurazione della protezione da malware per S3 per il tuo bucket](configuring-malware-protection-for-s3-guardduty.md).
+ La [AWS politica gestita: AmazonGuardDutyFullAccess\$1v2 (consigliata)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) policy è allegata all'utente IAM o al ruolo IAM che richiama l'API.
## Avvia una scansione antimalware su richiesta
Utilizza l'operazione [SendObjectMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_SendObjectMalwareScan.html)API, che richiede il percorso dell'oggetto S3 come input.
------
#### [ API/CLI ]
È possibile scansionare la versione più recente dell'oggetto o specificare una versione particolare da scansionare.
Per scansionare una versione specifica di un oggetto:
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE", "VersionId": "d41d8cd98f00b204e9800998eEXAMPLE"}'
```
Per scansionare la versione più recente di un oggetto:
```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE"}'
```
------
**Importante**
Una chiamata API riuscita conferma che la richiesta di scansione è stata accettata. Tuttavia, è importante monitorare i risultati della scansione per garantire il completamento corretto e identificare eventuali problemi, come gli errori di accesso all'oggetto. Per ulteriori informazioni, consulta [Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3](monitoring-malware-protection-s3-scans-gdu.md).
# Utilizzo del controllo degli accessi basato su tag (TBAC) con Malware Protection for S3
Quando attivi Malware Protection for S3 per il tuo bucket, puoi facoltativamente scegliere di abilitare i tag. Dopo aver tentato di scansionare un oggetto S3 appena caricato nel bucket selezionato, GuardDuty aggiunge un tag all'oggetto scansionato per indicare lo stato della scansione del malware. Quando si abilita il tagging, viene associato un costo di utilizzo diretto. Per ulteriori informazioni, consulta [Prezzi e costi di utilizzo di Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
GuardDuty utilizza un tag predefinito con la chiave as `GuardDutyMalwareScanStatus` e il valore come uno degli stati di scansione del malware. Per informazioni su questi valori, vedere. [Potenziale stato di scansione dell'oggetto S3 e stato dei risultati](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection)
**Considerazioni sull'aggiunta GuardDuty di un tag all'oggetto S3:**
+ Per impostazione predefinita, puoi associare fino a 10 tag a un oggetto. Per ulteriori informazioni, consulta [Categorizzazione dello storage mediante tag nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) per l'utente di *Amazon S3*.
Se tutti e 10 i tag sono già in uso, non è GuardDuty possibile aggiungere il tag predefinito all'oggetto scansionato. GuardDuty pubblica inoltre il risultato della scansione nel bus degli eventi predefinito EventBridge . Per ulteriori informazioni, consulta [Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Se il ruolo IAM selezionato non include l'autorizzazione GuardDuty per taggare l'oggetto S3, anche con l'etichettatura abilitata per il bucket protetto, non GuardDuty sarà possibile aggiungere tag a questo oggetto S3 scansionato. Per ulteriori informazioni sull'autorizzazione del ruolo IAM richiesta per l'etichettatura, consulta. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
GuardDuty pubblica inoltre il risultato della scansione nel bus EventBridge degli eventi predefinito. Per ulteriori informazioni, consulta [Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
## Aggiungere TBAC alla risorsa bucket S3
Puoi utilizzare le policy delle risorse del bucket S3 per gestire il controllo degli accessi basato su tag (TBAC) per i tuoi oggetti S3. Puoi fornire l'accesso a utenti specifici per accedere e leggere l'oggetto S3. Se hai un'organizzazione creata utilizzando AWS Organizations, devi fare in modo che nessuno possa modificare i tag aggiunti da. GuardDuty Per ulteriori informazioni, consulta [Impedire che i tag vengano modificati se non da soggetti autorizzati nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) per l'*AWS Organizations utente*. L'esempio utilizzato nell'argomento collegato cita`ec2`. Quando utilizzate questo esempio, sostituitelo *ec2* con`s3`.
L'elenco seguente spiega cosa è possibile fare utilizzando TBAC:
+ Impedisci a tutti gli utenti tranne il responsabile del servizio Malware Protection for S3 di leggere gli oggetti S3 che non sono ancora etichettati con la seguente coppia chiave-valore di tag:
`GuardDutyMalwareScanStatus`:`Potential key value`
+ Consenti solo GuardDuty di aggiungere la chiave del tag `GuardDutyMalwareScanStatus` con valore come risultato della scansione a un oggetto S3 scansionato. Il seguente modello di policy può consentire a utenti specifici che dispongono dell'accesso di sovrascrivere potenzialmente la coppia chiave-valore del tag.
**Esempio di policy sulle risorse del bucket S3:**
Sostituisci i seguenti valori segnaposto nella politica di esempio:
+ *IAM-role-name*- Fornisci nel tuo bucket il ruolo IAM che hai usato per configurare Malware Protection for S3.
+ *555555555555*- Fornisci il bucket Account AWS associato al bucket protetto.
+ *amzn-s3-demo-bucket*- Fornisci il nome del bucket protetto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "NoReadUnlessClean",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
}
}
},
{
"Sid": "OnlyGuardDutyCanTagScanStatus",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": "s3:PutObjectTagging",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ForAnyValue:StringEquals": {
"s3:RequestObjectTagKeys": "GuardDutyMalwareScanStatus"
}
}
}
]
}
```
------
Per ulteriori informazioni sull'etichettatura delle risorse S3, consulta le politiche di [tagging e](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging-and-policies.html) controllo degli accessi.
# Visualizzazione e comprensione dello stato del bucket protetto
Dopo aver abilitato Malware Protection for S3 per un bucket, lo stato indica se la funzionalità è configurata e funziona come previsto. Questo stato è associato a un identificatore (ID) del piano Malware Protection univoco. GuardDuty crea questo ID al momento dell'attivazione della funzionalità.
Utilizza la seguente procedura per visualizzare lo stato del tuo bucket protetto:
1. Accedi Console di gestione AWS e apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel riquadro di navigazione, seleziona **Malware Protection for S3**.
1. Nella tabella **Bucket protetti, visualizza la colonna **Stato** corrispondente al tuo bucket** **S3**.
La tabella seguente elenca e descrive i valori di stato associati alla risorsa del piano Malware Protection. Comprendendo cosa significano questi stati per il tuo bucket protetto, puoi assicurarti meglio che GuardDuty avvii una scansione antimalware automatica quando un oggetto viene caricato.
| Status | Description |
| --- | --- |
| Attivo | Il tuo bucket S3 è stato configurato con successo con Malware Protection for S3. **Quando lo stato è *Attivo*, le modifiche al ruolo IAM (eliminazione o modifica delle autorizzazioni) non aggiornano lo stato a Avviso o Errore.** Consigliamo di monitorare continuamente lo stato della scansione utilizzando uno dei metodi descritti in[Monitoraggio delle scansioni degli oggetti S3](monitoring-malware-protection-s3-scans-gdu.md). |
| Avvertenza **[*](#fix-protection-status-s3-malware)** | Malware Protection for S3 è progettato per non essere influenzato dalla visualizzazione di un avviso. Quando GuardDuty rileva un nuovo oggetto S3, avvierà una scansione antimalware. **Dopo aver avviato correttamente la scansione, il valore della colonna **Status** potrebbe impiegare alcuni minuti per passare ad Attivo.** Riceverai una EventBridge notifica dopo l'aggiornamento del valore della colonna **Status**. |
| Errore **[*](#fix-protection-status-s3-malware)** | Il tuo bucket non è protetto. Nessuna delle scansioni antimalware associate a questo bucket S3 verrà completata. Potrebbero esserci una o più cause potenziali. |
**\$1** Per informazioni sui potenziali problemi e sui passaggi corrispondenti per risolverli, vedere[Risoluzione dei problemi relativi allo stato del piano di protezione contro](troubleshoot-s3-malware-protection-status-errors.md).
# Monitoraggio delle scansioni degli oggetti S3 in Malware Protection for S3
Quando si utilizza Malware Protection for S3 con un ID GuardDuty rilevatore, se l'oggetto Amazon S3 è potenzialmente dannoso GuardDuty , viene generato. [Protezione da malware per tipo di ricerca S3](gdu-malware-protection-s3-finding-types.md) Utilizzando la GuardDuty console e APIs, puoi visualizzare i risultati generati. Per informazioni sulla comprensione di questo tipo di risultato, vedere[Dettagli degli esiti](guardduty_findings-summary.md).
Quando si utilizza Malware Protection for S3 senza attivarlo GuardDuty (nessun ID rilevatore), anche quando l'oggetto Amazon S3 scansionato è potenzialmente dannoso, non è GuardDuty possibile generare alcun risultato.
**Topics**
+ [Potenziale stato di scansione dell'oggetto S3 e stato dei risultati](#s3-object-scan-result-value-malware-protection)
+ [Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md)
+ [Monitoraggio delle scansioni degli oggetti S3 con tag gestiti GuardDuty](monitor-enable-s3-object-tagging-malware-protection.md)
+ [Metriche dello stato di scansione degli oggetti S3 in CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md)
## Potenziale stato di scansione dell'oggetto S3 e stato dei risultati
Questa sezione spiega i potenziali valori dello stato di scansione degli oggetti S3 e i valori dei risultati della scansione.
Lo stato di scansione di un oggetto S3 indica lo stato della scansione antimalware, ad esempio completata, ignorata o non riuscita.
Lo stato del risultato di una scansione antimalware di un oggetto S3 indica il risultato della scansione in base al valore dello stato della scansione. Il valore dello stato del risultato di una scansione antimalware corrisponde a uno stato di scansione.
L'elenco seguente fornisce i potenziali valori dei risultati della scansione degli oggetti S3. Se hai abilitato l'etichettatura, puoi monitorare il risultato della scansione tramite. [Utilizzo dei tag degli oggetti S3](monitor-enable-s3-object-tagging-malware-protection.md) Dopo la scansione, il valore del tag avrà uno dei seguenti valori di risultato della scansione.
**Il potenziale malware dell'oggetto S3, i valori dello stato dei risultati della scansione**
+ `NO_THREATS_FOUND`— non è GuardDuty stata rilevata alcuna potenziale minaccia associata all'oggetto scansionato.
+ `THREATS_FOUND`— GuardDuty ha rilevato una potenziale minaccia associata all'oggetto scansionato.
+ `UNSUPPORTED`— Esistono alcuni motivi per cui Malware Protection for S3 salterà una scansione. Le possibili ragioni includono file protetti da password, archivi con rapporti di compressione estremamente elevati e il supporto per alcune [Protezione da malware per le quote S3](malware-protection-s3-quotas-guardduty.md) funzionalità di Amazon S3 potrebbe non essere disponibile. Per ulteriori informazioni, consulta [Funzionalità di protezione da malware per S3](s3-malware-protection-capability.md).
+ `ACCESS_DENIED`— non GuardDuty riesco ad accedere a questo oggetto per la scansione. Controlla le autorizzazioni del ruolo IAM associate a questo bucket. Per ulteriori informazioni, consulta [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md).
Se hai abilitato il tagging degli oggetti S3 dopo la scansione, vedi. [Risoluzione dei problemi relativi agli errori dei tag post-scansione degli oggetti S3](troubleshoot-s3-post-scan-tag-failures.md)
+ `FAILED`— impossibile GuardDuty eseguire la scansione antimalware su questo oggetto a causa di un errore interno.
L'elenco seguente fornisce i potenziali valori dello stato di scansione degli oggetti S3 e la loro mappatura al risultato della scansione degli oggetti S3.
**Valori potenziali dello stato di scansione degli oggetti S3**
+ **Completata**: la scansione è stata completata correttamente e indica se l'oggetto S3 contiene malware. In questo caso, il potenziale valore del risultato della scansione degli oggetti S3 potrebbe essere uno dei due`THREATS_FOUND`. `NO_THREATS_FOUND`
+ **Ignorato: GuardDuty salta** una scansione antimalware quando la scansione di questo oggetto S3 non è supportata da Malware Protection for S3 o GuardDuty non ha accesso all'oggetto S3 caricato nel bucket selezionato.
In questo caso, il potenziale valore del risultato della scansione degli oggetti S3 potrebbe essere o. `UNSUPPORTED` `ACCESS_DENIED`
GuardDuty salterà inoltre la scansione se il ruolo IAM richiesto viene eliminato.
+ **Fallito**: analogamente al valore del risultato della scansione degli oggetti S3`FAILED`, questo stato di scansione indica che non GuardDuty è stato possibile eseguire la scansione antimalware sull'oggetto S3 a causa di un errore interno.
# Monitoraggio delle scansioni di oggetti S3 con Amazon EventBridge
*Amazon EventBridge* è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni, applicazioni Software-as-a-Service (SaaS) e AWS servizi e indirizza tali dati verso destinazioni come Lambda. In questo modo puoi monitorare gli eventi che si verificano nei servizi e creare architetture basate su eventi. Per ulteriori informazioni, consulta la [Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
In qualità di account proprietario di un bucket S3 protetto con Malware Protection for S3, GuardDuty pubblica EventBridge notifiche sul bus degli eventi predefinito nei seguenti scenari:
+ Modifiche **allo stato delle risorse del piano Malware Protection** per tutti i bucket protetti. Per informazioni sui vari stati, vedere. [Visualizzazione e comprensione dello stato del bucket protetto](malware-protection-s3-bucket-status-gdu.md)
Per configurare la regola Amazon EventBridge (EventBridge) per lo stato delle risorse, consulta[Stato delle risorse del piano Malware Protection](#resource-status-malware-protection-s3-ev).
+ Il **risultato della scansione degli oggetti S3** viene pubblicato sul bus degli EventBridge eventi predefinito.
Il `s3Throttled` campo indica se si è verificato un ritardo nel caricamento o nel recupero dello storage da Amazon S3. Il valore `true` indica che c'è stato un ritardo e `false` indica che non c'è stato alcun ritardo.
Se `s3Throttled` si tratta `true` del risultato della scansione, Amazon S3 consiglia di impostare i prefissi in modo da ridurre le transazioni al secondo (TPS) per ogni prefisso. Per ulteriori informazioni, consulta [Modelli di progettazione basati sulle best practice: ottimizzazione delle prestazioni di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/optimizing-performance.html) nella *Amazon S3 User Guide*.
Per configurare la regola Amazon EventBridge (EventBridge) per i risultati della scansione degli oggetti S3, consulta[Risultato della scansione degli oggetti S3](#s3-object-scan-status-malware-protection-s3-ev).
+ Si verifica un **errore del tag post-scan per** i seguenti motivi:
+ Al tuo ruolo IAM mancano le autorizzazioni per etichettare l'oggetto.
Il [Aggiungere le autorizzazioni delle policy IAM](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection) modello include l'autorizzazione per GuardDuty etichettare un oggetto.
+ La risorsa o l'oggetto del bucket specificato nel ruolo IAM non esiste più.
+ L'oggetto S3 associato ha già raggiunto il limite massimo di tag. Per ulteriori informazioni sul limite di tag, consulta [Categorizzazione dello storage mediante tag nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) per l'utente di *Amazon S3*.
Per configurare la regola Amazon EventBridge (EventBridge) per gli eventi di errore dei tag post-scan, consulta[Eventi di errore del tag post-scansione](#post-tag-failure-malware-protection-s3-ev).
## Imposta le regole EventBridge
Puoi impostare EventBridge delle regole nel tuo account per inviare lo stato delle risorse, gli eventi di errore dei tag post-scansione o il risultato della scansione degli oggetti S3 a un altro. Servizio AWS In qualità di account GuardDuty amministratore delegato, riceverai la notifica sullo stato delle risorse del piano Malware Protection in caso di modifica dello stato.
Verranno applicate le EventBridge tariffe standard. Per ulteriori informazioni, consulta i [ EventBridge prezzi di Amazon](https://aws.amazon.com/eventbridge/pricing/).
Tutti i valori visualizzati in *red* sono segnaposto per l'esempio. Questi valori cambieranno in base ai valori del tuo account e al fatto che venga rilevato o meno malware.
**Topics**
+ [Stato delle risorse del piano Malware Protection](#resource-status-malware-protection-s3-ev)
+ [Risultato della scansione degli oggetti S3](#s3-object-scan-status-malware-protection-s3-ev)
+ [Eventi di errore del tag post-scansione](#post-tag-failure-malware-protection-s3-ev)
### Stato delle risorse del piano Malware Protection
È possibile creare un modello di EventBridge evento basato sui seguenti scenari:
**`detail-type`Valori potenziali**
+ `"GuardDuty Malware Protection Resource Status Active"`
+ `"GuardDuty Malware Protection Resource Status Warning"`
+ `"GuardDuty Malware Protection Resource Status Error"`
**Modello di evento**
```
{
"detail-type": ["potential detail-type"],
"source": ["aws.guardduty"]
}
```
**Schema di notifica di esempio per `GuardDuty Malware Protection Resource Status Active`**:
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status Active",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ACTIVE"
}
}
```
**Schema di notifica di esempio per `GuardDuty Malware Protection Resource Status Warning`**:
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "GuardDuty Malware Protection Resource Status warning",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "WARNING",
"statusReasons": [
{
"code": "INSUFFICIENT_TEST_OBJECT_PERMISSIONS"
}
]
}
}
```
**Schema di notifica di esempio per `GuardDuty Malware Protection Resource Status Error`**:
```
{
"version": "0",
"id": "fc7a35b7-83bd-3c1f-ecfa-1b8de9e7f7d2",
"detail-type": "GuardDuty Malware Protection Resource Status Error",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-02-28T01:01:01Z",
"s3BucketDetails": {
"bucketName": "amzn-s3-demo-bucket"
},
"resourceStatus": "ERROR",
"statusReasons": [
{
"code": "EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED"
}
]
}
}
```
In base al motivo alla base di `resourceStatus``ERROR`, il `statusReasons` valore verrà compilato.
Per informazioni sulla procedura di risoluzione dei problemi relativi ai seguenti avvisi ed errori, vedere[Risoluzione dei problemi relativi allo stato del piano di protezione contro](troubleshoot-s3-malware-protection-status-errors.md).
### Risultato della scansione degli oggetti S3
```
{
"detail-type": ["GuardDuty Malware Protection Object Scan Result"],
"source": ["aws.guardduty"]
}
```
**Schema di notifica di esempio per `NO_THREATS_FOUND`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"threats": null
}
}
}
```
**Schema di notifica di esempio per `THREATS_FOUND`**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0171419",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"threats": [
{
"name": "EICAR-Test-File (not a virus)"
}
]
}
}
}
```
**Nota**
Il `scanResultDetails.Threats` campo contiene solo una minaccia. Per impostazione predefinita, la scansione Malware Protection for S3 riporta la prima minaccia rilevata. Dopodiché, `scanStatus` è impostato su. `COMPLETED`
**Schema di notifica di esempio per lo stato dei risultati della scansione `UNSUPPORTED` (Ignorato)**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "UNSUPPORTED",
"threats": null
}
}
}
```
**Schema di notifica di esempio per lo stato dei risultati della scansione `ACCESS_DENIED` (Ignorato)**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "ACCESS_DENIED",
"threats": null
}
}
}
```
**Schema di notifica di esempio per lo stato `FAILED` dei risultati della scansione**:
```
{
"version": "0",
"id": "72c7d362-737a-6dce-fc78-9e27a0EXAMPLE",
"detail-type": "GuardDuty Malware Protection Object Scan Result",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-02-28T01:01:01Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "FAILED",
"resourceType": "S3_OBJECT",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "APKAEIBAERJR2EXAMPLE",
"eTag": "ASIAI44QH8DHBEXAMPLE",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"scanResultDetails": {
"scanResultStatus": "FAILED",
"threats": null
}
}
}
```
### Eventi di errore del tag post-scansione
**Schema dell'evento:**
```
{
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty"
}
```
**Schema di notifica di esempio per `ACCESS_DENIED`**:
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "ACCESS_DENIED"
}]
}
}
```
**Schema di notifica di esempio per `MAX_TAG_LIMIT_EXCEEDED`**:
```
{
"version": "0",
"id": "746acd83-d75c-5b84-91d2-dad5f13ba0d7",
"detail-type": "GuardDuty Malware Protection Post Scan Action Failed",
"source": "aws.guardduty",
"account": "111122223333",
"time": "2024-06-10T16:16:08Z",
"region": "us-east-1",
"resources": ["arn:aws:guardduty:us-east-1:111122223333:malware-protection-plan/b4c7f464ab3a4EXAMPLE"],
"detail": {
"schemaVersion": "1.0",
"eventTime": "2024-06-10T16:16:08Z",
"s3ObjectDetails": {
"bucketName": "amzn-s3-demo-bucket",
"objectKey": "2024-03-10-16-16-00-7D723DE8DBE9Y2E0",
"eTag": "0e9eeec810ad8b61d69112c15c2a5hb6",
"versionId" : "d41d8cd98f00b204e9800998eEXAMPLE",
"s3Throttled": false
},
"postScanActions": [{
"actionType": "TAGGING",
"failureReason": "MAX_TAG_LIMIT_EXCEEDED"
}]
}
}
```
Per risolvere questi motivi di errore, vedere. [Risoluzione dei problemi relativi agli errori dei tag post-scansione degli oggetti S3](troubleshoot-s3-post-scan-tag-failures.md)
# Monitoraggio delle scansioni degli oggetti S3 con tag gestiti GuardDuty
Utilizza l'opzione di abilitazione dei tag in modo da GuardDuty poter aggiungere tag al tuo oggetto Amazon S3 dopo aver completato la scansione del malware.
**Considerazioni sull'abilitazione dei tag**
+ È previsto un costo di utilizzo associato all'etichettatura degli GuardDuty oggetti S3. Per ulteriori informazioni, consulta [Prezzi e costi di utilizzo di Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md).
+ È necessario mantenere le autorizzazioni di etichettatura richieste per il ruolo IAM preferito associato a questo bucket; in caso contrario, non è GuardDuty possibile aggiungere tag agli oggetti scansionati. Il ruolo IAM include già le autorizzazioni per aggiungere tag agli oggetti S3 scansionati. Per ulteriori informazioni, consulta [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ Per impostazione predefinita, puoi associare fino a 10 tag a un oggetto S3. Per ulteriori informazioni, consulta [Utilizzo del controllo degli accessi basato su tag (TBAC)](tag-based-access-s3-malware-protection.md).
Dopo aver abilitato il tagging per un bucket S3 o per prefissi specifici, a ogni oggetto appena caricato che viene scansionato verrà associato un tag nel seguente formato di coppia chiave-valore:
`GuardDutyMalwareScanStatus`:`Scan-Result-Status`
Per informazioni sui potenziali valori dei tag, consulta. [Potenziale stato di scansione dell'oggetto S3 e stato dei risultati](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection)
# Risoluzione degli errori dei tag post-scansione degli oggetti S3 in Malware Protection for S3
Questa sezione si applica solo agli utenti che utilizzano il [Abilita l'etichettatura per gli oggetti scansionati](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection) bucket protetto.
Quando si GuardDuty tenta di aggiungere un tag all'oggetto S3 scansionato, l'azione di tagging può avere esito negativo. I potenziali motivi per cui ciò può accadere al tuo bucket sono e. `ACCESS_DENIED` `MAX_TAG_LIMIT_EXCEEDED` Utilizza i seguenti argomenti per comprendere i potenziali motivi di questi motivi di errore dei tag post-scansione e risolverli.
**ACCESS\$1DENIED**
L'elenco seguente fornisce i potenziali motivi che possono causare questo problema:
+ Il ruolo IAM utilizzato per questo bucket S3 protetto non dispone dell'**AllowPostScanTag**autorizzazione. Verifica che il ruolo IAM associato utilizzi questa policy del bucket. Per ulteriori informazioni, consulta [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ La policy protetta del bucket S3 non consente di aggiungere tag GuardDuty a questo oggetto.
+ L'oggetto S3 scansionato non esiste più.
**MAX\$1TAG\$1LIMIT\$1EXCEEDED**
Per impostazione predefinita, puoi associare fino a 10 tag a un oggetto S3. Per ulteriori informazioni, consulta Considerazioni sull'aggiunta GuardDuty di un tag all'oggetto S3 nella sezione. [Abilita l'etichettatura per gli oggetti scansionati](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection)
# Metriche dello stato di scansione degli oggetti S3 in CloudWatch
È possibile monitorare GuardDuty l'utilizzo CloudWatch, che raccoglie dati grezzi e li elabora in metriche leggibili e quasi in tempo reale. Queste statistiche vengono conservate per 15 mesi, in modo da poter accedere alle informazioni storiche e avere una prospettiva migliore sulle prestazioni di Malware Protection for S3. È anche possibile impostare allarmi che controllano determinate soglie e inviare notifiche o intraprendere azioni quando queste soglie vengono raggiunte. Per ulteriori informazioni, consulta la [Amazon CloudWatch User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
Le CloudWatch metriche per Malware Protection for S3 sono disponibili a livello di risorsa. Puoi interrogare queste metriche per ogni risorsa protetta separatamente. Le metriche sono riportate nel namespace. `AWS/GuardDuty/MalwareProtection` È possibile impostare allarmi su risorse specifiche per monitorare il livello di sicurezza.
|
|
| **Metriche dello stato della scansione antimalware** |
| --- |
| **Parametro** | **Descrizione** |
| `CompletedScanCount` | Il numero di scansioni antimalware di oggetti S3 completate in un determinato periodo di tempo. Dimensioni valide: `Malware Protection Plan Id` `Resource Name` Unità: numero |
| `FailedScanCount` | Il numero di scansioni di malware relative agli oggetti S3 non riuscite in un determinato periodo di tempo. **Dimensioni valide**: `Malware Protection Plan Id` `Resource Name` Unità: numero |
| `SkippedScanCount` | Il numero di scansioni di malware a oggetti S3 che sono state ignorate in un determinato periodo di tempo. **Dimensioni valide:** `Malware Protection Plan Id` `Resource Name` `Skipped Reason` Valori potenziali `Unsupported` `MissingPermissions` Unità: numero |
| **Metriche dei risultati della scansione del malware** |
| --- |
| `InfectedScanCount` | Il numero di scansioni di malware su oggetti S3 che hanno rilevato oggetti potenzialmente dannosi in un determinato periodo di tempo. Dimensioni valide: `Malware Protection Plan Id` `Resource Name` Unità: numero |
| `CompletedScanBytes` | Il numero di byte di oggetti S3 scansionati in un determinato periodo di tempo. Dimensioni valide: `Malware Protection Plan Id` `Resource Name` Unità: numero |
**Nota**
Per impostazione predefinita, le statistiche nelle CloudWatch metriche sono AVG.
Le seguenti dimensioni sono supportate per le metriche Malware Protection for S3.
|
|
| **Dimensione** | **Descrizione** |
| --- |--- |
| Malware Protection Plan Id | L'identificatore univoco associato alla risorsa del piano Malware Protection GuardDuty creata per la risorsa protetta. |
| Resource Name | Il nome della risorsa protetta. |
| Skipped Reason | Il motivo per cui una scansione antimalware di oggetti S3 è stata ignorata. Valori potenziali `Unsupported` `MissingPermissions` |
Per informazioni sull'accesso e sull'interrogazione di questi parametri, consulta Use [Amazon CloudWatch metrics nella *Amazon CloudWatch *](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) User Guide.
Per informazioni sulla configurazione degli allarmi, consulta [Using Amazon CloudWatch alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) nella *Amazon CloudWatch User* Guide.
# Risoluzione dei problemi
**Topics**
+ [Risoluzione dei problemi relativi allo stato del piano di protezione contro](troubleshoot-s3-malware-protection-status-errors.md)
+ [Risoluzione dei problemi relativi alla scansione antimalware su richiesta](troubleshoot-s3-malware-protection-on-demand.md)
# Risoluzione dei problemi relativi allo stato del piano di protezione contro
Per ogni bucket protetto, GuardDuty visualizza lo **stato** in base alla classifica. Ad esempio, se un bucket protetto presenta problemi nelle categorie **Errore** e **Avviso**, GuardDuty visualizza innanzitutto il problema associato allo stato di **errore**.
L'elenco seguente include gli errori e gli avvisi relativi allo stato del piano Malware Protection.
**Errori**
+ [EventBridge la notifica è disabilitata per questo bucket S3](#eventbridge-notification-disabled-malware-protection-s3-error)
+ [EventBridge manca una regola gestita per ricevere gli eventi del bucket S3](#eventbridge-managed-rule-missing-malware-protection-s3-error)
+ [Il bucket S3 non esiste più](#bucket-no-longer-exists-malware-protection-s3-error)
**Attenzione**
[Impossibile inserire l'oggetto di prova](#unable-put-test-object-malware-protection-s3-warning)
## EventBridge la notifica è disabilitata per questo bucket S3
Il codice del motivo dello stato associato è. `EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED`
**Dettagli sullo stato**
GuardDuty utilizza EventBridge per ricevere una notifica quando un nuovo oggetto viene caricato in questo bucket S3. Questa autorizzazione non è presente nel tuo ruolo IAM.
**Passaggi per la risoluzione dei problemi**
**Opzione 1: aggiungi la seguente dichiarazione di autorizzazione al tuo ruolo IAM:**
```
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
```
*amzn-s3-demo-bucket*Sostituiscilo con il nome del tuo bucket Amazon S3.
**Opzione 2: abilitare le EventBridge notifiche utilizzando la console Amazon S3**
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Nella pagina **Bucket**, nella scheda **General purpose buckets**, seleziona il nome del bucket associato a questo errore.
1. **In questa pagina del bucket, scegli la scheda Proprietà.**
1. Nella EventBridge sezione **Amazon**, seleziona **Modifica**.
1. Nella EventBridge pagina **Modifica Amazon**, per **Invia notifica ad Amazon EventBridge per tutti gli eventi in questo bucket**, seleziona **Attiva**.
1. Scegli **Save changes** (Salva modifiche).
Potrebbero essere necessari alcuni minuti prima che il valore della colonna **Status** diventi **Attivo**.
## EventBridge manca una regola gestita per ricevere gli eventi del bucket S3
Il codice del motivo dello stato associato è. `EVENTBRIDGE_MANAGED_RULE_DISABLED`
**Dettagli sullo stato**
Mancano le autorizzazioni EventBridge gestite per gestire la configurazione delle EventBridge regole.
**Passaggi per la risoluzione dei problemi**
Aggiungi la seguente dichiarazione di autorizzazione al tuo ruolo IAM:
```
{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringEquals": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
}
```
Potrebbero essere necessari alcuni minuti prima che il valore della colonna **Status** diventi **Attivo**.
## Il bucket S3 non esiste più
Il codice del motivo dello stato associato è. `PROTECTED_RESOURCE_DELETED`
**Dettagli sullo stato**
Questo bucket S3 è stato eliminato dal tuo account e non esiste più.
**Passaggio 2 per la risoluzione dei problemi**
Se l'eliminazione del bucket S3 non è stata intenzionale, puoi creare un nuovo bucket utilizzando la console Amazon S3.
Dopo aver creato il bucket con successo, abilita Malware Protection for S3 seguendo i passaggi indicati nella pagina. [Configurazione della protezione da malware per S3 per il tuo bucket](configuring-malware-protection-for-s3-guardduty.md)
## Impossibile inserire l'oggetto di prova
Il codice del motivo dello stato associato è`INSUFFICIENT_TEST_OBJECT_PERMISSIONS`.
**Nota**
L'autorizzazione ad aggiungere un oggetto di test è facoltativa. La mancanza di questa autorizzazione nel tuo ruolo IAM non impedisce a Malware Protection for S3 di avviare una scansione antimalware su un oggetto appena caricato. **Una volta avviata correttamente una scansione, potrebbero essere necessari alcuni minuti prima che lo **stato** del piano di protezione contro il malware passi da **Avviso** ad Attivo.**
Se il ruolo IAM include già questa autorizzazione, questo avviso indica una policy restrittiva per i bucket Amazon S3 che non consente all'accesso IAM di inserire l'oggetto di test in questo bucket S3.
**Dettagli sullo stato**
Per convalidare la configurazione del bucket selezionato, GuardDuty inserisce un oggetto di test nel bucket.
**Passaggi per la risoluzione dei problemi**
Puoi scegliere di aggiornare il ruolo IAM per includere le autorizzazioni mancanti. Al ruolo IAM selezionato, aggiungi le seguenti autorizzazioni in modo da GuardDuty poter inserire l'oggetto di test nella risorsa selezionata:
```
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
}
```
*amzn-s3-demo-bucket*Sostituiscilo con il nome del tuo bucket Amazon S3. Per informazioni sulle autorizzazioni dei ruoli IAM, consulta. [Creare o aggiornare la politica dei ruoli IAM](malware-protection-s3-iam-policy-prerequisite.md)
Potrebbero essere necessari alcuni minuti prima che il valore della colonna **Status** diventi **Attivo**.
# Risoluzione dei problemi relativi alla scansione antimalware su richiesta
## Impossibile avviare una scansione.
Assicurati che la richiesta di scansione contenga un input valido e che il Malware Protection Plan sia abilitato per il bucket.
# Modifica del piano di protezione da malware per un bucket protetto
Potrebbe essere necessario modificare la politica di autorizzazione IAM preferita, abilitare o disabilitare il tagging dell'oggetto S3 scansionato o aggiungere o rimuovere i prefissi degli oggetti S3. Ad esempio, quando hai abilitato Malware Protection for S3 per il tuo bucket, hai deciso di non abilitare l'etichettatura dell'oggetto S3 scansionato con il risultato della scansione. Tuttavia, ora desideri GuardDuty aggiungere il tag predefinito e il risultato della scansione come valore del tag.
Scegli un metodo di accesso preferito per aggiornare il piano di protezione da malware per il tuo bucket S3 protetto.
------
#### [ Console ]
**Per modificare un piano di protezione da malware**
1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Malware Protection for S3**.
1. In **Bucket protetti**, seleziona il bucket per il quale desideri modificare la configurazione esistente.
1. Scegli **Modifica**.
1. Aggiorna la configurazione e le impostazioni esistenti per il tuo bucket e conferma le modifiche. Per informazioni sulla descrizione e sui passaggi per ogni sezione, consulta[Attivazione della protezione da malware per S3 per il tuo bucket](enable-malware-protection-s3-bucket.md).
Monitora la colonna **Status** per questo bucket protetto. Se appare come **Avviso** o **Errore**, vedi[Risoluzione dei problemi relativi allo stato del piano di protezione contro](troubleshoot-s3-malware-protection-status-errors.md).
------
#### [ API/CLI ]
**Per modificare il piano di protezione da malware utilizzando l'API o AWS CLI**
+ **Utilizzando l'API**
Esegui l'[UpdateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareProtectionPlan.html)API utilizzando l'ID del piano Malware Protection associato a questa risorsa del piano.
Per recuperare l'ID del piano Malware Protection in una regione specifica, puoi eseguire l'[ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API in quella regione.
+ **Utilizzando AWS CLI**
L'elenco seguente fornisce comandi di AWS CLI esempio per aggiornare la risorsa del piano Malware Protection. Avrai bisogno dell'ID del piano Malware Protection associato al tuo bucket S3.
**AWS CLI comandi di esempio**
+ Utilizza il seguente AWS CLI comando per **abilitare o disabilitare** il tagging per la risorsa del piano Malware Protection associata al tuo bucket S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --actions "Tagging"={"Status"="ENABLED|DISABLED"}
```
+ Usa il AWS CLI comando seguente per **aggiungere un prefisso di oggetto** alla risorsa del piano Malware Protection associata al tuo bucket S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=["amzn-s3-demo-1", "amzn-s3-demo-2"]}
```
Assicurati di includere i prefissi degli oggetti esistenti in questo comando; in caso contrario, GuardDuty rimuoverà tali prefissi durante la modifica della risorsa del piano Malware Protection.
+ Utilizza il AWS CLI comando seguente per **rimuovere il prefisso di un oggetto** dalla risorsa del piano Malware Protection associata al tuo bucket S3:
```
aws guardduty update-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE --protected-resource "S3Bucket"={"ObjectPrefixes"=[""]}
```
Se non disponi già dell'ID del piano di protezione da malware per questa risorsa, puoi eseguire il AWS CLI comando seguente e sostituirlo *us-east-1* con la regione per la quale desideri elencare il piano di protezione da malware. IDs
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Disattivazione di Malware Protection for S3 per un bucket protetto
Quando disabiliti Malware Protection for S3 per un bucket protetto, GuardDuty elimina l'ID del piano Malware Protection associato a quel bucket. GuardDuty non avvierà più una scansione antimalware quando un nuovo oggetto viene caricato in questo bucket o in uno dei prefissi dell'oggetto selezionati.
Se lo hai abilitato GuardDuty e ora desideri sospenderlo o disabilitarlo, consulta. GuardDuty [Sospensione o disabilitazione GuardDuty](guardduty_suspend-disable.md) Poiché in Malware Protection for S3 non esiste il concetto di ID di rilevamento, la disabilitazione o la sospensione GuardDuty **non** influiscono sullo stato di un bucket protetto nel tuo account. Puoi continuare a utilizzare la funzionalità Malware Protection for S3 indipendentemente dai prezzi standard associati. Per ulteriori informazioni, consulta [Analisi dei costi di utilizzo di Malware Protection for S3Revisione dei costi di utilizzo](usage-cost-malware-protection-s3-gdu.md). Per smettere di usare Malware Protection for S3, dovrai disabilitarla per tutti i bucket protetti del tuo account. Se desideri continuare a utilizzare GuardDuty e disabilitare solo Malware Protection for S3 per un bucket, i passaggi seguenti non influiranno sulla configurazione del GuardDuty servizio e sugli altri piani di protezione che potresti aver abilitato.
Scegli un metodo di accesso preferito per disabilitare Malware Protection for S3 nel tuo bucket S3 protetto.
------
#### [ Console ]
**Per disabilitare Malware Protection for S3 utilizzando la console GuardDuty**
1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Malware Protection for S3**.
1. In **Bucket protetti**, seleziona il bucket per il quale desideri disabilitare Malware Protection for S3.
Puoi selezionare solo un bucket protetto alla volta. Per disabilitare Malware Protection for S3 per più di un bucket, segui nuovamente questi passaggi per un altro bucket S3.
1. Scegli **Disabilita per confermare** la selezione.
------
#### [ API/CLI ]
**Per disabilitare Malware Protection for S3 utilizzando l'API o AWS CLI**
+ **Utilizzando l'API**
Esegui l'[DeleteMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMalwareProtectionPlan.html)API utilizzando l'ID del piano Malware Protection associato a questa risorsa del piano.
Per recuperare l'ID del piano Malware Protection, puoi eseguire l'[ListMalwareProtectionPlans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMalwareProtectionPlans.html)API.
+ **Utilizzando AWS CLI**
In alternativa, puoi eseguire il seguente AWS CLI comando per disabilitare Malware Protection for S3 sostituendolo *4cc8bf26c4d75EXAMPLE* con l'ID del piano Malware Protection associato a questo bucket S3:
```
aws guardduty delete-malware-protection-plan --malware-protection-plan-id 4cc8bf26c4d75EXAMPLE
```
Se non disponi già dell'ID del piano di protezione da malware per questo bucket S3, puoi eseguire il AWS CLI comando seguente e sostituirlo *us-east-1* con la regione per la quale desideri elencare il piano di protezione da malware. IDs
```
aws guardduty list-malware-protection-plans --region us-east-1
```
------
# Supportabilità delle funzionalità di Amazon S3
La tabella seguente specifica se Malware Protection for S3 supporta o meno le funzionalità di Amazon S3 elencate.
| Nome della funzionalità S3 | Il supporto è disponibile? | Description |
| --- | --- | --- |
| Classe di archiviazione S3 - S3 Standard Classe di storage S3: S3 Standard-Infrequent Access Classe di storage S3: S3 One Zone-Infrequent Access Classe di storage S3: S3 Glacier Instant Retrieval | Sì | Gli oggetti S3 possono essere recuperati senza eseguire il ripristino in modo asincrono. |
| Classe di storage S3 - S3 Intelligent-Tiering | Condizionale | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/supported-s3-features-malware-protection-s3.html) |
| Classe di archiviazione S3 - S3 Express One Zone (bucket Directory) | No | GuardDuty supporta solo bucket generici per Malware Protection for S3. |
| Classe di archiviazione S3: S3 Glacier Flexible Retrieval Classe di storage S3 - S3 Glacier Deep Archive | No | Gli oggetti S3 devono essere ripristinati prima di poter accedervi. |
| Amazon S3 su Outposts | No | La protezione da malware per S3 non è supportata su Outposts. |
| Controllo delle versioni S3 | Sì | Tutti gli oggetti S3 caricati vengono scansionati alla ricerca di malware. Se hai caricato un oggetto con la versione del file v1 e hai immediatamente caricato un'altra versione sostituita con v2, GuardDuty eseguirà la scansione di entrambe le versioni del file oggetto v1 e v2. Tuttavia, l'ora di inizio della scansione potrebbe non essere nello stesso ordine. |
| Replica S3: scansiona l'oggetto replicato | Sì | Se il bucket di destinazione è una risorsa protetta, GuardDuty eseguirà la scansione di tutti gli oggetti S3 replicati nei prefissi protetti e monitorati. |
| Replica S3: replica sul tag dei risultati della scansione | No | Non è possibile definire una regola di replica basata sul tag dei risultati della scansione. Amazon S3 non supporta la replica per i tag, ad eccezione di on create. |
| Crittografia dei dati: S3-SSE Crittografia dei dati - SSE-KMS Crittografia dei dati - DSSE-KMS AWS KMS - Chiave gestita dal cliente | Sì | GuardDuty supporta scansioni antimalware per oggetti S3 crittografati con chiavi gestite e gestite dal cliente. Assicurati che il ruolo IAM includa l'autorizzazione all'uso della chiave. Per ulteriori informazioni, consulta [Aggiungere le autorizzazioni delle policy IAM](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection). |
| Crittografia dei dati - SSE-C | No | Malware Protection for S3 non supporta la scansione di oggetti S3 crittografati con chiavi non accessibili. |
| Crittografia lato client | No | Quando i tuoi oggetti Amazon S3 vengono crittografati utilizzando Amazon S3 Encryption Client, non vengono esposti a terze parti, inclusi. AWS Per informazioni sul motivo per cui questa funzionalità non è supportata, consulta [Protezione dei dati utilizzando la crittografia lato client](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html). Gli oggetti crittografati CSE-KMS vengono ricevuti come blob crittografati in cui non è possibile determinare la crittografia. Pertanto, li GuardDuty elabora non appena vengono ricevuti e analizza il blob crittografato come un normale file. GuardDuty non restituisce uno stato di `UNSUPPORTED` scansione per tali oggetti, a meno che uno dei due non superi[Quote nella protezione da malware per S3](malware-protection-s3-quotas-guardduty.md). |
| Blocco degli oggetti S3 e conservazione legale | Sì | Gli oggetti S3 bloccati vengono bloccati in base a WORM - Write Once Read Many. Malware Protection for S3 può accedere e scansionare gli oggetti. |
| Il richiedente paga | Sì | *Malware Protection for S3 può scansionare i bucket configurati con Requester Pays.* Il richiedente pagherà le chiamate S3. Per ulteriori informazioni, consulta la sezione [Utilizzo dei bucket con pagamento a carico del richiedente per i trasferimenti e l'utilizzo dello storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) nella *Guida per l'utente di Amazon S3*. |
| S3: ciclo di vita dello storage | Sì | È possibile definire le politiche del ciclo di vita in base al tag dei risultati della scansione. Ad esempio, elimina automaticamente gli oggetti dannosi. Per ulteriori informazioni sulla configurazione del ciclo di vita, consulta [Managing your storage lifecycle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) nella *Amazon* S3 User Guide. |
| S3: controllo degli accessi basato su tag (TBAC) | Sì | Puoi definire le politiche relative alle risorse del bucket in base al tag dei risultati della scansione degli oggetti S3. Ad esempio, impedisci l'accesso agli oggetti S3 che non sono ancora stati scansionati o alle minacce rilevate. GuardDuty Per ulteriori informazioni, consulta [Utilizzo del controllo degli accessi basato su tag (TBAC) con Malware Protection for S3](tag-based-access-s3-malware-protection.md). |
# Quote nella protezione da malware per S3
Questa sezione fornisce quote predefinite, spesso denominate limiti. Se non diversamente specificato, ogni quota è specifica della regione. Per visualizzare le quote predefinite specifiche per l'utilizzo del servizio di base, vedere. GuardDuty [GuardDuty Quote Amazon](guardduty_limits.md)
Le tabelle seguenti descrivono le quote multiple che verranno applicate alle tue. Account AWS
| Nome quota | AWS valore di quota predefinito | È regolabile? | Description |
| --- | --- | --- | --- |
| Dimensione massima dell'oggetto S3 | 100 GB | No | La dimensione massima dell'oggetto S3 che GuardDuty tenterà di eseguire la scansione alla ricerca di malware. Sebbene questa quota non sia regolabile, se hai bisogno di scansionare oggetti più grandi, contatta Supporto AWS per determinare se è GuardDuty possibile aumentare la quota per il tuo caso d'uso. |
| Byte di archivio estratti | 100 GB | No | La quantità massima di dati che è GuardDuty possibile estrarre e analizzare da un file di archivio. GuardDuty salterà l'estrazione dei file di archivio per una dimensione superiore a 100 GB. |
| Byte di archivio estratti | 10.000 | No | Il numero massimo di file che è GuardDuty possibile estrarre e analizzare in un file di archivio. Se l'archivio contiene più di 10.000 file, GuardDuty sarà necessario saltare il file archiviato. I tipi di file composti sono potenzialmente soggetti a questi limiti. I tipi di file includono, a titolo esemplificativo, messaggi di posta elettronica codificati MIME (Multipurpose Internet Mail Extensions), file Compiled Python (PYC), file CHM (Compiled HTML Help), tutti i programmi di installazione e documenti Format (ODF). OpenDocument |
| Livelli massimi di profondità di archiviazione | 5 | No | I livelli massimi di archivi annidati che è GuardDuty possibile estrarre. Se l'archivio include file nidificati oltre questo valore, GuardDuty ignorerà tali file nidificati. |
| Numero massimo di bucket protetti | 25 | No | Il numero massimo di bucket S3 per i quali è possibile abilitare Malware Protection for S3. Questo limite di quota è per account in ogni regione. |