기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# S3용 맬웨어 보호와 함께 태그 기반 액세스 제어(TBAC) 사용
버킷에 대해 S3용 맬웨어 보호를 사용하도록 설정할 때 선택적으로 태깅을 사용하도록 선택할 수 있습니다. 선택한 버킷에 새로 업로드된 S3 객체를 스캔한 후 GuardDuty는 스캔한 객체에 태그를 추가하여 멀웨어 스캔 상태를 제공합니다. 태그 지정을 활성화할 때 직접 사용 비용이 발생합니다. 자세한 내용은 [S3용 맬웨어 보호의 가격 및 사용 비용](pricing-malware-protection-for-s3-guardduty.md) 단원을 참조하십시오.
GuardDuty는 키를 `GuardDutyMalwareScanStatus`로 하고 값을 맬웨어 스캔 상태 중 하나로 하는 사전 정의된 태그를 사용합니다. 이러한 값에 대한 자세한 내용은 [S3 객체 전위 스캔 상태 및 결과 상태](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection) 단원을 참조하세요.
**GuardDuty가 S3 객체에 태그를 추가하기 위한 고려 사항:**
+ 기본적으로 최대 10개의 태그를 객체에 연결할 수 있습니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [태그를 사용하여 스토리지 분류](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)를 참조하세요.
10개의 태그가 모두 이미 사용 중인 경우 GuardDuty는 미리 정의된 태그를 스캔한 객체에 추가할 수 없습니다. GuardDuty는 또한 스캔 결과를 기본 EventBridge 이벤트 버스에 게시합니다. 자세한 내용은 [Amazon EventBridge로 S3 객체 스캔 모니터링하기](monitor-with-eventbridge-s3-malware-protection.md) 단원을 참조하십시오.
+ 선택한 IAM 역할에 GuardDuty가 S3 객체에 태그를 지정할 수 있는 권한이 포함되지 않은 경우 보호 버킷에 대해 태그 지정이 활성화된 경우에도 GuardDuty는 스캔된 이 S3 객체에 태그를 추가할 수 없습니다. 태그 지정에 필요한 IAM 역할 권한에 대한 자세한 내용은 [IAM 역할 정책 생성 또는 업데이트](malware-protection-s3-iam-policy-prerequisite.md)을 참조하세요.
GuardDuty는 또한 스캔 결과를 기본 EventBridge 이벤트 버스에 게시합니다. 자세한 내용은 [Amazon EventBridge로 S3 객체 스캔 모니터링하기](monitor-with-eventbridge-s3-malware-protection.md) 단원을 참조하십시오.
## S3 버킷 리소스에 TBAC 추가
S3 버킷 리소스 정책을 사용하여 S3 객체에 대한 태그 기반 액세스 제어(TBAC)를 관리할 수 있습니다. 특정 사용자에게 S3 객체에 액세스하고 읽을 수 있는 액세스 권한을 제공할 수 있습니다. 를 사용하여 생성된 조직이 있는 경우 AWS Organizations GuardDuty에서 추가한 태그를 아무도 수정할 수 없도록 해야 합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [승인된 보안 주체를 제외한 태그 수정 방지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)를 참조하세요. 연결된 주제에 사용된 예제에서는 `ec2`를 언급합니다. 이 예제를 사용하면 *ec2*를 `s3`로 바꿉니다.
다음 목록에서는 TBAC를 사용하여 수행할 수 있는 작업에 대해 설명합니다.
+ S3용 맬웨어 보호 서비스 보안 주체를 제외한 모든 사용자가 다음 태그 키-값 페어로 아직 태그가 지정되지 않은 S3 객체를 읽지 못하도록 합니다.
`GuardDutyMalwareScanStatus`:`Potential key value`
+ GuardDuty만 스캔 결과로 값이 `GuardDutyMalwareScanStatus`인 태그 키를 스캔된 S3 객체에 추가하도록 허용합니다. 다음 정책 템플릿을 사용하면 액세스 권한이 있는 특정 사용자가 태그 키-값 쌍을 잠재적으로 재정의할 수 있습니다.
**S3 버킷 리소스 정책 예시:**
예시 정책에서 다음과 같이 다음 자리 표시자 값을 바꿉니다.
+ *IAM-role-name* - 버킷에서 S3용 맬웨어 방지를 구성하는 데 사용한 IAM 역할을 제공합니다.
+ *555555555555* - 보호된 버킷과 AWS 계정 연결된를 제공합니다.
+ *amzn-s3-demo-bucket* - 보호된 버킷 이름을 제공합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "NoReadUnlessClean",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
}
}
},
{
"Sid": "OnlyGuardDutyCanTagScanStatus",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
"arn:aws:iam::555555555555:role/IAM-role-name"
]
},
"Action": "s3:PutObjectTagging",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ForAnyValue:StringEquals": {
"s3:RequestObjectTagKeys": "GuardDutyMalwareScanStatus"
}
}
}
]
}
```
------
S3 리소스 태그 지정, [태그 지정 및 액세스 제어 정책](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging-and-policies.html)에 대한 자세한 내용은 섹션을 참조하세요.