本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始按需恶意软件扫描 GuardDuty
<a name="malware-protection-getting-started-on-demand-scan"></a>

本节列出了启动按需恶意软件扫描之前的先决条件，以及首次对资源启动扫描的步骤。

作为 GuardDuty 管理员帐户，您可以代表账户中设置了以下先决条件的活跃成员账户启动按需恶意软件扫描。中的独立账户和活跃成员账户 GuardDuty 也可以为自己的 Amazon EC2 实例启动按需恶意软件扫描。

## 先决条件
<a name="prerequisites-on-demand-malware-scan"></a>

在启动按需恶意软件扫描之前，您的账户必须满足以下先决条件：
+ GuardDuty 必须在要开始按需恶意软件扫描的 AWS 区域 位置中启用。
+ 确保将 [AWS 托管策略:AmazonGuardDutyFullAccess\$1v2（推荐）](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 附加到 IAM 用户或 IAM 角色。您需要与 IAM 用户或 IAM 角色关联的访问密钥和私有密钥。
+ 作为委托 GuardDuty 管理员帐户，您可以选择代表活跃的成员帐户启动按需恶意软件扫描。
+ 在启动按需恶意软件扫描之前，请确保在过去 1 小时内没有对同一资源启动扫描，否则，扫描中的重复数据将被删除。有关更多信息，请参阅 [重新扫描之前已扫描的 Amazon EC2 实例](initiate-on-demand-scan-on-same-resource.md)。
+ 如果您是没有[EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)的成员账户，则对属于您账户的 Amazon EC2 实例启动按需恶意软件扫描后，系统将自动创建用于 EC2 恶意软件防护的 SLR。

**重要**  
当恶意软件扫描仍在进行时，确保没有人删除 [EC2 恶意软件防护的 SLR 权限](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html#delete-slr)。这种恶意软件扫描可以按 GuardDuty 需启动，也可以按需启动。删除 SLR 会使扫描无法成功完成，也无法提供明确的扫描结果。

## 启动按需恶意软件扫描
<a name="malware-protection-initiate-on-demand-malware-scan"></a>

您可以通过 GuardDuty 控制台或使用在您的帐户中启动按需恶意软件扫描 AWS CLI。您需要提供要启动扫描的 Amazon EC2 的 Amazon 资源名称（ARN）。下一节的控制台和 API/AWS CLI 说明中都提供了详细的步骤。

选择您偏好的访问方法来启动按需恶意软件扫描。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 使用以下选项之一启动扫描：

   1. 使用 **EC2 恶意软件防护**页面：

      1. 在导航窗格的**防护计划**下，选择 **EC2 恶意软件防护**。

      1. 在 **EC2 恶意软件防护**页面上，提供要启动扫描的 **Amazon EC2 实例 ARN**1。

   1. 使用**恶意软件扫描**页面：

      1. 在导航窗格中，选择**恶意软件扫描**。

      1. 选择**启动按需扫描**，然后提供要启动扫描的 **Amazon EC2 实例 ARN**1。

      1. 如果是重新执行的扫描，请在**恶意软件扫描**页面上，选择一个 **Amazon EC2** 实例 ID。

         展开**开始按需扫描**下拉列表，并选择**重新扫描所选实例**。

1. 使用任一方法成功启动扫描后，系统将生成一个扫描 ID。您可以使用此扫描 ID 来跟踪扫描进度。有关更多信息，请参阅 [监控恶意软件扫描状态和结果](malware-protection-scans.md)。

------
#### [ API/CLI ]

接受您要启动按需恶意软件扫描的 Amazon EC2 实例 1 的调用[StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html)。`resourceArn`

```
aws guardduty start-malware-scan --resource-arn "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"
```

成功启动扫描后，`StartMalwareScan` 会返回一个 `scanId`。调用[DescribeMalwareScans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeMalwareScans.html)监控已启动扫描的进度。

------

1有关您的 Amazon EC2 实例 ARN 格式的信息，请参阅[ Amazon 资源名称（ARN）](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。对于 Amazon EC2 实例，您可以通过替换分区、区域、 AWS 账户 ID 和 Amazon EC2 实例 ID 的值，来使用以下示例 ARN 格式。有关您的实例 ID 长度的信息，请参阅[资源 IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resource-ids.html)。

```
arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f
```

### AWS Organizations 服务控制策略-拒绝访问
<a name="malware-protection-on-demand-scan-org-scp"></a>

使用中的[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) AWS Organizations，委派的 GuardDuty 管理员账户可以限制权限并拒绝诸如对您的账户拥有的 Amazon EC2 实例启动按需恶意软件扫描之类的操作。

作为 GuardDuty 成员账户，当您开始对您的 Amazon EC2 实例进行按需恶意软件扫描时，您可能会收到错误消息。您可以连接管理账户，了解为何系统为您的成员账户设置 SCP。有关更多信息，请参阅 [SCP 对权限的影响](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)。