本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 按需 S3 恶意软件扫描 GuardDuty
<a name="malware-protection-s3-on-demand"></a>

GuardDuty 适用于 S3 的恶意软件防护会持续监控新的 S3 上传。对于在启用保护之前存在的对象，或者要重新扫描以前扫描的对象，您可以在为存储桶启用恶意软件保护计划后启动按需 S3 GuardDuty 恶意软件扫描。

 按需恶意软件扫描使用恶意软件保护计划的 IAM 角色进行对象访问和应用配置。扫描将覆盖存储桶的恶意软件保护计划中配置的所有前缀。

**注意**  
S3 恶意软件防护配额适用于按需恶意软件扫描。有关更多信息，请参阅[S3 恶意软件防护中的配额](malware-protection-s3-quotas-guardduty.md)。  
有关定价的更多信息，请参阅[S3 恶意软件防护的定价和使用成本](pricing-malware-protection-for-s3-guardduty.md)。

## 先决条件
<a name="prerequisites-malware-protection-s3-on-demand"></a>

在开始按需恶意软件扫描之前，您的帐户必须满足以下先决条件：
+ 已在目标存储桶上启用了 S3 的恶意软件防护。请参阅[为存储桶配置 S3 恶意软件防护](configuring-malware-protection-for-s3-guardduty.md)了解更多信息。
+ 该[AWS 托管策略:AmazonGuardDutyFullAccess\$1v2（推荐）](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)策略附加到调用 API 的 IAM 用户或 IAM 角色。

## 开始按需恶意软件扫描
<a name="malware-protection-initiate-malware-protection-s3-on-demand"></a>

使用 [SendObjectMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_SendObjectMalwareScan.html)API 操作，它需要 S3 对象路径作为输入。

------
#### [ API/CLI ]

您可以扫描对象的最新版本，也可以指定要扫描的特定版本。

要扫描对象的特定版本，请执行以下操作：

```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE", "VersionId": "d41d8cd98f00b204e9800998eEXAMPLE"}'
```

要扫描对象的最新版本，请执行以下操作：

```
aws guardduty send-object-malware-scan --s3-object '{"Bucket": "amzn-s3-demo-bucket", "Key": "APKAEIBAERJR2EXAMPLE"}'
```

------

**重要**  
成功的 API 调用确认扫描请求已被接受。但是，重要的是要监控扫描结果，以确保成功完成扫描并发现任何问题，例如访问对象时出错。有关更多信息，请参阅 [在 S3 恶意软件防护中监控 S3 对象扫描](monitoring-malware-protection-s3-scans-gdu.md)。