本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # S3 恶意软件防护的功能 以下列表概述了在为存储桶启用 S3 恶意软件防护后,预计将会发生的情况或者您可以执行的操作: + **选择要扫描的对象**:在将文件上传到与所选 S3 存储桶关联的所有或特定前缀(最多 5 个)时对其进行扫描。 + **自动扫描上传的对象**-为存储桶启用 S3 恶意软件防护后, GuardDuty 将自动开始扫描,以检测新上传的对象中的潜在恶意软件。 + **按需扫描**-您可以启动对现有对象的扫描或重新扫描以前扫描的对象。有关更多信息,请参阅 [按需 S3 恶意软件扫描 GuardDuty](malware-protection-s3-on-demand.md)。 + **通过控制台启用、使用 API/AWS CLI或 CloudFormation** — 选择首选方法为 S3 启用恶意软件防护。 您可以使用 *Terraform* 等基础设施即代码(IaC)平台启用 S3 恶意软件防护。有关更多信息,请参阅 [Resource: `aws_guardduty_malware_protection_plan`](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/guardduty_malware_protection_plan)。 + **支持的文件格式、S3 恶意软件防护配额和 Amazon S3 功能**:S3 恶意软件防护支持您可以上传到 S3 存储桶的所有文件格式。如果上传的文件受密码保护,并且 GuardDuty 能够检测到上传文件类型是否存在密码保护,则 GuardDuty 将尝试使用常用密码扫描原始内容。如果密码失败,则会跳过扫描。 GuardDuty 无法检测到所有文件格式上是否存在密码保护。如果 GuardDuty 无法检测到密码保护的存在,则仍 GuardDuty 会扫描加密的内容。 有关与对象大小、最大存档深度相关的配额信息以及其他详细信息,请参阅 [S3 恶意软件防护中的配额](malware-protection-s3-quotas-guardduty.md)。 有关 Amazon S3 功能是否受支持的信息,请参阅 [Amazon S3 功能支持](supported-s3-features-malware-protection-s3.md)。 + **支持标记已扫描的 S3 对象**-启用后[根据扫描结果标记对象(可选)](how-malware-protection-for-s3-gdu-works.md#enable-optional-tagging-malware-protection-s3),每次恶意软件扫描后, GuardDuty 都会添加一个指示扫描状态的标签。您可以使用此标签,来为 S3 对象设置基于标签的访问控制(TBAC)。例如,您可以限制对标记为恶意且标签值为 `THREATS_FOUND` 的 S3 对象的访问权限。 + **Amazon EventBridge 通知** — EventBridge 当恶意软件保护计划资源状态发生变化或对 S3 对象的恶意软件扫描完成时,向 Amazon GuardDuty 发送事件。这些事件会发送到默认事件总线。您可以使用 EventBridge 和这些事件来编写执行操作的规则,例如监控这些事件何时发生。有关更多信息,请参阅 [使用 Amazon 监控 S3 对象扫描 EventBridge](monitor-with-eventbridge-s3-malware-protection.md)。 + **CloudWatch 指标**-查看 CloudWatch 指标以启用对特定恶意软件扫描状态的警报。有关更多信息,请参阅 [中的 S3 对象扫描状态指标 CloudWatch](monitor-cloudwatch-metrics-s3-malware-protection.md)。