本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# GuardDuty S3 防护
<a name="s3-protection"></a>

S3 保护可帮助您检测亚马逊简单存储服务 (Amazon S3) 存储桶中数据的潜在安全风险，例如数据泄露和破坏。 GuardDuty 监控 Amazon S3 AWS CloudTrail 的数据事件，其中包括对象级 API 操作，用于识别您账户中所有 Amazon S3 存储桶中的这些风险。

当基于 S3 数据事件监控 GuardDuty 检测到潜在威胁时，它会生成安全发现。有关启用 S3 保护时 GuardDuty 可能生成的查找类型的信息，请参阅[GuardDuty S3 保护查找类型](guardduty_finding-types-s3.md)。

默认情况下，基础威胁检测包括通过监控 [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane) 来识别 Amazon S3 资源中的潜在威胁。此数据来源与 S3 的 AWS CloudTrail 数据事件不同，因为两者会监控环境中不同类型的活动。

您可以在任何 GuardDuty [支持此功能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)的区域的账户中启用 S3 保护。这将帮助您监控该账户和区域中 S3 CloudTrail 的数据事件。启用 S3 保护后， GuardDuty 将能够全面监控您的 Amazon S3 存储桶，并针对存储在 S3 存储桶中的数据的可疑访问生成调查结果。

要使用 S3 防护，您无需在 AWS CloudTrail中显式启用或配置 S3 数据事件日志记录。

**30 天免费试用期**  
以下列表说明了 30 天免费试用期用于账户的方式：  
+ 首次在新区域 GuardDuty AWS 账户 中启用时，您将获得 30 天的免费试用。在这种情况下， GuardDuty 还将启用免费试用版中包含的 S3 保护。
+ 如果您已经在使用 GuardDuty 并决定首次启用 S3 保护，那么您在该区域的账户将获得 30 天的 S3 保护免费试用。
+ 您可以随时选择禁用任何区域的 S3 防护。
+ 在 30 天免费试用期内，您可以估算该账户在该区域的使用成本。30 天免费试用期结束后，S3 防护不会自动禁用。您的账户在该区域将开始产生使用成本。有关更多信息，请参阅 [监控 GuardDuty 使用情况和估算成本](monitoring_costs.md)。

## AWS CloudTrail S3 的数据事件
<a name="guardduty_s3dataplane"></a>

数据事件也称为数据面板操作，提供对在资源上或资源内执行的资源操作的见解。数据事件通常是高容量活动。

以下是 S3 中 GuardDuty 可以监控 CloudTrail 的数据事件示例：  
+ `GetObject` API 操作
+ `PutObject` API 操作
+ `ListObjects` API 操作
+ `DeleteObject` API 操作
有关这些内容的更多信息 APIs，请参阅 [Amazon 简单存储服务 API 参考](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_Amazon_Simple_Storage_Service.html)。

## 如何在 S3 中 GuardDuty 使用 CloudTrail 数据事件
<a name="s3-data-source"></a>

启用 S3 保护后， GuardDuty 开始分析来自所有 S3 存储桶的 S3 CloudTrail 数据事件，并监控这些事件中是否存在恶意和可疑活动。有关更多信息，请参阅 [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)。

当未通过身份验证的用户访问某个 S3 对象时，意味着该 S3 对象可以公开访问。因此， GuardDuty 不处理此类请求。 GuardDuty 使用有效的 IAM (AWS Identity and Access Management) 或 AWS STS (AWS Security Token Service) 凭证处理对 S3 对象发出的请求。

**备注**  
启用 S3 保护后，将 GuardDuty 监控位于您启用的 GuardDuty同一区域的 Amazon S3 存储桶中的数据事件。

如果您在特定区域的账户中禁用 S3 保护，则 GuardDuty 会停止对存储在 S3 存储桶中的数据的 S3 数据事件监控。 GuardDuty 将不再为您的账户在该区域生成 S3 保护查找类型。

### GuardDuty 将 S3 CloudTrail 的数据事件用于攻击序列
<a name="s3-protection-attack-sequence"></a>

[GuardDuty 扩展威胁检测](guardduty-extended-threat-detection.md) 可检测账户中跨越基础数据来源、 AWS 资源和时间线的多阶段攻击序列。当 GuardDuty 观察到一系列事件表明您的账户中最近或正在进行可疑活动时， GuardDuty 会生成相关的攻击序列发现。

默认情况下，当您启用时 GuardDuty，扩展威胁检测也会在您的账户中启用。此功能涵盖了与 CloudTrail 管理事件相关的威胁场景，无需支付额外费用。但是，要充分发挥扩展威胁检测的潜力， GuardDuty 建议启用 S3 防护以涵盖与 S3 CloudTrail 数据事件相关的威胁场景。

启用 S3 保护后， GuardDuty 将自动涵盖可能涉及您的 Amazon S3 资源的攻击序列威胁场景，例如数据泄露或损坏。

# 在多账户环境中配置 S3 防护
<a name="s3-multiaccount"></a>

在多账户环境中，只有委派的 GuardDuty 管理员账户可以选择为其 AWS 组织中的成员账户配置（启用或禁用）S3 保护。 GuardDuty成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 AWS Organizations。委派的 GuardDuty 管理员账户可以选择在组织中的所有账户、仅限新账户或不启用任何账户上自动启用 S3 保护。有关更多信息，请参阅 [使用 AWS Organizations管理账户](guardduty_organizations.md)。

## 为委派的 GuardDuty 管理员账户启用 S3 保护
<a name="configure-s3-pro-delegatedadmin"></a>

选择您的首选访问方法，为委派的 GuardDuty 管理员帐户启用 S3 保护。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格中，选择 **S3 保护**。

1. 在 **S3 保护**页面上，选择**编辑**。

1. 请执行以下操作之一：

**使用**对所有账户启用****
   + 选择**为所有账户启用**。这将为组织中的所有活跃 GuardDuty 账户（包括加入 AWS 组织的新账户）启用保护计划。
   + 选择**保存**。

**使用**手动配置账户****
   + 要仅为委派 GuardDuty 管理员账户启用保护计划，请选择**手动配置帐户**。
   + 在 “**委派 GuardDuty 管理员帐户（此账户）**” 部分下选择 “**启用**”。
   + 选择**保存**。

------
#### [ API/CLI ]

使用当前区域[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)的委托 GuardDuty 管理员帐户的探测器 ID 运行，并将`features`对象`name``status`作为`S3_DATA_EVENTS`和传递为传递`ENABLED`。

或者，您可以使用配置 S3 保护 AWS Command Line Interface。运行以下命令，并确保*12abc34d567e8fa901bc2d34e56789f0*替换为当前区域的委托 GuardDuty 管理员帐户的检测器 ID。

要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
```

------

## 为组织中的所有成员账户自动启用 S3 保护
<a name="s3-autoenable"></a>

选择您的首选访问方法，为委派的 GuardDuty 管理员帐户启用 S3 保护。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   使以管理员账户身份登录。

1. 请执行以下操作之一：

**使用 **S3 保护**页面**

   1. 在导航窗格中，选择 **S3 保护**。

   1. 选择**为所有账户启用**。此操作会自动为组织中的现有账户和新账户启用 S3 保护。

   1. 选择**保存**。
**注意**  
更新成员账户的配置可能最长需要 24 小时。

**使用**账户**页面**

   1. 在导航窗格中，选择**账户**。

   1. 在**账户**页面上，选择**自动启用**首选项，然后选择**通过邀请添加账户**。

   1. 在**管理自动启用首选项**窗口中，选择 **S3 保护**下的**为所有账户启用**。

   1. 选择**保存**。

   如果您无法使用**为所有账户启用**选项，请参阅 [有选择地在成员账户中启用 S3 防护](#s3-enable-members)。

------
#### [ API/CLI ]
+ 要有选择地为您的成员账户启用 S3 保护，请使用您自己的*detector ID*账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。
+ 以下示例说明了如何为单个成员账户启用 S3 保护。请务必*12abc34d567e8fa901bc2d34e56789f0*替换为`detector-id`委派 GuardDuty 管理员账户的，和*111122223333*。

  要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
  ```
**注意**  
您也可以传递用空格 IDs 分隔的账户列表。
+ 成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 为所有现有活跃成员账户启用 S3 保护
<a name="enable-for-all-existing-members"></a>

选择您的首选访问方法，为组织中所有现有的活跃成员账户启用 S3 保护。

------
#### [ Console ]

1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   使用委派 GuardDuty 管理员账户凭据登录。

1. 在导航窗格中，选择 **S3 保护**。

1. 在 **S3 保护**页面上，您可以查看配置的当前状态。在**活跃成员账户**部分下，选择**操作**。

1. 从**操作**下拉菜单中，选择**为所有现有活跃成员账户启用**。

1. 选择**确认**。

------
#### [ API/CLI ]
+ 要有选择地为您的成员账户启用 S3 保护，请使用您自己的*detector ID*账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。
+ 以下示例说明了如何为单个成员账户启用 S3 保护。请务必*12abc34d567e8fa901bc2d34e56789f0*替换为`detector-id`委派 GuardDuty 管理员账户的，和*111122223333*。

  要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
  ```
**注意**  
您也可以传递用空格 IDs 分隔的账户列表。
+ 成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 为新成员账户自动启用 S3 保护
<a name="auto-enable-s3-pro-new-members"></a>

选择您的首选访问方法，为加入组织的新账户启用 S3 保护。

------
#### [ Console ]

委派的 GuardDuty 管理员账户可以使用 **S3 保护**或账户页面，通过控制台为组织中的新成员**账户**启用。

**为新成员账户自动启用 S3 保护**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：
   + 使用 **S3 保护**页面：

     1. 在导航窗格中，选择 **S3 保护**。

     1. 在 **S3 保护**页面上，选择**编辑**。

     1. 选择**手动配置账户**。

     1. 选择**为新成员账户自动启用**。此步骤可确保每当有新账户加入您的组织时，系统都会自动为其账户启用 S3 保护。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

     1. 选择**保存**。
   + 使用**账户**页面：

     1. 在导航窗格中，选择**账户**。

     1. 在**账户**页面上，选择**自动启用**首选项。

     1. 在**管理自动启用首选项**窗口中，选择 **S3 保护**下的**为新账户启用**。

     1. 选择**保存**。

------
#### [ API/CLI ]
+ 要有选择地为您的成员账户启用 S3 保护，请使用您自己的*detector ID*账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API 操作。
+ 以下示例说明了如何为单个成员账户启用 S3 保护。将首选项设置为针对该区域中加入组织的新账户（`NEW`）、组织中的所有账户（`ALL`）或组织中的无账户（`NONE`）自动启用或禁用保护计划。有关更多信息，请参阅[autoEnableOrganization成员](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。根据您的首选项，可能需要将 `NEW` 替换为 `ALL` 或 `NONE`。

  要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'
  ```
+ 成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 有选择地在成员账户中启用 S3 防护
<a name="s3-enable-members"></a>

选择您偏好的访问方法，有选择地为成员账户启用 S3 防护。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 在导航窗格中，选择**账户**。

   在**账户**页面上，查看 **S3 保护**列，了解您的成员账户的状态。

1. 

**有选择地启用 S3 防护**

   选择您要为其启用 S3 防护的账户。您可以一次选择多个账户。在**编辑保护计划**下拉菜单中，选择 **S3Pro**，然后选择相应的选项。

------
#### [ API/CLI ]

要有选择地为成员账户启用 S3 防护，请使用您自己的检测器 ID 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetector.html) API 操作。以下示例说明了如何为单个成员账户启用 S3 保护。要将其禁用，请将 `true` 替换为 `false`。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
```

**注意**  
您也可以传递用空格 IDs 分隔的账户列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

**注意**  
如果您使用脚本注册新账户且希望在新账户中禁用 S3 保护，则可以使用本主题中所述的可选 `dataSources` 对象修改 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html) API 操作。

------

# 为独立账户启用 S3 防护
<a name="data-source-configure"></a>

独立账户拥有在特定账户中启用或禁用保护计划的决定 AWS 区域。 AWS 账户 

如果您的账户通过或通过 AWS Organizations邀请方式与 GuardDuty 管理员帐户关联，则此部分不适用于您的账户。有关更多信息，请参阅 [在多账户环境中配置 S3 防护](s3-multiaccount.md)。

启用 S3 保护后， GuardDuty 将开始监控您账户中 S3 存储桶 AWS CloudTrail 的数据事件。

选择您的首选访问方法，为独立账户配置 S3 保护。

------
#### [ Console ]

1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在右上角的**区域**选择器中，选择要启用 S3 防护的区域。

1. 在导航窗格中，选择 **S3 保护**。

1. **S3 保护**页面提供您账户的 S3 保护的当前状态。选择**启用**或**禁用**，可随时启用或禁用 S3 保护。

1. 选择**确认**以确认您的选择。

------
#### [ API/CLI ]

使用当前区域的有效检测器 ID 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)，传递 `features` 对象 `name`，并分别将 `S3_DATA_EVENTS` 设置为 `ENABLED`，从而启用 S3 防护。

**注意**  
要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

或者，你可以使用 AWS Command Line Interface。要启用 S3 保护，请运行以下命令，然后*12abc34d567e8fa901bc2d34e56789f0*替换为账户的检测器 ID 和*us-east-1*要启用 S3 保护的区域。

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
```

------