本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon S3 功能支持 下表说明了 S3 恶意软件防护是否支持所列 Amazon S3 功能。 | S3 功能名称 | 是否提供支持? | 说明 | | --- | --- | --- | | S3 存储类 – S3 Standard S3 存储类 – S3 Standard-Infrequent Access S3 存储类 – S3 One Zone-Infrequent Access S3 存储类 – S3 Glacier Instant Retrieval | 是 | 无需不异步还原即可检索 S3 对象。 | | S3 存储类 – S3 Intelligent-Tiering | 有条件 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/supported-s3-features-malware-protection-s3.html) | | S3 存储类 – S3 Express One Zone(目录存储桶) | 否 | GuardDuty 仅支持 S3 恶意软件防护的通用存储桶。 | | S3 存储类 – S3 Glacier Flexible Retrieval S3 存储类 – S3 Glacier Deep Archive | 否 | 必须首先还原 S3 对象,然后才能访问这些对象。 | | Amazon S3 on Outposts | 否 | Outposts 上不支持 S3 恶意软件防护。 | | S3 版本控制 | 是 | 所有上传的 S3 对象都经过恶意软件扫描。如果您上传了文件版本 v1 的对象,并立即上传了另一个版本替换为 v2,则 GuardDuty 将同时扫描目标文件版本 v1 和 v2。但是,扫描开始的时间顺序可能不同。 | | S3 复制 – 扫描复制的对象 | 是 | 如果目标存储桶是受保护的资源,则 GuardDuty 将扫描所有复制到受保护和监控的前缀的 S3 对象。 | | S3 复制:基于扫描结果标签复制 | 否 | 您无法定义基于扫描结果标签的复制规则。Amazon S3 不支持复制标签,但在创建时除外。 | | 数据加密 – S3-SSE 数据加密 – SSE-KMS 数据加密 – DSSE-KMS AWS KMS -客户管理的密钥 | 是 | GuardDuty 支持对使用托管密钥和客户托管密钥加密的 S3 对象进行恶意软件扫描。确保 IAM 角色包含使用该密钥的权限。有关更多信息,请参阅 [添加 IAM 策略权限](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection)。 | | 数据加密 – SSE-C | 否 | S3 恶意软件防护不支持扫描使用不可访问的密钥加密的 S3 对象。 | | 客户端加密 | 否 | 当 Amazon S3 对象使用 Amazon S3 加密客户端加密时,您的对象不会暴露给任何第三方,包括 AWS。要了解不支持此功能的原因,请参阅 [Protecting data by using client-side encryption](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)。 CSE-KMS 加密对象作为无法确定加密的加密 blob 接收。因此,在收到加密的 blob 时对其进行 GuardDuty处理,并将加密的 blob 作为常规文件进行扫描。 GuardDuty 不会返回此类对象的`UNSUPPORTED`扫描状态,除非其中任何一个[S3 恶意软件防护中的配额](malware-protection-s3-quotas-guardduty.md)超出范围。 | | S3 对象锁定和诉讼保全 | 是 | 锁定的 S3 对象是基于 WORM(一次写入多次读取)技术锁定的。S3 恶意软件防护可以访问和扫描对象。 | | 申请方付款 | 是 | S3 恶意软件防护可以扫描使用*申请方付款*设置的存储桶。申请方负责支付 S3 调用费用。有关更多信息,请参阅《*Amazon S3 用户指南*》中的[使用申请方付款存储桶进行存储传输和使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html)。 | | S3:存储生命周期 | 是 | 您可以定义基于扫描结果标签的生命周期策略。例如,自动删除恶意对象。有关生命周期配置的更多信息,请参阅《Amazon S3 用户指南》中的[管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)**。 | | S3:基于标签的访问控制(TBAC) | 是 | 您可以定义基于 S3 对象扫描结果标签的存储桶资源策略。例如,阻止访问尚未扫描的 S3 对象或 GuardDuty 检测到的威胁。有关更多信息,请参阅 [将基于标签的访问控制(TBAC)与 S3 恶意软件防护结合使用](tag-based-access-s3-malware-protection.md)。 |