本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 修復可能遭到入侵的 S3 儲存貯體
<a name="compromised-s3"></a>

當 GuardDuty 產生 時[GuardDuty S3 保護調查結果類型](guardduty_finding-types-s3.md)，表示您的 Amazon S3 儲存貯體已遭入侵。如果您的環境中預期造成問題清單的行為，請考慮建立 [隱藏規則](findings_suppression-rule.md)。如果未預期此行為，請依照這些建議步驟來修復 AWS 環境中可能遭到入侵的 Amazon S3 儲存貯體：

1. **識別可能遭到入侵的 S3 資源。**

   S3 的 GuardDuty 調查結果會在調查結果詳細資訊中列出相關聯的 S3 儲存貯體、其 Amazon Resource Name (ARN) 及其擁有者。

1. **識別可疑活動的來源和使用的 API 呼叫。**

   使用的 API 呼叫會在調查結果詳細資訊中列為 `API`。來源將是 IAM 主體 (IAM 角色、使用者或帳戶)，而識別詳細資訊將列在調查結果中。視來源類型而定，遠端 IP 地址或來源網域資訊將可供使用，並可協助您評估來源是否已獲得授權。如果調查結果涉及來自 Amazon EC2 執行個體的登入資料，則也會包含該資源的詳細資訊。

1. **判斷呼叫來源是否已獲得授權可存取已識別的資源。**

   如需範例，請考慮以下內容：
   + 如果涉及 IAM 使用者，他們的登入資料是否可能遭到入侵？ 如需詳細資訊，請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
   + 如果從先前沒有調用此類型 API 之歷史記錄的主體調用 API，此來源是否需要此操作的存取權限？ 是否可以進一步限制儲存貯體許可？
   + 如果從**使用者類型**為 `AWSAccount` 的**使用者名稱** `ANONYMOUS_PRINCIPAL` 中看到存取，則表示該儲存貯體為公有且已存取。這個儲存貯體是否應該為公有？ 如果不是，請檢閱以下安全建議，了解共用 S3 資源的替代解決方案。
   + 如果是從**使用者類型**為 `AWSAccount` 的**使用者名稱** `ANONYMOUS_PRINCIPAL` 中看到成功 `PreflightRequest` 呼叫因而進行的存取，則表示儲存貯體已設定跨來源資源共用 (CORS) 政策。這個儲存貯體是否應該有 CORS 政策？ 如果不是，請確保儲存貯體不會意外公開，並檢閱以下安全建議，了解共用 S3 資源的替代解決方案。如需有關 CORS 的詳細資訊，請參閱《S3 使用者指南》中的[使用跨來源資源共用 (CORS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cors.html)。

1. **判斷 S3 儲存貯體是否包含敏感資料。**

   使用 [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) 判斷 S3 儲存貯體是否包含敏感資料，例如個人身分識別資訊 (PII)、財務資料或憑證。如果您的 Macie 帳戶啟用了自動化敏感資料探索，請檢閱 S3 儲存貯體的詳細資訊，以更深入了解 S3 儲存貯體的內容。如果您的 Macie 帳戶已停用此功能，建議您將其開啟以加速評估。或者，您可以建立並執行敏感資料探索任務，以檢查 S3 儲存貯體的物件是否存在敏感資料。如需詳細資訊，請參閱 [Discovering sensitive data with Macie](https://docs.aws.amazon.com/macie/latest/user/data-classification.html)。

如已授權存取，您可以忽略該調查結果。[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 控制台允許您設定規則以完全隱藏單個調查結果，使其不再顯示。如需詳細資訊，請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。

如果您判斷您的 S3 資料已由未經授權方公開或存取，請檢閱下列 S3 安全建議，以加強許可並限制存取。適當的修復解決方案取決於特定環境的需求。

## 根據特定 S3 儲存貯體存取需求的建議
<a name="guardduty-compromised-s3-recommendations"></a>

**以下清單根據特定 Amazon S3 儲存貯體存取需求提供建議：**
+ 對於限制公開存取 S3 資料使用的集中方式，S3 會封鎖公開存取。您可以透過四種不同的設定，為存取點、儲存貯體和 AWS 帳戶啟用封鎖公開存取設定，以控制存取的精細程度。如需詳細資訊，請參閱《*Amazon S3 使用者指南*》中的[封鎖公開存取設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html#access-control-block-public-access-options)。
+ AWS 存取政策可用來控制 IAM 使用者如何存取您的資源，或如何存取您的儲存貯體。如需詳細資訊，請參閱《*Amazon S3 使用者指南*》中的[使用儲存貯體政策和使用者政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security_iam_service-with-iam.html)。

  此外，您可以將虛擬私有雲端 (VPC) 端點與 S3 儲存貯體政策搭配使用，以限制對特定 VPC 端點的存取。如需詳細資訊，請參閱《*Amazon S3 使用者指南*》中的[使用儲存貯體政策控制 VPC 端點的存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) 
+ 若要暫時允許信任的實體存取您的 S3 物件，您可以透過 S3 建立預先簽章的 URL。此存取權限使用您的帳戶憑證建立而成，並根據使用的憑證可以持續 6 小時到 7 天。如需詳細資訊，請參閱《*Amazon S3 使用者指南*》中的[使用預先簽章URLs 下載和上傳物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html)。
+ 對於需要在不同來源之間共用 S3 物件的使用案例，您可以使用 S3 存取點建立許可集，以限制只存取私有網路中的物件。如需詳細資訊，請參閱[《Amazon S3 使用者指南》中的使用存取點管理共用資料集的存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html)。 *Amazon S3 *
+ 若要安全地將 S3 資源的存取權授予其他 AWS 帳戶，您可以使用存取控制清單 (ACL)，如需詳細資訊，請參閱《*Amazon S3 使用者指南*》中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。

如需 S3 安全選項的詳細資訊，請參閱《[Amazon S3 使用者指南》中的 Amazon S3 的安全最佳實務](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)。 *Amazon S3 *