本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# S3 的惡意軟體防護如何運作？
<a name="how-malware-protection-for-s3-gdu-works"></a>

本節說明適用於 S3 的惡意軟體防護元件、啟用 S3 儲存貯體之後的運作方式，以及如何檢閱惡意軟體掃描狀態和結果。

## 概觀
<a name="overview-how-malware-protection-s3-works"></a>

您可以為屬於您自己的 Amazon S3 儲存貯體啟用適用於 S3 的惡意軟體防護 AWS 帳戶。 Amazon S3 GuardDuty 可讓您靈活地為整個儲存貯體啟用此功能，或將惡意軟體掃描的範圍限制為特定[物件字首](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)，其中 GuardDuty 會掃描以其中一個所選字首開頭的每個上傳物件。您最多可以新增 5 個字首。當您為 S3 儲存貯體啟用 功能時，該儲存貯體稱為**受保護的儲存貯**體。

## IAM 角色許可
<a name="passrole-iam-permissions-malware-protection-s3"></a>

S3 的惡意軟體防護使用 IAM 角色，允許 GuardDuty 代表您執行惡意軟體掃描動作。這些動作包括收到所選儲存貯體中新上傳物件的通知、掃描這些物件，以及選擇性地將標籤新增至掃描的物件。這是使用此功能設定 S3 儲存貯體的先決條件。

您可以選擇更新現有的 IAM 角色，或為此建立新的角色。當您為多個儲存貯體啟用 S3 的惡意軟體防護時，您可以視需要更新現有的 IAM 角色以包含其他儲存貯體名稱。如需詳細資訊，請參閱[建立或更新 IAM 角色政策](malware-protection-s3-iam-policy-prerequisite.md)。

## 根據掃描結果選擇性標記物件
<a name="enable-optional-tagging-malware-protection-s3"></a>

在為您的儲存貯體啟用 S3 的惡意軟體防護時，有一個選用步驟可啟用掃描 S3 物件的標記。IAM 角色已包含在掃描後將標籤新增至物件的許可。不過，只有當您在設定時啟用此選項時，GuardDuty 才會新增標籤。

您必須先啟用此選項，才能上傳物件。掃描結束後，GuardDuty 會使用下列索引鍵：值對，將預先定義的標籤新增至掃描的 S3 物件：

`GuardDutyMalwareScanStatus`:`Potential scan result`

潛在的掃描結果標籤值包括 `NO_THREATS_FOUND`、`THREATS_FOUND`、`ACCESS_DENIED`、 `UNSUPPORTED`和 `FAILED`。如需這些值的詳細資訊，請參閱 [S3 物件潛在掃描狀態和結果狀態](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection)。

啟用標記是了解 S3 物件掃描結果的方法之一。您可以進一步使用這些標籤來新增標籤型存取控制 (TBAC) S3 資源政策，以便對潛在惡意物件採取動作。如需詳細資訊，請參閱[在 S3 儲存貯體資源上新增 TBAC](tag-based-access-s3-malware-protection.md#apply-tbac-s3-malware-protection)。

建議您在為儲存貯體設定 S3 惡意軟體防護時啟用標記。如果您在物件上傳後啟用標記，且可能啟動掃描，GuardDuty 將無法將標籤新增至掃描的物件。如需相關 S3 物件標記成本的資訊，請參閱 [S3 惡意軟體防護的定價和使用成本](pricing-malware-protection-for-s3-guardduty.md)。

## 為儲存貯體啟用 S3 的惡意軟體防護之後的程序
<a name="after-enabling-malware-protection-s3"></a>

啟用適用於 S3 的惡意軟體防護之後，**惡意軟體防護計劃資源**會專門為選取的 S3 儲存貯體建立。此資源與惡意軟體防護計劃 ID 相關聯，這是受保護資源的唯一識別符。透過使用其中一個 IAM 許可，GuardDuty 接著會以 的名稱建立和管理 EventBridge 受管規則`DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*`。

### GuardDuty 如何處理您的資料 - 資料保護的護欄
<a name="guardduty-data-protection-guardrails-malware-protection-s3"></a>

S3 的惡意軟體防護會接聽 Amazon EventBridge 通知。當物件上傳到選取的儲存貯體或其中一個字首時，GuardDuty 會使用 從 S3 儲存貯體下載該物件，[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html)然後在相同區域中的隔離環境中讀取、解密和掃描該物件。掃描環境會在鎖定的虛擬私有雲端 (VPC) 中執行，且無法存取網際網路。VPC 會連接到 DNS 防火牆規則群組，僅允許與 AWS 擁有的允許清單網域進行通訊。在掃描期間，GuardDuty 會將下載的 S3 物件暫時存放在使用 [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 金鑰加密的掃描環境中。

**注意**  
根據預設，Amazon S3 使用者指南中[「物件建立事件」類型](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventBridge.html)下列出的所有 Amazon S3 APIs 都會啟動適用於 S3 掃描的惡意軟體防護。 *Amazon S3 *  
這些*事件類型*包括 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)、[POST 物件](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)、[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) 和 [CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)。

如需 GuardDuty 惡意軟體偵測方法及其使用的掃描引擎的相關資訊，請參閱 [GuardDuty 惡意軟體偵測掃描引擎](guardduty-malware-detection-scan-engine.md)。

惡意軟體掃描完成後，GuardDuty 會以掃描狀態處理掃描中繼資料，然後刪除下載的物件副本。

每次開始新的掃描之前，GuardDuty 都會清理掃描環境。GuardDuty 使用臨時授權來讓操作員存取掃描環境，並且會檢閱、核准和稽核每個存取請求。

### 檢閱 S3 物件掃描狀態和結果
<a name="guardduty-publishing-s3-object-malware-scan-status"></a>

GuardDuty 會將 S3 物件掃描結果事件發佈至 Amazon EventBridge 預設事件匯流排。GuardDuty 也會傳送掃描指標，例如掃描的物件數和掃描到 Amazon CloudWatch 的位元組數。如果您啟用標記，GuardDuty 會將預先定義的標籤`GuardDutyMalwareScanStatus`和潛在的掃描結果新增為標籤值。

**重要**  
GuardDuty at-least-once交付，這表示您可能會收到相同物件的多個掃描結果。我們建議您設計應用程式來處理重複的結果。每個掃描的物件只會向您收取一次費用。

如需詳細資訊，請參閱[在 S3 的惡意軟體防護中監控 S3 物件掃描](monitoring-malware-protection-s3-scans-gdu.md)。

### 檢閱產生的調查結果
<a name="guardduty-malware-protection-s3-finding-detection"></a>

檢閱問題清單取決於您是否搭配 GuardDuty 使用 S3 的惡意軟體防護。請考量下列情況：

**當您啟用 GuardDuty 服務時，使用 S3 的惡意軟體防護 （偵測器 ID)**  
如果惡意軟體掃描偵測到 S3 物件中的潛在惡意檔案，GuardDuty 將產生相關聯的調查結果。您可以檢視問題清單詳細資訊，並使用建議的步驟來修復問題清單。根據您的[匯出調查結果頻率](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency)，產生的調查結果會匯出至 S3 儲存貯體和 EventBridge 事件匯流排。  
如需有關將產生的問題清單類型的資訊，請參閱 [S3 調查結果類型的惡意軟體防護](gdu-malware-protection-s3-finding-types.md)。

**使用 S3 的惡意軟體防護做為獨立功能 （無偵測器 ID)**  
GuardDuty 將無法產生調查結果，因為沒有相關聯的偵測器 ID。若要了解 S3 物件惡意軟體掃描狀態，您可以檢視 GuardDuty 自動發佈到預設事件匯流排的掃描結果。您也可以檢視 CloudWatch 指標，以評估 GuardDuty 嘗試掃描的物件和位元組數。您可以設定 CloudWatch 警示，以取得掃描結果的通知。如果您已啟用 S3 物件標記，您也可以檢查`GuardDutyMalwareScanStatus`標籤索引鍵的 S3 物件和掃描結果標籤值，以檢視惡意軟體掃描狀態。  
如需 S3 物件掃描狀態和結果的資訊，請參閱 [在 S3 的惡意軟體防護中監控 S3 物件掃描](monitoring-malware-protection-s3-scans-gdu.md)。