本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 GuardDuty 中啟動隨需惡意軟體掃描
<a name="malware-protection-getting-started-on-demand-scan"></a>

本節提供啟動隨需惡意軟體掃描之前的必要條件清單，以及第一次在資源上啟動掃描的步驟。

身為 GuardDuty 管理員帳戶，您可以代表在其帳戶中設定下列先決條件的作用中成員帳戶啟動隨需惡意軟體掃描。GuardDuty 中的獨立帳戶和作用中成員帳戶也可以為其自己的 Amazon EC2 執行個體啟動隨需惡意軟體掃描。

## 先決條件
<a name="prerequisites-on-demand-malware-scan"></a>

開始隨需惡意軟體掃描之前，您的帳戶必須符合下列先決條件：
+ GuardDuty 必須在 AWS 區域 您要啟動隨需惡意軟體掃描的 中啟用。
+ 確保 [AWS 受管政策： AmazonGuardDutyFullAccess\$1v2（建議）](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 已連接至 IAM 使用者或 IAM 角色。您將需要與 IAM 使用者或 IAM 角色相關聯的存取金鑰和私密金鑰。
+ 身為委派的 GuardDuty 管理員帳戶，您可以選擇代表作用中的成員帳戶啟動隨需惡意軟體掃描。
+ 開始隨需惡意軟體掃描之前，請確定過去 1 小時內沒有在相同資源上啟動掃描；否則，該掃描將棄用。如需詳細資訊，請參閱[重新掃描先前掃描的 Amazon EC2 執行個體](initiate-on-demand-scan-on-same-resource.md)。
+ 如果您是沒有 的成員帳戶[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)，然後針對屬於您帳戶的 Amazon EC2 執行個體啟動隨需惡意軟體掃描， 會自動建立 EC2 惡意軟體防護的 SLR。

**重要**  
確定惡意軟體掃描仍在進行中時，沒有人會刪除 [ EC2 的惡意軟體防護 SLR 許可](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html#delete-slr)。此惡意軟體掃描可由 GuardDuty 啟動或隨需啟動。刪除 SLR 會阻止掃描成功完成，並提供明確的掃描結果。

## 啟動隨需惡意軟體掃描
<a name="malware-protection-initiate-on-demand-malware-scan"></a>

您可以透過 GuardDuty 主控台或使用 在帳戶中啟動隨需惡意軟體掃描 AWS CLI。您需要提供您要開始掃描的 Amazon EC2 Amazon Resource Name (ARN)。以下章節提供主控台和 API/AWS CLI 指示的詳細步驟。

選擇您偏好的存取方法，以啟動隨需惡意軟體掃描。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

1. 使用以下其中一個選項開始掃描：

   1. 使用 ** EC2 的惡意軟體防護**頁面：

      1. 在導覽窗格中的**保護計畫**下，選擇 ** EC2 的惡意軟體防護**。

      1. 在 ** EC2 的惡意軟體防護**頁面上，提供您要開始掃描的 **Amazon EC2 執行個體 ARN**1。

   1. 使用**惡意軟體掃描**頁面：

      1. 在導覽窗格中，選擇**惡意軟體掃描**。

      1. 選擇**開始隨需掃描**，並提供您要開始掃描的 **Amazon EC2 執行個體 ARN**1。

      1. 如果這是重新掃描，請在**惡意軟體掃描**頁面上選取 **Amazon EC2** 執行個體 ID。

         展開**開始隨需掃描**下拉式選單，然後選擇**重新掃描選取的執行個體**。

1. 使用任一方法成功啟動掃描後，就會產生掃描 ID。您可以使用此掃描 ID 來追蹤掃描進度。如需詳細資訊，請參閱[監控惡意軟體掃描狀態和結果](malware-protection-scans.md)。

------
#### [ API/CLI ]

調用 [StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html)，其接受您要啟動隨需惡意軟體掃描`resourceArn`的 Amazon EC2 執行個體1 的 。

```
aws guardduty start-malware-scan --resource-arn "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"
```

成功啟動掃描後， `StartMalwareScan`會傳回 `scanId`。叫用 [DescribeMalwareScans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeMalwareScans.html) 會監控已開始掃描的進度。

------

1 如需有關 Amazon EC2 執行個體 ARN 格式的詳細資訊，請參閱 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。針對 Amazon EC2 執行個體，您可以使用下列範例 ARN 格式，方法是取代分區、區域、 AWS 帳戶 ID 和 Amazon EC2 執行個體 ID 的值。如需有關執行個體 ID 長度的詳細資訊，請參閱[資源 ID](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resource-ids.html)。

```
arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f
```

### AWS Organizations 服務控制政策 – 拒絕存取
<a name="malware-protection-on-demand-scan-org-scp"></a>

使用 中的[服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) AWS Organizations，委派的 GuardDuty 管理員帳戶可以限制許可並拒絕動作，例如為您的帳戶擁有的 Amazon EC2 執行個體啟動隨需惡意軟體掃描。

身為 GuardDuty 成員帳戶，當您啟動 Amazon EC2 執行個體的隨需惡意軟體掃描時，您可能會收到錯誤。您可以與管理帳戶連線，以了解為何為您的成員帳戶設定 SCP。如需詳細資訊，請參閱 [SCP 對許可的影響](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)。