本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GuardDuty S3 保護
<a name="s3-protection"></a>

S3 保護可協助您偵測 Amazon Simple Storage Service (Amazon S3) 儲存貯體中資料的潛在安全風險，例如資料外洩和銷毀。GuardDuty 會監控 Amazon S3 AWS CloudTrail 的資料事件，其中包含物件層級 API 操作，以識別您帳戶中所有 Amazon S3 儲存貯體中的這些風險。

當 GuardDuty 根據 S3 資料事件監控偵測到潛在威脅時，會產生安全調查結果。如需有關啟用 S3 保護時 GuardDuty 可能產生的調查結果類型的資訊，請參閱 [GuardDuty S3 保護調查結果類型](guardduty_finding-types-s3.md)。

根據預設，基礎威脅偵測包括監控[AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)，以識別 Amazon S3 資源中的潛在威脅。此資料來源與 AWS CloudTrail S3 的資料事件不同，因為它們都會監控您環境中不同類型的活動。

您可以在 GuardDuty [支援此功能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)的任何區域中的 帳戶中啟用 S3 保護。這可協助您監控該帳戶和區域中 S3 的 CloudTrail 資料事件。啟用 S3 保護後，GuardDuty 將能夠完整監控 Amazon S3 儲存貯體，並產生對存放在 S3 儲存貯體中資料的可疑存取問題清單。

若要使用 S3 保護，您不需要在 中明確啟用或停用 S3 資料事件記錄 AWS CloudTrail。

**30 天免費試用**  
下列清單說明 30 天免費試用如何適用於您的帳戶：  
+ 當您第一次在新區域中的 AWS 帳戶 中啟用 GuardDuty 時，您會獲得 30 天的免費試用。在此情況下，GuardDuty 也會啟用 S3 保護，此保護包含在免費試用中。
+ 當您已使用 GuardDuty 並決定第一次啟用 S3 保護時，您在此區域中的帳戶將取得 S3 保護的 30 天免費試用。
+ 您可以隨時選擇在任何區域中停用 S3 保護。
+ 在 30 天免費試用期間，您可以取得該帳戶和區域中用量成本的預估值。30 天免費試用結束後，S3 保護不會自動停用。您在此區域中的帳戶將開始產生使用成本。如需詳細資訊，請參閱[監控 GuardDuty 用量和估算成本](monitoring_costs.md)。

## AWS CloudTrail S3 的資料事件
<a name="guardduty_s3dataplane"></a>

資料事件 (也稱為資料平面操作) 可讓您深入了解對資源執行的或在資源中執行的資源操作。它們通常是大量資料的活動。

以下是 GuardDuty 可監控的 S3 CloudTrail 資料事件的範例：  
+ `GetObject` API 操作
+ `PutObject` API 操作
+ `ListObjects` API 操作
+ `DeleteObject` API 操作
如需這些 APIs的詳細資訊，請參閱 [Amazon Simple Storage Service API 參考](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_Amazon_Simple_Storage_Service.html)。

## GuardDuty 如何使用 S3 的 CloudTrail 資料事件
<a name="s3-data-source"></a>

當您啟用 S3 保護時，GuardDuty 會開始分析所有 S3 儲存貯體中 S3 的 CloudTrail 資料事件，並監控它們是否有惡意和可疑活動。如需詳細資訊，請參閱[AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)。

當未驗證的使用者存取 S3 物件時，表示 S3 物件可公開存取。因此，GuardDuty 不會處理這類請求。GuardDuty 會使用有效的 IAM (AWS Identity and Access Management) 或 AWS STS (AWS Security Token Service) 登入資料來處理對 S3 物件提出的請求。

**注意**  
啟用 S3 保護後，GuardDuty 會監控位於您啟用 GuardDuty 之相同區域中 Amazon S3 儲存貯體的資料事件。

如果您在特定區域中停用帳戶中的 S3 保護，GuardDuty 會停止對存放在 S3 儲存貯體中的資料的 S3 資料事件監控。GuardDuty 不會再為該區域中的帳戶產生 S3 保護調查結果類型。

### GuardDuty 針對攻擊序列使用 S3 的 CloudTrail 資料事件
<a name="s3-protection-attack-sequence"></a>

[GuardDuty 延伸威脅偵測](guardduty-extended-threat-detection.md) 偵測 帳戶中跨基礎資料來源、 AWS 資源和時間軸的多階段攻擊序列。當 GuardDuty 觀察到一系列事件，指出您的帳戶中最近或進行中可疑活動時，GuardDuty 會產生相關的攻擊序列調查結果。

根據預設，當您啟用 GuardDuty 時，您的帳戶也會啟用延伸威脅偵測。此功能涵蓋與 CloudTrail 管理事件相關的威脅案例，無需額外費用。不過，GuardDuty 建議啟用 S3 保護來涵蓋與 S3 的 CloudTrail 資料事件相關聯的威脅案例，以充分利用延伸威脅偵測。

啟用 S3 保護後，GuardDuty 會自動涵蓋攻擊序列威脅案例，例如資料遭到入侵或銷毀，其中可能涉及您的 Amazon S3 資源。

# 在多帳戶環境中啟用 S3 保護
<a name="s3-multiaccount"></a>

在多帳戶環境中，只有委派的 GuardDuty 管理員帳戶可以選擇為其 AWS 組織中的成員帳戶設定 （啟用或停用） S3 保護。GuardDuty 成員帳戶無法從其帳戶修改此組態。委派的 GuardDuty 管理員帳戶會使用 管理其成員帳戶 AWS Organizations。委派的 GuardDuty 管理員帳戶可以選擇在所有帳戶、僅新帳戶或組織中沒有帳戶上自動啟用 S3 保護。如需詳細資訊，請參閱[透過 AWS Organizations管理帳戶](guardduty_organizations.md)。

## 啟用委派 GuardDuty 管理員帳戶的 S3 保護
<a name="configure-s3-pro-delegatedadmin"></a>

選擇您偏好的存取方法，為委派的 GuardDuty 管理員帳戶啟用 S3 保護。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

1. 在導覽窗格中，選擇 **S3 保護**。

1. 在 **S3 保護**頁面上，選擇**編輯**。

1. 執行以下任意一項：

**使用**為所有帳戶啟用****
   + 選擇**為所有帳戶啟用**。這將為 AWS 組織中所有作用中的 GuardDuty 帳戶啟用保護計畫，包括加入組織的新帳戶。
   + 選擇**儲存**。

**使用**手動設定帳戶****
   + 若要僅為委派的 GuardDuty 管理員帳戶啟用保護計畫，請選擇**手動設定帳戶**。
   + 在**委派的 GuardDuty 管理員帳戶 （此帳戶）** 區段下選擇**啟用**。
   + 選擇**儲存**。

------
#### [ API/CLI ]

[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) 使用目前區域的委派 GuardDuty 管理員帳戶的偵測器 ID 執行 ，並以 `name` `S3_DATA_EVENTS`和 `status`身分傳遞`features`物件`ENABLED`。

或者，您可以使用 設定 S3 保護 AWS Command Line Interface。執行下列命令，並確保將 *12abc34d567e8fa901bc2d34e56789f0* 取代為目前區域的委派 GuardDuty 管理員帳戶的偵測器 ID。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
```

------

## 為組織中的所有成員帳戶自動啟用 S3 保護
<a name="s3-autoenable"></a>

選擇您偏好的存取方法，為委派的 GuardDuty 管理員帳戶啟用 S3 保護。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   使用您的管理員帳戶登入。

1. 執行以下任意一項：

**使用 **S3 保護**頁面**

   1. 在導覽窗格中，選擇 **S3 保護**。

   1. 選擇**為所有帳戶啟用**。此動作會自動為組織中的現有帳戶和新帳戶啟用 S3 保護。

   1. 選擇**儲存**。
**注意**  
最多可能需要 24 小時才會更新成員帳戶的組態。

**使用**帳戶**頁面**

   1. 在導覽窗格中，選擇**帳戶**。

   1. 在**帳戶**頁面上，選擇**自動啟用**偏好設定，然後再**透過邀請新增帳戶**。

   1. 在**管理自動啟用偏好設定**視窗中，選擇 **S3 保護**下的**為所有帳戶啟用**。

   1. 選擇**儲存**。

   如果您無法使用**為所有帳戶啟用**選項，請參閱 [在成員帳戶中選擇性地啟用 S3 保護](#s3-enable-members)。

------
#### [ API/CLI ]
+ 若要為您的成員帳戶選擇性地啟用 S3 保護，請使用您自己的*偵測器 ID* 叫用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。
+ 以下範例顯示如何為單一成員帳戶啟用 S3 保護。請務必將 *12abc34d567e8fa901bc2d34e56789f0* 取代為委派 `detector-id` GuardDuty 管理員帳戶的 和 *111122223333*。

  若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
  ```
**注意**  
您也可以傳遞以空格分隔的帳戶 ID 清單。
+ 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 為所有現有作用中成員帳戶啟用 S3 保護
<a name="enable-for-all-existing-members"></a>

選擇您偏好的存取方式，為組織中的所有現有作用中成員帳戶啟用 S3 保護。

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)：// 開啟 GuardDuty 主控台。

   使用委派的 GuardDuty 管理員帳戶登入資料登入。

1. 在導覽窗格中，選擇 **S3 保護**。

1. 在 **S3 保護**頁面上，您可以檢視組態的目前狀態。在**作用中成員帳戶**區段下，選擇**動作**。

1. 從**動作**下拉式選單中，選擇**為所有作用中的成員帳戶啟用**。

1. 選擇**確認**。

------
#### [ API/CLI ]
+ 若要為您的成員帳戶選擇性地啟用 S3 保護，請使用您自己的*偵測器 ID* 叫用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。
+ 以下範例顯示如何為單一成員帳戶啟用 S3 保護。請務必將 *12abc34d567e8fa901bc2d34e56789f0* 取代為委派 `detector-id` GuardDuty 管理員帳戶的 和 *111122223333*。

  若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
  ```
**注意**  
您也可以傳遞以空格分隔的帳戶 ID 清單。
+ 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 為新成員帳戶自動啟用 S3 保護
<a name="auto-enable-s3-pro-new-members"></a>

選擇您偏好的存取方式，為加入組織的新帳戶啟用 S3 保護。

------
#### [ Console ]

委派的 GuardDuty 管理員帳戶可以使用 **S3 保護**或帳戶頁面，透過主控台為組織中的新成員**帳戶**啟用 。

**為新成員帳戶自動啟用 S3 保護**

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   請務必使用委派的 GuardDuty 管理員帳戶登入資料。

1. 執行以下任意一項：
   + 使用 **S3 保護**頁面：

     1. 在導覽窗格中，選擇 **S3 保護**。

     1. 在 **S3 保護**頁面上，選擇**編輯**。

     1. 選擇**手動設定帳戶**。

     1. 選取**為新成員帳戶自動啟用**。此步驟可確保每當有新帳戶加入您的組織時，S3 保護都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。

     1. 選擇**儲存**。
   + 使用**帳戶**頁面：

     1. 在導覽窗格中，選擇**帳戶**。

     1. 在**帳戶**頁面上，選擇**自動啟用**偏好設定。

     1. 在**管理自動啟用偏好設定**視窗中，選擇 **S3 保護**下的**為新帳戶啟用**。

     1. 選擇**儲存**。

------
#### [ API/CLI ]
+ 若要為您的成員帳戶選擇性地啟用 S3 保護，請使用您自己的*偵測器 ID* 叫用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) API 操作。
+ 以下範例顯示如何為單一成員帳戶啟用 S3 保護。設定偏好設定，以在該區域中為加入組織的新帳戶 (`NEW`)、所有帳戶 (`ALL`) 或非組織帳戶 (`NONE`) 自動啟用或停用保護計畫。如需詳細資訊，請參閱 [autoEnableOrganizationMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。根據您的偏好設定，您可能需要使用 `ALL` 或 `NONE` 取代 `NEW`。

  若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'
  ```
+ 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 在成員帳戶中選擇性地啟用 S3 保護
<a name="s3-enable-members"></a>

選擇您偏好的存取方法，以選擇性地為成員帳戶啟用 S3 保護。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   請務必使用委派的 GuardDuty 管理員帳戶登入資料。

1. 在導覽窗格中，選擇**帳戶**。

   在**帳戶**頁面上，檢閱 **S3 保護**資料欄，了解您的成員帳戶的狀態。

1. 

**選擇性地啟用 S3 保護**

   選取您要為其啟用 S3 保護的帳戶。您可以一次選取多個帳戶。在**編輯保護計畫**下拉式選單中，選擇 **S3Pro**，然後選擇適當的選項。

------
#### [ API/CLI ]

若要為您的成員帳戶選擇性地啟用 S3 保護，請使用您自己的偵測器 ID 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetector.html) API 操作。以下範例顯示如何為單一成員帳戶啟用 S3 保護。若要停用，請使用 `false` 取代 `true`。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
```

**注意**  
您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

**注意**  
如果您使用指令碼建立新帳戶，並且想要在新帳戶中停用 S3 保護，則可以使用選用的 `dataSources` 物件修改 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html) API 操作，如本主題所述。

------

# 啟用獨立帳戶的 S3 保護
<a name="data-source-configure"></a>

獨立帳戶擁有 AWS 帳戶 在特定 中啟用或停用保護計劃的決定 AWS 區域。

如果您的帳戶透過 AWS Organizations或邀請方法與 GuardDuty 管理員帳戶相關聯，則本節不適用於您的帳戶。如需詳細資訊，請參閱[在多帳戶環境中啟用 S3 保護](s3-multiaccount.md)。

啟用 S3 保護後，GuardDuty 會開始監控您帳戶中 S3 儲存貯體 AWS CloudTrail 的資料事件。

選擇您偏好的存取方式，為獨立帳戶設定 S3 保護。

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)：// 開啟 GuardDuty 主控台。

1. 從右上角**的區域**選擇器中，選取您要啟用 S3 保護的區域。

1. 在導覽窗格中，選擇 **S3 保護**。

1. **S3 保護**頁面為您的帳戶提供 S3 保護的目前狀態。選擇**啟用**或**停用**可隨時啟用或停用 S3 保護。

1. 選擇**確認**以確認您選取的項目。

------
#### [ API/CLI ]

[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) 使用目前區域的有效偵測器 ID 執行 ，並將`features`物件分別傳遞`name`為 `S3_DATA_EVENTS` `ENABLED`以啟用 S3 保護。

**注意**  
若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

或者，您可以使用 AWS Command Line Interface。若要啟用 S3 保護，請執行下列命令，並將 *12abc34d567e8fa901bc2d34e56789f0* 取代為您帳戶的偵測器 ID，並將 *us-east-1* 取代為您要啟用 S3 保護的區域。

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
```

------