本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用標籤型存取控制 (TBAC) 搭配適用於 S3 的惡意軟體防護
<a name="tag-based-access-s3-malware-protection"></a>

為儲存貯體啟用適用於 S3 的惡意軟體防護時，您可以選擇啟用標記。嘗試掃描所選儲存貯體中新上傳的 S3 物件之後，GuardDuty 會將標籤新增至掃描的物件，以提供惡意軟體掃描狀態。當您啟用標記時，會產生相關的直接使用成本。如需詳細資訊，請參閱[S3 惡意軟體防護的定價和使用成本](pricing-malware-protection-for-s3-guardduty.md)。

GuardDuty 使用預先定義的標籤，金鑰為 `GuardDutyMalwareScanStatus`，值為 做為其中一個惡意軟體掃描狀態。如需這些值的資訊，請參閱 [S3 物件潛在掃描狀態和結果狀態](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection)。

**GuardDuty 將標籤新增至 S3 物件的考量事項：**
+ 根據預設，您最多可以將 10 個標籤與 物件建立關聯。如需詳細資訊，請參閱《*Amazon S3 使用者指南*》中的[使用標籤將儲存體分類](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)。

  如果所有 10 個標籤都已在使用中，GuardDuty 無法將預先定義的標籤新增至掃描的物件。GuardDuty 也會將掃描結果發佈至您的預設 EventBridge 事件匯流排。如需詳細資訊，請參閱[使用 Amazon EventBridge 監控 S3 物件掃描](monitor-with-eventbridge-s3-malware-protection.md)。
+ 當選取的 IAM 角色不包含 GuardDuty 標記 S3 物件的許可，即使已啟用受保護儲存貯體的標記，GuardDuty 將無法將標籤新增至此掃描的 S3 物件。如需標記所需 IAM 角色許可的詳細資訊，請參閱 [建立或更新 IAM 角色政策](malware-protection-s3-iam-policy-prerequisite.md)。

  GuardDuty 也會將掃描結果發佈至您的預設 EventBridge 事件匯流排。如需詳細資訊，請參閱[使用 Amazon EventBridge 監控 S3 物件掃描](monitor-with-eventbridge-s3-malware-protection.md)。

## 在 S3 儲存貯體資源上新增 TBAC
<a name="apply-tbac-s3-malware-protection"></a>

您可以使用 S3 儲存貯體資源政策來管理 S3 物件的標籤型存取控制 (TBAC)。您可以提供特定使用者的存取權，以存取和讀取 S3 物件。如果您有使用 建立的組織 AWS Organizations，您必須強制執行沒有人可以修改 GuardDuty 新增的標籤。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[防止修改標籤，但授權委託人](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)除外。連結主題中使用的範例提及 `ec2`。當您使用此範例時，請將 *ec2* 取代為 `s3`。

下列清單說明您可以使用 TBAC 執行的操作：
+ 防止惡意軟體防護 S3 服務主體以外的所有使用者讀取尚未標記下列標籤鍵值對的 S3 物件：

  `GuardDutyMalwareScanStatus`:`Potential key value`
+ 僅允許 GuardDuty 將`GuardDutyMalwareScanStatus`值為掃描結果的標籤金鑰新增至掃描的 S3 物件。下列政策範本可以允許具有存取權的特定使用者，可能覆寫標籤鍵/值對。

**S3 儲存貯體資源政策範例：**

在範例政策中取代下列預留位置值：
+ *IAM-role-name* - 提供您在儲存貯體中用於設定 S3 惡意軟體防護的 IAM 角色。
+ *555555555555* - 提供與受保護儲存貯 AWS 帳戶 體相關聯的 。
+ *amzn-s3-demo-bucket* - 提供受保護的儲存貯體名稱。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "NoReadUnlessClean",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                "arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
                "arn:aws:iam::555555555555:role/IAM-role-name"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:ExistingObjectTag/GuardDutyMalwareScanStatus": "NO_THREATS_FOUND"
                }
            }
        },
        {
            "Sid": "OnlyGuardDutyCanTagScanStatus",
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": [
                    "arn:aws:sts::555555555555:assumed-role/IAM-role-name/GuardDutyMalwareProtection",
                    "arn:aws:iam::555555555555:role/IAM-role-name"
                ]
            },
            "Action": "s3:PutObjectTagging",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "s3:RequestObjectTagKeys": "GuardDutyMalwareScanStatus"
                }
            }
        }
    ]
}
```

------

如需標記 S3 資源、[標記和存取控制政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging-and-policies.html)的詳細資訊。