View a markdown version of this page

針對惡意軟體防護計劃狀態進行故障診斷 - Amazon GuardDuty
此 S3 儲存貯體已停用 EventBridge 通知缺少接收 S3 儲存貯體事件的 EventBridge 受管規則S3 儲存貯體不再存在無法放置測試物件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對惡意軟體防護計劃狀態進行故障診斷

對於任何受保護的儲存貯體,GuardDuty 會根據排名顯示狀態。例如,如果受保護的儲存貯體在錯誤警告類別下發生問題,GuardDuty 會先顯示與錯誤狀態相關聯的問題。

下列清單包含惡意軟體防護計劃狀態的錯誤和警告。

錯誤
警告

無法放置測試物件

此 S3 儲存貯體已停用 EventBridge 通知

相關聯的狀態原因代碼為 EVENTBRIDGE_MANAGED_EVENTS_DELIVERY_DISABLED

狀態詳細資訊

當新物件上傳到此 S3 儲存貯體時,GuardDuty 會使用 EventBridge 來接收通知。IAM 角色中缺少此許可。

疑難排解的步驟

選項 1:將下列許可陳述式新增至您的 IAM 角色:

{
          "Sid": "AllowEnableS3EventBridgeEvents",
          "Effect": "Allow",
          "Action": [
             "s3:PutBucketNotification",
             "s3:GetBucketNotification"
             ],
          "Resource": [
             "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
}

amzn-s3-demo-bucket 取代為您的 Amazon S3 儲存貯體名稱。

選項 2:使用 Amazon S3 主控台啟用 EventBridge 通知

  1. 開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

  2. 儲存貯體頁面的一般用途儲存貯體索引標籤下,選取與此錯誤相關聯的儲存貯體名稱。

  3. 在此儲存貯體頁面上,選擇屬性索引標籤。

  4. Amazon EventBridge 區段下,選取編輯

  5. 編輯 Amazon EventBridge 頁面上,針對此儲存貯體中的所有事件傳送通知至 Amazon EventBridge,選取開啟

  6. 選擇儲存變更

狀態資料欄值可能需要幾分鐘的時間才能變更為作用中

缺少接收 S3 儲存貯體事件的 EventBridge 受管規則

相關聯的狀態原因代碼為 EVENTBRIDGE_MANAGED_RULE_DISABLED

狀態詳細資訊

EventBridge 受管規則缺少管理 EventBridge 規則設定的許可。

疑難排解的步驟

將下列許可陳述式新增至您的 IAM 角色:

{
         "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
        "Effect": "Allow",
        "Action": [
                "events:PutRule",
                "events:DeleteRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
        "Resource": [
           "arn:aws:events:*:*:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
           ],
        "Condition": {
           "StringEquals": {
              "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
              }
           }
}

狀態資料欄值可能需要幾分鐘的時間才能變更為作用中

S3 儲存貯體不再存在

相關聯的狀態原因代碼為 PROTECTED_RESOURCE_DELETED

狀態詳細資訊

此 S3 儲存貯體已從您的帳戶刪除,且不再存在。

疑難排解的步驟

如果刪除 S3 儲存貯體不是故意的,您可以使用 Amazon S3 主控台建立新的儲存貯體。

成功建立儲存貯體後,請依照為您的儲存貯體設定 S3 的惡意軟體防護頁面下的步驟啟用 S3 的惡意軟體防護。

無法放置測試物件

相關聯的狀態原因代碼為 INSUFFICIENT_TEST_OBJECT_PERMISSIONS

注意

新增測試物件的許可是選用的。IAM 角色中缺少此許可不會阻止 S3 的惡意軟體防護對新上傳的物件啟動惡意軟體掃描。成功啟動掃描後,惡意軟體防護計劃狀態可能需要幾分鐘的時間才能從警告變更為作用中

如果 IAM 角色已包含此許可,則此警告表示限制性 Amazon S3 儲存貯體政策,不允許 IAM 存取將測試物件放入此 S3 儲存貯體。

狀態詳細資訊

若要驗證所選儲存貯體的設定,GuardDuty 會將測試物件放入您的儲存貯體。

疑難排解的步驟

您可以選擇更新 IAM 角色以包含缺少的許可。針對選取的 IAM 角色,新增下列許可,讓 GuardDuty 可以將測試物件放入選取的資源:

{
         "Sid": "AllowPutValidationObject",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
           ],
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
           ]
}

amzn-s3-demo-bucket 取代為您的 Amazon S3 儲存貯體名稱。如需 IAM 角色許可的資訊,請參閱 建立或更新 IAM 角色政策

狀態資料欄值可能需要幾分鐘的時間才能變更為作用中