本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon S3 功能支持
<a name="supported-s3-features-malware-protection-s3"></a>

下表说明了 S3 恶意软件防护是否支持所列 Amazon S3 功能。


| S3 功能名称 | 是否提供支持？ | 说明 | 
| --- | --- | --- | 
| S3 存储类 – S3 Standard<br />S3 存储类别-S3 Standard-Infrequent 访问权限<br />S3 存储类别-S3 单一 Zone-Infrequent 访问权限<br />S3 存储类 – S3 Glacier Instant Retrieval | 是 | 无需不异步还原即可检索 S3 对象。 | 
| S3 存储类别-S3 Intelligent-Tiering | 有条件 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/supported-s3-features-malware-protection-s3.html)  | 
| S3 存储类 – S3 Express One Zone（目录存储桶） | 否 | GuardDuty 仅支持 S3 恶意软件防护的通用存储桶。 | 
| S3 存储类 – S3 Glacier Flexible Retrieval<br />S3 存储类 – S3 Glacier Deep Archive | 否 | 必须首先还原 S3 对象，然后才能访问这些对象。 | 
| Amazon S3 on Outposts | 否 | Outposts 上不支持 S3 恶意软件防护。 | 
| S3 版本控制 | 是 | 所有上传的 S3 对象都经过恶意软件扫描。如果您上传了文件版本 v1 的对象，并立即上传了另一个版本替换为 v2，则 GuardDuty 将同时扫描目标文件版本 v1 和 v2。但是，扫描开始的时间顺序可能不同。 | 
| S3 复制 – 扫描复制的对象 | 是 | 如果目标存储桶是受保护的资源，则 GuardDuty 将扫描所有复制到受保护和监控的前缀的 S3 对象。 | 
| S3 复制：基于扫描结果标签复制 | 否 | 您无法定义基于扫描结果标签的复制规则。Amazon S3 不支持复制标签，但在创建时除外。 | 
| 数据加密- S3-SSE<br />数据加密- SSE-KMS<br />数据加密- DSSE-KMS<br />AWS KMS -客户管理的密钥 | 是 | GuardDuty 支持对使用托管密钥和客户托管密钥加密的 S3 对象进行恶意软件扫描。确保 IAM 角色包含使用该密钥的权限。有关更多信息，请参阅 [添加 IAM 策略权限](malware-protection-s3-iam-policy-prerequisite.md#attach-iam-policy-s3-malware-protection)。 | 
| 数据加密- SSE-C | 否 | S3 恶意软件防护不支持扫描使用不可访问的密钥加密的 S3 对象。 | 
| 客户端加密 | 否 | 当 Amazon S3 对象使用 Amazon S3 加密客户端加密时，您的对象不会暴露给任何第三方，包括 AWS。要了解不支持此功能的原因，请参阅 [Protecting data by using client-side encryption](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)。 CSE-KMS 加密对象作为无法确定加密内容的加密 blob 接收。因此，在收到加密的 blob 时对其进行 GuardDuty处理，并将加密的 blob 作为常规文件进行扫描。 GuardDuty 不会返回此类对象的`UNSUPPORTED`扫描状态，除非其中任何一个[S3 恶意软件防护中的配额](malware-protection-s3-quotas-guardduty.md)超出范围。  | 
| S3 对象锁定和诉讼保全 | 是 | 锁定的 S3 对象是基于 WORM（一次写入多次读取）技术锁定的。S3 恶意软件防护可以访问和扫描对象。 | 
| 申请方付款 | 是 | S3 恶意软件防护可以扫描使用*申请方付款*设置的存储桶。申请方负责支付 S3 调用费用。有关更多信息，请参阅《*Amazon S3 用户指南*》中的[使用申请方付款存储桶进行存储传输和使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html)。 | 
| S3：存储生命周期 | 是 | 您可以定义基于扫描结果标签的生命周期策略。例如，自动删除恶意对象。有关生命周期配置的更多信息，请参阅《Amazon S3 用户指南》中的[管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)**。 | 
| S3： Tag-based 访问控制 (待定) | 是 | 您可以定义基于 S3 对象扫描结果标签的存储桶资源策略。例如，阻止访问尚未扫描的 S3 对象或 GuardDuty 检测到的威胁。有关更多信息，请参阅 [将基于标签的访问控制（TBAC）与 S3 恶意软件防护结合使用](tag-based-access-s3-malware-protection.md)。 |