本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 S3 的惡意軟體防護中監控 S3 物件掃描
當您使用惡意軟體防護搭配 S3GuardDuty 偵測器 ID 時,如果您的 Amazon S3 物件潛在惡意,GuardDuty 將產生 [S3 調查結果類型的惡意軟體防護](gdu-malware-protection-s3-finding-types.md)。使用 GuardDuty 主控台和 APIs,您可以檢視產生的調查結果。如需了解此調查結果類型的資訊,請參閱 [調查結果詳細資訊](guardduty_findings-summary.md)。
在未啟用 GuardDuty (無偵測器 ID) 的情況下使用適用於 S3 的惡意軟體防護時,即使您掃描的 Amazon S3 物件可能惡意,GuardDuty 也無法產生任何問題清單。
**Topics**
+ [S3 物件潛在掃描狀態和結果狀態](#s3-object-scan-result-value-malware-protection)
+ [使用 Amazon EventBridge 監控 S3 物件掃描](monitor-with-eventbridge-s3-malware-protection.md)
+ [使用 GuardDuty 受管標籤監控 S3 物件掃描](monitor-enable-s3-object-tagging-malware-protection.md)
+ [CloudWatch 中的 S3 物件掃描狀態指標](monitor-cloudwatch-metrics-s3-malware-protection.md)
## S3 物件潛在掃描狀態和結果狀態
本節說明潛在的 S3 物件掃描狀態值和掃描結果值。
S3 物件掃描狀態表示惡意軟體掃描的狀態,例如已完成、略過或失敗。
S3 物件惡意軟體掃描結果狀態會根據掃描狀態值指出掃描結果。每個惡意軟體掃描結果狀態值都會映射至掃描狀態。
下列清單提供潛在的 S3 物件掃描結果值。如果您已啟用標記,您可以透過 監控掃描結果[使用 S3 物件標籤](monitor-enable-s3-object-tagging-malware-protection.md)。掃描後,標籤值將具有下列其中一個掃描結果值。
**S3 物件潛在惡意軟體掃描結果狀態值**
+ `NO_THREATS_FOUND` – GuardDuty 未偵測到與掃描物件相關聯的潛在威脅。
+ `THREATS_FOUND` – GuardDuty 偵測到與掃描物件相關聯的潛在威脅。
+ `UNSUPPORTED` – S3 的惡意軟體防護會略過掃描有幾個原因。可能的原因包括受密碼保護的檔案、具有極高壓縮比率的封存、 [S3 配額的惡意軟體防護](malware-protection-s3-quotas-guardduty.md)和對某些 Amazon S3 功能的支援可能無法使用。如需詳細資訊,請參閱[S3 的惡意軟體防護功能](s3-malware-protection-capability.md)。
+ `ACCESS_DENIED` – GuardDuty 無法存取此物件進行掃描。檢查與此儲存貯體相關聯的 IAM 角色許可。如需詳細資訊,請參閱[建立或更新 IAM 角色政策](malware-protection-s3-iam-policy-prerequisite.md)。
如果您已啟用掃描後 S3 物件標記,請參閱 [對 S3 物件掃描後標籤失敗進行故障診斷](troubleshoot-s3-post-scan-tag-failures.md)。
+ `FAILED` – 由於內部錯誤,GuardDuty 無法對此物件執行惡意軟體掃描。
以下清單提供潛在的 S3 物件掃描狀態值及其與 S3 物件掃描結果的映射。
**S3 物件潛在掃描狀態值**
+ **已完成** – 掃描已成功完成,並指出 S3 物件是否具有惡意軟體。在這種情況下,潛在的 S3 物件掃描結果值可以是 `THREATS_FOUND`或 `NO_THREATS_FOUND`。
+ **已略過** – GuardDuty 在惡意軟體防護 S3 不支援掃描此 S3 物件時略過惡意軟體掃描,或 GuardDuty 無法存取所選儲存貯體中上傳的 S3 物件。
在這種情況下,潛在的 S3 物件掃描結果值可以是 `UNSUPPORTED`或 `ACCESS_DENIED`。
如果刪除必要的 IAM 角色,GuardDuty 也會略過掃描。
+ **失敗** – 類似於 S3 物件掃描結果值 `FAILED`,此掃描狀態表示 GuardDuty 因為內部錯誤而無法對 S3 物件執行惡意軟體掃描。
當掃描狀態為 時`SKIPPED`,S3 物件掃描結果的 EventBridge 通知會在 中包含 `statusReasons` 欄位`scanResultDetails`。此欄位是字串清單,提供略過掃描的特定原因。下表說明可能的 `statusReasons` 值。
| 狀態原因 | 掃描結果狀態 | Description |
| --- | --- | --- |
| `UNAUTHORIZED_TO_GET_OBJECT` | `ACCESS_DENIED` | S3 的惡意軟體防護沒有讀取 S3 物件的許可,或 S3 物件不存在。確認與受保護儲存貯體相關聯的 IAM 角色具有必要的許可,而且任何儲存貯體 AWS KMS 政策都允許該角色解密物件。 |
| `UNAUTHORIZED_TO_ASSUME_ROLE` | `ACCESS_DENIED` | S3 的惡意軟體防護無法擔任為受保護儲存貯體設定的 IAM 角色。確認角色信任政策允許 S3 的惡意軟體防護擔任該角色。 |
| `SSE_C_ENCRYPTED_OBJECT` | `ACCESS_DENIED` | S3 物件會使用客戶提供的加密金鑰 (SSE-C) 進行加密。GuardDuty 無法存取使用 SSE-C 加密的物件。 如需詳細資訊,請參閱 [Amazon S3 功能的支援能力](supported-s3-features-malware-protection-s3.md)。 |
| `OBJECT_E_TAG_CHANGED` | `ACCESS_DENIED` | S3 物件 ETag 會在啟動掃描和 GuardDuty 嘗試讀取物件之間變更。後續上傳或新版本將會掃描。 |
| `BUCKET_NOT_FOUND` | `ACCESS_DENIED` | 與掃描相關聯的 S3 儲存貯體不再存在。 |
| `UNSUPPORTED_STORAGE_CLASS` | `UNSUPPORTED` | S3 物件使用惡意軟體防護 S3 不支援的儲存類別。如需詳細資訊,請參閱[Amazon S3 功能的支援能力](supported-s3-features-malware-protection-s3.md)。 |
| `OBJECT_SIZE_LIMIT_EXCEEDED` | `UNSUPPORTED` | S3 物件大小超過 S3 惡意軟體防護的檔案大小上限。如需詳細資訊,請參閱[S3 配額的惡意軟體防護](malware-protection-s3-quotas-guardduty.md)。 |
| `PASSWORD_PROTECTED` | `UNSUPPORTED` | 物件受密碼保護。 |
| `EXTRACTED_FILE_LIMIT_EXCEEDED` | `UNSUPPORTED` | 封存包含的檔案超過允許的上限。如需詳細資訊,請參閱[S3 配額的惡意軟體防護](malware-protection-s3-quotas-guardduty.md)。 |
| `EXTRACTED_LEVEL_LIMIT_EXCEEDED` | `UNSUPPORTED` | 封存超過允許的巢狀深度上限。 |
| `EXTRACTED_BYTE_LIMIT_EXCEEDED` | `UNSUPPORTED` | 擷取的封存內容超過允許的位元組大小上限。如需詳細資訊,請參閱[S3 配額的惡意軟體防護](malware-protection-s3-quotas-guardduty.md)。 |
| `EXTRACTION_RATIO_LIMIT_EXCEEDED` | `UNSUPPORTED` | 封存的壓縮比率非常高,超過允許的限制。如需詳細資訊,請參閱[S3 配額的惡意軟體防護](malware-protection-s3-quotas-guardduty.md)。 |