asatake

AWS GuradDuty の S3 Malware Protection を利用する際、「スキャンされたオブジェクトにタグを付ける」設定がある。 
<img src="https://storage.googleapis.com/zenn-user-upload/0914982c3db1-20250115.png" loading="lazy" class="md-img">
これは、GuardDuty がマルウェアスキャンをしたオブジェクトに <code>GuardDutyMalwareScanStatus</code> というキーでタグを付け、値が <code>NO_THREATS_FOUND</code> になっていない場合はアクセス制限をつけるという機能。
しかし、スキャン対象の S3 Bucket に <code>s3:ObjectCreated:*</code> などの更新系を検知するイベント通知を設定していると、スキャンが完了して <code>NO_THREATS_FOUND</code> になるまで対象オブジェクトにアクセスできない (Access Denied) ためエラーになるケースがあるので、注意。