Amazon Macie den Zugriff auf S3-Buckets und Objekte erlauben - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Macie den Zugriff auf S3-Buckets und Objekte erlauben

Wenn Sie Amazon Macie für Sie aktivieren AWS-Konto, erstellt Macie eine servicebezogene Rolle, die Macie die erforderlichen Berechtigungen erteilt, um Amazon Simple Storage Service (Amazon S3) und andere AWS -Services in Ihrem Namen aufzurufen. Eine dienstbezogene Rolle vereinfacht den Prozess der Einrichtung einer, AWS -Service da Sie nicht manuell Berechtigungen hinzufügen müssen, damit der Service Aktionen in Ihrem Namen ausführen kann. Weitere Informationen zu dieser Art von Rolle finden Sie unter Verwenden von dienstbezogenen Rollen im AWS Identity and Access Management Benutzerhandbuch.

Die Berechtigungsrichtlinie für die dienstverknüpfte Macie-Rolle (AWSServiceRoleForAmazonMacie) ermöglicht es Macie, Aktionen auszuführen, zu denen das Abrufen von Informationen über Ihre S3-Buckets und Objekte sowie das Abrufen von Objekten aus Ihren Buckets gehören. Wenn Sie der Macie-Administrator einer Organisation sind, erlaubt die Richtlinie Macie auch, diese Aktionen in Ihrem Namen für Mitgliedskonten in Ihrer Organisation durchzuführen.

Macie verwendet diese Berechtigungen, um Aufgaben wie die folgenden auszuführen:

  • Generieren und verwalten Sie ein Inventar Ihrer S3-Allzweck-Buckets

  • Stellen Sie statistische und andere Daten zu den Buckets und Objekten in den Buckets bereit

  • Überwachen und bewerten Sie die Buckets im Hinblick auf Sicherheit und Zugriffskontrolle

  • Analysieren Sie Objekte in den Buckets, um sensible Daten zu erkennen

In den meisten Fällen verfügt Macie über die erforderlichen Berechtigungen, um diese Aufgaben auszuführen. Wenn ein S3-Bucket jedoch über eine restriktive Bucket-Richtlinie verfügt, kann diese Richtlinie Macie möglicherweise daran hindern, einige oder alle dieser Aufgaben auszuführen.

Eine Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM) Richtlinie, die festlegt, welche Aktionen ein Principal (Benutzer, Konto, Dienst oder andere Entität) auf einem S3-Bucket ausführen kann und unter welchen Bedingungen ein Principal diese Aktionen ausführen kann. Die Aktionen und Bedingungen können für Operationen auf Bucket-Ebene, wie das Abrufen von Informationen über einen Bucket, und für Operationen auf Objektebene, wie das Abrufen von Objekten aus einem Bucket, gelten.

Bucket-Richtlinien gewähren oder beschränken den Zugriff in der Regel mithilfe expliziter Anweisungen und Bedingungen. Allow Deny Beispielsweise kann eine Bucket-Richtlinie eine Allow Deny OR-Anweisung enthalten, die den Zugriff auf den Bucket verweigert, sofern nicht bestimmte Quell-IP-Adressen, Amazon Virtual Private Cloud (AmazonVPC) -Endpunkte oder für den Zugriff auf den Bucket verwendet VPCs werden. Informationen zur Verwendung von Bucket-Richtlinien zur Gewährung oder Beschränkung des Zugriffs auf Buckets finden Sie unter Bucket-Richtlinien für Amazon S3 und Wie Amazon S3 eine Anfrage autorisiert im Amazon Simple Storage Service-Benutzerhandbuch.

Wenn eine Bucket-Richtlinie eine explizite Allow Aussage verwendet, verhindert die Richtlinie nicht, dass Macie Informationen über den Bucket und die Objekte des Buckets oder Objekte aus dem Bucket abruft. Das liegt daran, dass die Allow Anweisungen in der Berechtigungsrichtlinie für die mit dem Macie-Dienst verknüpfte Rolle diese Berechtigungen gewähren.

Wenn eine Bucket-Richtlinie jedoch eine explizite Deny Anweisung mit einer oder mehreren Bedingungen verwendet, darf Macie möglicherweise keine Informationen über den Bucket oder die Objekte des Buckets oder die Objekte des Buckets abrufen. Wenn eine Bucket-Richtlinie beispielsweise explizit den Zugriff von allen Quellen mit Ausnahme einer bestimmten IP-Adresse verweigert, darf Macie die Objekte des Buckets nicht analysieren, wenn Sie einen Discovery-Job für sensible Daten ausführen. Dies liegt daran, dass restriktive Bucket-Richtlinien Vorrang vor den Allow Aussagen in der Berechtigungsrichtlinie für die mit dem Macie-Dienst verknüpfte Rolle haben.

Um Macie den Zugriff auf einen S3-Bucket mit einer restriktiven Bucket-Richtlinie zu ermöglichen, können Sie der Bucket-Richtlinie eine Bedingung für die dienstbezogene Macie-Rolle () AWSServiceRoleForAmazonMacie hinzufügen. Durch die Bedingung kann ausgeschlossen werden, dass die Macie-Rolle, die mit dem Service verknüpft ist, der Einschränkung in der Deny Richtlinie entspricht. Dies kann mithilfe des aws:PrincipalArn globalen Bedingungskontextschlüssels und des Amazon-Ressourcennamens (ARN) der mit dem Macie-Service verknüpften Rolle geschehen.

Das folgende Verfahren führt Sie durch diesen Prozess und enthält ein Beispiel.

So fügen Sie die mit dem Dienst verknüpfte Macie-Rolle zu einer Bucket-Richtlinie hinzu

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich die Option Buckets aus.

  3. Wählen Sie den S3-Bucket aus, auf den Macie zugreifen soll.

  4. Wählen Sie auf der Registerkarte Berechtigungen unter Bucket-Richtlinie die Option Bearbeiten aus.

  5. Identifizieren Sie im Bucket-Policy-Editor jede Deny Anweisung, die den Zugriff einschränkt und Macie daran hindert, auf den Bucket oder die Objekte des Buckets zuzugreifen.

  6. Fügen Sie in jeder Deny Anweisung eine Bedingung hinzu, die den aws:PrincipalArn globalen Bedingungskontextschlüssel verwendet und die Rolle ARN der mit dem Macie-Dienst verknüpften Rolle für Sie angibt. AWS-Konto

    Der Wert für den Bedingungsschlüssel sollte lauten, wobei arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie 123456789012 ist die Konto-ID für Ihren AWS-Konto.

Wo Sie dies zu einer Bucket-Richtlinie hinzufügen, hängt von der Struktur, den Elementen und Bedingungen ab, die die Richtlinie derzeit enthält. Weitere Informationen zu unterstützten Strukturen und Elementen finden Sie unter Richtlinien und Berechtigungen in Amazon S3 im Amazon Simple Storage Service-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Bucket-Richtlinie, die eine explizite Deny Anweisung verwendet, um den Zugriff auf einen S3-Bucket mit dem Namen DOC- EXAMPLE - einzuschränkenBUCKET. Mit der aktuellen Richtlinie kann auf den Bucket nur von dem VPC Endpunkt aus zugegriffen werden, dessen ID lautetvpce-1a2b3c4d. Der Zugriff von allen anderen VPC Endpunkten aus wird verweigert, einschließlich des Zugriffs von AWS Management Console und Macie.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115example",
   "Statement": [
      {
         "Sid": "Access from specific VPCE only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

Um diese Richtlinie zu ändern und Macie den Zugriff auf den S3-Bucket und die Objekte des Buckets zu ermöglichen, können wir eine Bedingung hinzufügen, die den Bedingungsoperator und den aws:PrincipalArnglobalen StringNotLike Bedingungskontextschlüssel verwendet. Diese zusätzliche Bedingung schließt aus, dass die mit dem Macie-Dienst verknüpfte Rolle der Einschränkung nicht entspricht. Deny

{
   "Version": "2012-10-17",
   "Id":" Policy1415115example ",
   "Statement": [
      {
         "Sid": "Access from specific VPCE and Macie only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            },
            "StringNotLike": {
               "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
            }
         }
      }
   ]
}

Im vorherigen Beispiel verwendet der StringNotLike Bedingungsoperator den Bedingungskontextschlüssel, um die aws:PrincipalArn Rolle der mit dem Macie-Dienst ARN verknüpften Rolle anzugeben. Dabei gilt:

  • 123456789012ist die Konto-ID für das AWS-Konto , das Macie verwenden darf, um Informationen über den Bucket und die Objekte des Buckets abzurufen und Objekte aus dem Bucket abzurufen.

  • macie.amazonaws.comist der Bezeichner für den Macie-Service Principal.

  • AWSServiceRoleForAmazonMacieist der Name der mit dem Macie-Dienst verknüpften Rolle.

Wir haben den StringNotLike Operator verwendet, weil die Richtlinie bereits einen StringNotEquals Operator verwendet. Eine Richtlinie kann den StringNotEquals Operator nur einmal verwenden.

Weitere Richtlinienbeispiele und detaillierte Informationen zur Verwaltung des Zugriffs auf Amazon S3 S3-Ressourcen finden Sie unter Zugriffsverwaltung im Amazon Simple Storage Service-Benutzerhandbuch.