Servicebezogene Rollen für Amazon Macie - Amazon Macie
Dienstbezogene Rollenberechtigungen für MacieErstellung der serviceverknüpften Macie-RolleBearbeitung der serviceverknüpften Macie-RolleLöschen der serviceverknüpften Macie-RolleUnterstützt AWS-Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Servicebezogene Rollen für Amazon Macie

Amazon Macie verwendet eine AWS Identity and Access Management (IAM) service-verknüpfte Rolle mit dem Namen. AWSServiceRoleForAmazonMacie Diese dienstbezogene Rolle ist eine IAM Rolle, die direkt mit Macie verknüpft ist. Sie ist von Macie vordefiniert und beinhaltet alle Berechtigungen, die Macie benötigt, um andere Personen anzurufen AWS -Services und AWS Ressourcen in Ihrem Namen zu überwachen. Macie verwendet diese dienstbezogene Rolle überall dort, AWS-Regionen wo Macie verfügbar ist.

Eine dienstbezogene Rolle erleichtert die Einrichtung von Macie, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Macie definiert die Berechtigungen dieser dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Macie die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen Entität zugeordnet werden. IAM

Sie müssen Berechtigungen so konfigurieren, dass eine IAM Entität (z. B. ein Benutzer oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Berechtigungen für dienstbezogene Rollen. Sie können eine dienstverknüpfte Rolle erst löschen, nachdem Sie die zugehörigen Ressourcen gelöscht haben. Dies schützt Ihre -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter Dienste, AWS -Services die mit Diensten arbeiten, IAM und suchen Sie in der Spalte Dienstbezogene Rollen nach den Diensten, für die Ja steht. Wählen Sie Ja mit einem Link aus, um die Dokumentation der dienstbezogenen Rollen für diesen Dienst zu lesen.

Servicebezogene Rollenberechtigungen für Amazon Macie

Amazon Macie verwendet die mit dem Service verknüpfte Rolle namens. AWSServiceRoleForAmazonMacie Diese dienstbezogene Rolle vertraut darauf, dass der macie.amazonaws.com Service die Rolle übernimmt.

Die Berechtigungsrichtlinie für die Rolle, die diesen Namen trägtAmazonMacieServiceRolePolicy, ermöglicht es Macie, Aufgaben wie die folgenden für die angegebenen Ressourcen auszuführen:

  • Verwenden Sie Amazon-S3-Aktionen, um Informationen über S3-Buckets und Objekte abzurufen.

  • Verwenden Sie Amazon S3 S3-Aktionen, um S3-Objekte abzurufen.

  • Verwenden Sie AWS Organizations Aktionen, um Informationen über zugehörige Konten abzurufen.

  • Verwenden Sie Amazon CloudWatch Logs-Aktionen, um Ereignisse für Aufträge zur Erkennung sensibler Daten zu protokollieren.

Die Rolle ist mit der folgenden Berechtigungsrichtlinie konfiguriert.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAccountAliases",
        "organizations:DescribeAccount",
        "organizations:ListAccounts",
        "s3:GetAccountPublicAccessBlock",
        "s3:ListAllMyBuckets",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketPolicy",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketTagging",
        "s3:GetBucketVersioning",
        "s3:GetBucketWebsite",
        "s3:GetEncryptionConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetReplicationConfiguration",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*:log-stream:*"
      ]
    }
  ]
}

Einzelheiten zu Aktualisierungen der AmazonMacieServiceRolePolicy Richtlinie finden Sie unterAmazon Macie aktualisiert AWS verwaltete Richtlinien. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Richtlinie erhalten möchten, abonnieren Sie den RSS Feed auf der Macie-Dokumentverlaufsseite.

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Berechtigungen für dienstbezogene Rollen.

Die serviceverknüpfte Rolle für Amazon Macie erstellen

Sie müssen die AWSServiceRoleForAmazonMacie serviceverknüpfte Rolle für Amazon Macie nicht manuell erstellen. Wenn Sie Macie für Sie aktivieren AWS-Konto, erstellt Macie automatisch die serviceverknüpfte Rolle für Sie.

Wenn Sie die mit dem Dienst verknüpfte Macie-Rolle löschen und sie dann erneut erstellen müssen, können Sie dieselbe Vorgehensweise verwenden, um die Rolle in Ihrem Konto neu zu erstellen. Wenn Sie Macie erneut aktivieren, erstellt Macie die dienstverknüpfte Rolle erneut für Sie.

Bearbeiten der serviceverknüpften Rolle für Amazon Macie

Amazon Macie erlaubt Ihnen nicht, die AWSServiceRoleForAmazonMacie serviceverknüpfte Rolle zu bearbeiten. Nachdem eine serviceverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen der serviceverknüpften Rolle für Amazon Macie

Wenn Sie Amazon Macie nicht mehr verwenden müssen, empfehlen wir Ihnen, die AWSServiceRoleForAmazonMacie serviceverknüpfte Rolle manuell zu löschen. Wenn Sie Macie deaktivieren, löscht Macie die Rolle nicht für Sie.

Bevor Sie die Rolle löschen, müssen Sie Macie in allen Bereichen deaktivieren, in AWS-Region denen Sie sie aktiviert haben. Außerdem müssen Sie die Ressourcen für die Rolle manuell bereinigen. Um die Rolle zu löschen, können Sie die IAM Konsole AWS CLI, die oder die verwenden AWS API. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer serviceverknüpften Rolle.

Anmerkung

Wenn Macie die AWSServiceRoleForAmazonMacie Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und führen Sie den Vorgang dann erneut aus.

Wenn Sie die AWSServiceRoleForAmazonMacie dienstverknüpfte Rolle löschen und sie erneut erstellen müssen, können Sie sie erneut erstellen, indem Sie Macie für Ihr Konto aktivieren. Wenn Sie Macie erneut aktivieren, erstellt Macie die dienstverknüpfte Rolle erneut für Sie.

Wird AWS-Regionen für die serviceverknüpfte Amazon Macie Macie-Rolle unterstützt

Amazon Macie unterstützt die Verwendung der AWSServiceRoleForAmazonMacie serviceverknüpften Rolle überall dort, AWS-Regionen wo Macie verfügbar ist. Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz