Permitir a Amazon Macie el acceso a buckets y objetos de S3 - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permitir a Amazon Macie el acceso a buckets y objetos de S3

Cuando habilita Amazon Macie para su Cuenta de AWS, Macie crea un rol vinculado a un servicio que otorga a Macie los permisos necesarios para llamar a Amazon Simple Storage Service (Amazon S3) y a otros Servicios de AWS en su nombre. Un rol vinculado a un servicio simplifica el proceso de configuración de un Servicio de AWS porque no tiene que añadir manualmente permisos para que el servicio complete acciones en su nombre. Para obtener más información sobre este tipo de rol, consulte Uso de roles vinculados en la AWS Identity and Access Management Guía del usuario.

La política de permisos del rol vinculado a un servicio de Macie (AWSServiceRoleForAmazonMacie) permite a Macie realizar acciones que incluyen la recuperación de información sobre los bucket y objetos de S3 y la recuperación y el análisis de los objetos de los bucket. Si es el administrador de Macie de una organización, la política también permite a Macie llevar a cabo estas acciones en su nombre para las cuentas miembro de su organización.

Macie utiliza estos permisos para realizar tareas como:

  • Generar y mantener un inventario de sus buckets de S3

  • Ofrecer datos estadísticos y de otro tipo sobre los buckets y los objetos que contienen

  • Supervisar y evaluar los buckets para garantizar la seguridad y el control de acceso

  • Analizar los objetos de los buckets para detectar datos confidenciales

En la mayoría de los casos, Macie tiene los permisos que necesita para realizar estas tareas. Sin embargo, si un bucket de S3 tiene una política de buckets restrictiva, la política podría impedir que Macie realice algunas o todas estas tareas.

Una política de bucket es una política AWS Identity and Access Management basada en recursos (IAM) que especifica qué acciones puede realizar una entidad principal (usuario, cuenta, servicio u otra entidad) en un bucket de S3 y las condiciones en las que una entidad principal puede realizar esas acciones. Las acciones y condiciones se pueden aplicar a las operaciones a nivel de bucket, como la recuperación de información sobre un bucket, y a las operaciones a nivel de objeto, como la recuperación de objetos de un bucket.

Las políticas de bucket suelen conceder o restringir el acceso mediante declaraciones y condiciones de Allow o Deny. Por ejemplo, una política de bucket puede contener una instrucción Allow o Deny que deniegue el acceso al bucket a menos que se utilicen direcciones IP, puntos de conexión Amazon Virtual Private Cloud (Amazon VPC) o VPC para acceder al bucket. Para obtener más información acerca de la asociación de políticas de buckets de Amazon S3, consulte Uso de políticas de bucket y políticas de usuario y Cómo autoriza Amazon S3 una solicitud en la Guía del usuario de Amazon Simple Storage Service.

Si una política de bucket utiliza una instrucción explícita de Allow, la política no impide que Macie recupere información sobre el bucket y sus objetos, ni que recupere objetos del bucket. Esto se debe a que las declaraciones de Allow de la política de permisos para el rol vinculado al servicio de Macie otorgan estos permisos.

Sin embargo, si una política de bucket utiliza una instrucción explícita de Deny con una o más condiciones, es posible que a Macie no se le permita recuperar información sobre el bucket o los objetos del bucket, ni recuperar los objetos del bucket. Por ejemplo, si una política de bucket deniega explícitamente el acceso desde todas las fuentes excepto desde una dirección IP específica, Macie no podrá analizar los objetos del bucket cuando se ejecute un trabajo de detección de datos confidenciales. Esto se debe a que las políticas de bucket restrictivas tienen prioridad sobre las instrucciones de Allow de la política de permisos del rol vinculado a servicios de Macie.

Para permitir que Macie acceda a un bucket de S3 que tenga una política de bucket restrictiva, puede añadir una condición para el rol vinculado al servicio de Macie (AWSServiceRoleForAmazonMacie) a la política de bucket. La condición debe impedir que el rol vinculado al servicio de Macie coincida con la restricción Deny de la política. Para ello, puede utilizar la aws:PrincipalArnclave de contexto de la condición global y el nombre de recurso de Amazon (ARN) del rol vinculado a un servicio de Macie.

Este procedimiento lo guía a través del proceso y pone un ejemplo.

Para añadir la función vinculada al servicio de Macie a una política de buckets

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación, elija Buckets.

  3. Elija el bucket de S3 al que desea permitir que Macie acceda.

  4. En la pestaña Permissions (Permisos), en Bucket policy (Política de bucket), elija Edit (Editar).

  5. En el editor de Política del bucket, identifique cada instrucción Deny que restrinja el acceso e impida que Macie acceda al bucket o a sus objetos.

  6. En cada instrucción de Deny, añada una condición que utilice la clave de contexto de la condición global aws:PrincipalArn y especifique el ARN de la función vinculada al servicio de Macie para su Cuenta de AWS.

    El valor de la clave de condición debe ser arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie, donde 123456789012 es el ID de cuenta de su Cuenta de AWS.

El lugar donde se añada esta declaración a una política de buckets depende de la estructura, los elementos y las condiciones que la política contenga actualmente. Para obtener más información sobre las estructuras y los elementos compatibles, consulte Políticas y permisos en Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

El siguiente es un ejemplo de una política de buckets que utiliza una instrucción explícita de Deny para restringir el acceso a un bucket de S3 denominado DOC-EXAMPLE-BUCKET. Con la política actual, solo se puede acceder al bucket desde punto de conexión de VPC cuyo ID es vpce-1a2b3c4d. Se deniega el acceso desde todos los demás puntos de conexión de VPC, incluido el acceso desde la AWS Management Console y Macie. 

{
   "Version": "2012-10-17",
   "Id": "Policy1415115example",
   "Statement": [
      {
         "Sid": "Access from specific VPCE only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

Para cambiar esta política y permitir que Macie acceda al bucket de S3 y a los objetos del bucket, podemos añadir una condición que utilice el operador de condición StringNotLike y la clave de contexto de la condición global aws:PrincipalArn. La condición debe impedir que el rol vinculado al servicio de Macie coincida con la Denyrestricción.

{
   "Version": "2012-10-17",
   "Id":" Policy1415115example ",
   "Statement": [
      {
         "Sid": "Access from specific VPCE and Macie only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            },
            "StringNotLike": {
               "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
            }
         }
      }
   ]
}

En el ejemplo anterior, el operador de condición StringNotLike utiliza la clave de contexto de la condición aws:PrincipalArn para especificar el ARN del rol vinculado al servicio de Macie, donde:

  • 123456789012 es el ID de cuenta para la Cuenta de AWS que tiene permiso para utilizar Macie para recuperar información sobre el bucket y los objetos del bucket, así como para recuperar objetos del bucket.

  • macie.amazonaws.com es el identificador de la entidad principal del servicio de Macie.

  • El nombre de la función vinculada a servicios para Macie es AWSServiceRoleForAmazonMacie

Usamos el operador StringNotLike porque la política ya usa un operador StringNotEquals. Una política solo puede usar el operador StringNotEquals una vez.

Para obtener ejemplos de política adicionales e información detallada sobre cómo administrar el acceso a los recursos Amazon S3, consulte Administración de identidad y acceso en Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.