Autoriser Amazon Macie à accéder aux compartiments et aux objets S3 - Amazon Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser Amazon Macie à accéder aux compartiments et aux objets S3

Lorsque vous activez Amazon Macie pour votre compte Compte AWS, Macie crée un rôle lié à un service qui lui accorde les autorisations nécessaires pour appeler Amazon Simple Storage Service (Amazon S3) et d'autres personnes en votre nom. Services AWS Un rôle lié à un service simplifie le processus de configuration Service AWS car vous n'avez pas à ajouter manuellement des autorisations pour que le service puisse effectuer des actions en votre nom. Pour en savoir plus sur ce type de rôle, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS Identity and Access Management utilisateur.

La politique d'autorisation pour le rôle lié au service Macie (AWSServiceRoleForAmazonMacie) permet à Macie d'effectuer des actions qui incluent la récupération d'informations sur vos compartiments et objets S3, ainsi que la récupération d'objets de vos compartiments. Si vous êtes l'administrateur Macie d'une organisation, la politique permet également à Macie d'effectuer ces actions en votre nom pour les comptes des membres de votre organisation.

Macie utilise ces autorisations pour effectuer des tâches telles que :

  • Générez et maintenez un inventaire de vos buckets S3 à usage général

  • Fournir des données statistiques et autres sur les compartiments et les objets qu'ils contiennent

  • Surveillez et évaluez les compartiments à des fins de sécurité et de contrôle d'accès

  • Analysez les objets dans les compartiments pour détecter les données sensibles

Dans la plupart des cas, Macie dispose des autorisations nécessaires pour effectuer ces tâches. Toutefois, si un compartiment S3 possède une politique de compartiment restrictive, cette politique peut empêcher Macie d'effectuer certaines ou toutes ces tâches.

Une politique de compartiment est une politique basée sur les ressources AWS Identity and Access Management (IAM) qui spécifie les actions qu'un principal (utilisateur, compte, service ou autre entité) peut effectuer sur un compartiment S3, ainsi que les conditions dans lesquelles un principal peut effectuer ces actions. Les actions et conditions peuvent s'appliquer aux opérations au niveau du compartiment, telles que la récupération d'informations sur un compartiment, et aux opérations au niveau des objets, telles que la récupération d'objets d'un compartiment.

Les politiques relatives aux compartiments accordent ou restreignent généralement l'accès en utilisant Deny des déclarations et des conditions explicitesAllow. Par exemple, une politique de compartiment peut contenir une Deny déclaration Allow ou qui refuse l'accès au compartiment, sauf si des adresses IP source spécifiques, des points de terminaison Amazon Virtual Private Cloud (Amazon VPC) ou des VPC sont utilisés pour accéder au compartiment. Pour plus d'informations sur l'utilisation des politiques relatives aux compartiments pour accorder ou restreindre l'accès aux compartiments, consultez les sections Politiques relatives aux compartiments et politiques utilisateur et Comment Amazon S3 autorise une demande dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Si une politique de compartiment utilise une Allow déclaration explicite, elle n'empêche pas Macie de récupérer des informations sur le compartiment et les objets du compartiment, ou de récupérer des objets du compartiment. Cela est dû au fait que les Allow instructions de la politique d'autorisation pour le rôle lié au service Macie accordent ces autorisations.

Toutefois, si une politique de compartiment utilise une Deny déclaration explicite assortie d'une ou plusieurs conditions, Macie peut ne pas être autorisée à récupérer des informations sur le compartiment ou les objets du compartiment, ou à récupérer les objets du compartiment. Par exemple, si une politique de bucket refuse explicitement l'accès à toutes les sources à l'exception d'une adresse IP spécifique, Macie ne sera pas autorisé à analyser les objets du bucket lorsque vous exécutez une tâche de découverte de données sensibles. Cela est dû au fait que les politiques de compartiment restrictives ont priorité sur les Allow instructions de la politique d'autorisation pour le rôle lié au service Macie.

Pour permettre à Macie d'accéder à un compartiment S3 doté d'une politique de compartiment restrictive, vous pouvez ajouter une condition pour le rôle lié au service Macie (AWSServiceRoleForAmazonMacie) à la politique de compartiment. La condition peut empêcher le rôle lié au service Macie de correspondre à la Deny restriction de la politique. Il peut le faire en utilisant la clé de contexte de condition aws:PrincipalArn globale et le nom de ressource Amazon (ARN) du rôle lié au service Macie.

La procédure suivante vous guide tout au long de ce processus et fournit un exemple.

Pour ajouter le rôle lié au service Macie à une politique de compartiment

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Compartiments.

  3. Choisissez le compartiment S3 auquel vous souhaitez autoriser Macie à accéder.

  4. Dans l'onglet Permissions (Autorisations), sous Bucket Policy (Stratégie de compartiment), choisissez Edit (Modifier).

  5. Dans l'éditeur de politique de bucket, identifiez chaque Deny instruction qui restreint l'accès et empêche Macie d'accéder au bucket ou aux objets du bucket.

  6. Dans chaque Deny instruction, ajoutez une condition qui utilise la clé de contexte de condition aws:PrincipalArn globale et spécifie l'ARN du rôle lié au service Macie pour votre. Compte AWS

    La valeur de la clé de condition doit êtrearn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie, où 123456789012 est l'identifiant de compte de votre. Compte AWS

L'endroit où vous l'ajoutez à une politique de compartiment dépend de la structure, des éléments et des conditions que la politique contient actuellement. Pour en savoir plus sur les structures et les éléments pris en charge, consultez la section Politiques et autorisations dans Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Voici un exemple de politique de compartiment qui utilise une Deny instruction explicite pour restreindre l'accès à un compartiment S3 nommé DOC-EXAMPLE-BUCKET. Avec la politique actuelle, le bucket n'est accessible qu'à partir du point de terminaison VPC dont l'ID est. vpce-1a2b3c4d L'accès depuis tous les autres points de terminaison VPC est refusé, y compris l'accès depuis Macie et Macie. AWS Management Console 

{
   "Version": "2012-10-17",
   "Id": "Policy1415115example",
   "Statement": [
      {
         "Sid": "Access from specific VPCE only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

Pour modifier cette politique et permettre à Macie d'accéder au compartiment S3 et aux objets du compartiment, nous pouvons ajouter une condition qui utilise l'opérateur de StringNotLike condition et la clé de contexte de condition aws:PrincipalArn globale. Cette condition supplémentaire empêche le rôle lié au service Macie de correspondre à la restriction. Deny

{
   "Version": "2012-10-17",
   "Id":" Policy1415115example ",
   "Statement": [
      {
         "Sid": "Access from specific VPCE and Macie only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            },
            "StringNotLike": {
               "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
            }
         }
      }
   ]
}

Dans l'exemple précédent, l'opérateur de StringNotLike condition utilise la clé de contexte de aws:PrincipalArn condition pour spécifier l'ARN du rôle lié au service Macie, où :

  • 123456789012est l'ID de compte de la Compte AWS personne autorisée à utiliser Macie pour récupérer des informations sur le bucket et les objets du bucket, ainsi que pour récupérer des objets du bucket.

  • macie.amazonaws.comest l'identifiant du principal de service Macie.

  • AWSServiceRoleForAmazonMacieest le nom du rôle lié au service Macie.

Nous avons utilisé l'StringNotLikeopérateur parce que la politique utilise déjà un StringNotEquals opérateur. Une politique ne peut utiliser l'StringNotEqualsopérateur qu'une seule fois.

Pour des exemples de politiques supplémentaires et des informations détaillées sur la gestion de l'accès aux ressources Amazon S3, consultez la section Gestion des identités et des accès dans Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.