Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon Macie
Amazon Macie (préfixe de service : macie2
) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes en vue de leur utilisation dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par Amazon Macie
Vous pouvez indiquer les actions suivantes dans l'élément Action
d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource
de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resource
élément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition
d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
Note
Les actions DisassociateFromMasterAccount et GetMasterAccount sont obsolètes. Nous vous recommandons de spécifier les actions DisassociateFromAdministratorAccount et GetAdministratorAccount respectivement.
Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
---|---|---|---|---|---|
AcceptInvitation | Accorde l'autorisation d'accepter une invitation d'adhésion à Amazon Macie | Écriture | |||
BatchGetCustomDataIdentifiers | Accorde l'autorisation de récupérer des informations sur un ou plusieurs identificateurs de données personnalisés | Lire | |||
CreateAllowList | Accorde l'autorisation de créer et de définir les paramètres d'une liste d'autorisation | Écrire | |||
CreateClassificationJob | Accorde l'autorisation de créer et de définir les paramètres d'une tâche de découverte de données sensibles | Écriture | |||
CreateCustomDataIdentifier | Accorde l'autorisation de créer et de définir les paramètres d'un identificateur de données personnalisé | Écriture | |||
CreateFindingsFilter | Accorde l'autorisation de créer et de définir les paramètres d'un filtre de résultats | Écriture | |||
CreateInvitations | Accorde l'autorisation d'envoyer une invitation d'adhésion à Amazon Macie | Écriture | |||
CreateMember | Accorde l'autorisation d'associer un compte à un compte administrateur Amazon Macie | Écriture | |||
CreateSampleFindings | Accorde l'autorisation de créer des exemples de résultats. | Écriture | |||
DeclineInvitations | Accorde l'autorisation de refuser les invitations d'adhésion à Amazon Macie | Écrire | |||
DeleteAllowList | Accorde l'autorisation de supprimer une liste d'autorisation | Écrire | |||
DeleteCustomDataIdentifier | Accorde l'autorisation de supprimer un identificateur de données personnalisé | Écriture | |||
DeleteFindingsFilter | Accorde l'autorisation de supprimer un filtre de résultats | Écriture | |||
DeleteInvitations | Accorde l'autorisation de supprimer les invitations d'adhésion à Amazon Macie | Écriture | |||
DeleteMember | Accorde l'autorisation de supprimer l'association entre un compte administrateur Amazon Macie et un compte | Écriture | |||
DescribeBuckets | Accorde l'autorisation de récupérer des données statistiques et autres sur les compartiments S3 qu'Amazon Macie surveille et analyse | Lecture | |||
DescribeClassificationJob | Accorde l'autorisation de récupérer des informations sur l'état et les paramètres d'une tâche de découverte de données sensibles | Lecture | |||
DescribeOrganizationConfiguration | Accorde l'autorisation de récupérer des informations sur les paramètres de configuration Amazon Macie pour une organisation AWS | Lecture | |||
DisableMacie | Accorde l'autorisation de désactiver un compte Amazon Macie, ce qui supprime également les ressources Macie pour le compte | Écriture | |||
DisableOrganizationAdminAccount | Accorde l'autorisation de désactiver un compte en tant qu'administrateur délégué d'Amazon Macie pour une organisation AWS | Écrire | |||
DisassociateFromAdministratorAccount | Accorde l'autorisation à un compte membre Amazon Macie de se dissocier de son compte administrateur Macie | Écrire | |||
DisassociateFromMasterAccount | Accorde l'autorisation à un compte membre Amazon Macie de se dissocier de son compte administrateur Macie | Écrire | |||
DisassociateMember | Accorde l'autorisation à un compte administrateur Amazon Macie de se dissocier d'un compte membre Macie | Écrire | |||
EnableMacie | Accorde l'autorisation d'activer et de spécifier les paramètres de configuration d'un nouveau compte Amazon Macie | Écriture | |||
EnableOrganizationAdminAccount | Accorde l'autorisation d'activer un compte en tant qu'administrateur délégué d'Amazon Macie pour une organisation AWS | Écriture | |||
GetAdministratorAccount | Accorde l'autorisation de récupérer des informations sur le compte administrateur Amazon Macie pour un compte | Lire | |||
GetAllowList | Accorde l'autorisation de récupérer les paramètres et l'état d'une liste d'autorisation | Lire | |||
GetAutomatedDiscoveryConfiguration | Accorde l'autorisation de récupérer les paramètres de configuration et le statut de la découverte automatique de données sensibles pour un compte | Lire | |||
GetBucketStatistics | Accorde l'autorisation de récupérer des données statistiques agrégées pour tous les compartiments S3 qu'Amazon Macie surveille et analyse | Lecture | |||
GetClassificationExportConfiguration | Accorde l'autorisation de récupérer les paramètres d'exportation des résultats de découverte de données sensibles | Lire | |||
GetClassificationScope | Accorde l'autorisation de récupérer les paramètres de la portée de la classification pour un compte | Lire | |||
GetCustomDataIdentifier | Accorde l'autorisation de récupérer des informations sur les paramètres d'un identificateur de données personnalisé | Lecture | |||
GetFindingStatistics | Accorde l'autorisation de récupérer des données statistiques agrégées sur les résultats | Lecture | |||
GetFindings | Accorde l'autorisation de récupérer les détails d'un ou plusieurs résultats | Lecture | |||
GetFindingsFilter | Accorde l'autorisation de récupérer des informations sur les paramètres d'un filtre de résultats | Lecture | |||
GetFindingsPublicationConfiguration | Accorde l'autorisation de récupérer les paramètres de configuration pour la publication des résultats sur AWS Security Hub | Lecture | |||
GetInvitationsCount | Accorde l'autorisation de récupérer le nombre d'invitations d'adhésion à Amazon Macie reçues par un compte | Lecture | |||
GetMacieSession | Accorde l'autorisation de récupérer des informations sur l'état et les paramètres de configuration d'un compte Amazon Macie | Lire | |||
GetMasterAccount | Accorde l'autorisation de récupérer des informations sur le compte administrateur Amazon Macie pour un compte | Lire | |||
GetMember | Accorde l'autorisation de récupérer des informations sur un compte associé à un compte administrateur Amazon Macie | Lire | |||
GetResourceProfile | Accorde l'autorisation de récupérer les statistiques de découverte de données sensibles et le score de sensibilité d'un compartiment S3 | Lire | |||
GetRevealConfiguration | Accorde l'autorisation de récupérer le statut et les paramètres de configuration pour la récupération des occurrences de données sensibles signalées par les résultats | Lire | |||
GetSensitiveDataOccurrences | Accorde l'autorisation de récupérer les occurrences de données sensibles signalées par un résultat | Lire | |||
GetSensitiveDataOccurrencesAvailability | Accorde l'autorisation de vérifier si les occurrences de données sensibles peuvent être récupérées par un résultat | Lire | |||
GetSensitivityInspectionTemplate | Accorde l'autorisation de récupérer les paramètres du modèle d'inspection de la sensibilité pour un compte | Lire | |||
GetUsageStatistics | Accorde l'autorisation de récupérer des quotas et des données d'utilisation agrégées pour un ou plusieurs comptes | Lecture | |||
GetUsageTotals | Accorde l'autorisation de récupérer des données d'utilisation agrégées pour un compte | Lire | |||
ListAllowLists | Accorde l'autorisation de récupérer un sous-ensemble d'informations sur toutes les listes d'autorisation pour un compte | Liste | |||
ListClassificationJobs | Accorde l'autorisation de récupérer un sous-ensemble d'informations sur l'état et les paramètres d'une ou plusieurs tâches de découverte de données sensibles | Liste | |||
ListClassificationScopes | Accorde l'autorisation de récupérer un sous-ensemble d'informations sur la portée de la classification d'un compte | Liste | |||
ListCustomDataIdentifiers | Accorde l'autorisation de récupérer des informations sur tous les identificateurs de données personnalisés | Liste | |||
ListFindings | Accorde l'autorisation de récupérer un sous-ensemble d'informations sur un ou plusieurs résultats | Liste | |||
ListFindingsFilters | Accorde l'autorisation de récupérer des informations sur tous les filtres de résultats | Liste | |||
ListInvitations | Accorde l'autorisation de récupérer des informations sur toutes les invitations d'adhésion à Amazon Macie reçues par un compte | Liste | |||
ListManagedDataIdentifiers | Accorde l'autorisation de récupérer des informations sur les identificateurs de données gérés | Liste | |||
ListMembers | Accorde l'autorisation de récupérer des informations sur les comptes membres Amazon Macie associés à un compte administrateur Amazon Macie | Liste | |||
ListOrganizationAdminAccounts | Accorde l'autorisation de récupérer des informations sur le compte administrateur Amazon Macie délégué d'une organisation AWS | Liste | |||
ListResourceProfileArtifacts | Accorde l'autorisation de récupérer des informations sur des objets sélectionnés dans un compartiment S3 pour la découverte automatique de données sensibles | Liste | |||
ListResourceProfileDetections | Accorde l'autorisation de récupérer des informations sur les types et la quantité de données sensibles qu'Amazon Macie a trouvées dans un compartiment S3 | Liste | |||
ListSensitivityInspectionTemplates | Accorde l'autorisation de récupérer un sous-ensemble d'informations sur le modèle d'inspection de la sensibilité pour un compte | Liste | |||
ListTagsForResource | Accorde l'autorisation de récupérer les balises d'une ressource Amazon Macie | Lecture | |||
PutClassificationExportConfiguration | Accorde l'autorisation de créer ou de mettre à jour les paramètres de stockage des résultats de découverte de données sensibles | Écriture | |||
PutFindingsPublicationConfiguration | Accorde l'autorisation de mettre à jour les paramètres de configuration pour la publication des résultats sur AWS Security Hub | Écriture | |||
SearchResources | Accorde l'autorisation de récupérer des informations statistiques et d'autres informations sur les ressources AWS qu'Amazon Macie surveille et analyse | Lecture | |||
TagResource | Accorde l'autorisation d'ajouter ou de mettre à jour les balises d'une ressource Amazon Macie | Balisage | |||
TestCustomDataIdentifier | Accorde l'autorisation de tester un identificateur de données personnalisé | Écriture | |||
UntagResource | Accorde l'autorisation de supprimer des balises d'une ressource Amazon Macie. | Identification | |||
UpdateAllowList | Accorde l'autorisation de mettre à jour les paramètres d'une liste d'autorisation | Écrire | |||
UpdateAutomatedDiscoveryConfiguration | Accorde l'autorisation d'activer ou de désactiver la découverte automatique de données sensibles pour un compte | Écrire | |||
UpdateClassificationJob | Accorde l'autorisation de modifier l'état d'une tâche de découverte de données sensibles | Écrire | |||
UpdateClassificationScope | Accorde l'autorisation de mettre à jour les paramètres de la portée de la classification pour un compte | Écrire | |||
UpdateFindingsFilter | Accorde l'autorisation de mettre à jour les paramètres d'un filtre de résultats | Écriture | |||
UpdateMacieSession | Accorde l'autorisation de suspendre ou de réactiver un compte Amazon Macie ou de mettre à jour les paramètres de configuration d'un compte Macie | Écrire | |||
UpdateMemberSession | Accorde l'autorisation à un compte administrateur Amazon Macie de suspendre ou de réactiver un compte membre Macie | Écrire | |||
UpdateOrganizationConfiguration | Accorde l'autorisation de mettre à jour les paramètres de configuration Amazon Macie pour une organisation AWS | Écrire | |||
UpdateResourceProfile | Accorde l'autorisation de mettre à jour le score de sensibilité d'un compartiment S3 | Écrire | |||
UpdateResourceProfileDetections | Accorde l'autorisation de mettre à jour les paramètres d'évaluation de la sensibilité d'un compartiment S3 | Écrire | |||
UpdateRevealConfiguration | Accorde l'autorisation de mettre à jour le statut et les paramètres de configuration pour la récupération des occurrences de données sensibles signalées par les résultats | Écrire | |||
UpdateSensitivityInspectionTemplate | Accorde l'autorisation de mettre à jour les paramètres du modèle d'inspection de la sensibilité pour un compte | Écrire |
Types de ressources définis par Amazon Macie
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource
élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Types de ressources | ARN | Clés de condition |
---|---|---|
AllowList |
arn:${Partition}:macie2:${Region}:${Account}:allow-list/${ResourceId}
|
|
ClassificationJob |
arn:${Partition}:macie2:${Region}:${Account}:classification-job/${ResourceId}
|
|
CustomDataIdentifier |
arn:${Partition}:macie2:${Region}:${Account}:custom-data-identifier/${ResourceId}
|
|
FindingsFilter |
arn:${Partition}:macie2:${Region}:${Account}:findings-filter/${ResourceId}
|
|
Member |
arn:${Partition}:macie2:${Region}:${Account}:member/${ResourceId}
|
Clés de condition pour Amazon Macie
Amazon Macie définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition
d'une stratégie IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Clés de condition | Description | Type |
---|---|---|
aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la paire de clés et de valeurs d'identification autorisée dans la demande. | Chaîne |
aws:ResourceTag/${TagKey} | Filtre l'accès en fonction de la paire de clé et de valeur d'identification d'une ressource. | Chaîne |
aws:TagKeys | Filtre l'accès en fonction de la présence de clés d'identification dans la demande | ArrayOfString |