Mengizinkan Amazon Macie untuk mengakses bucket S3 dan objek

Saat Anda mengaktifkan Amazon Macie untuk Anda Akun AWS, Macie membuat peran terkait layanan yang memberi Macie izin yang diperlukan untuk memanggil Amazon Simple Storage Service (Amazon S3) dan lainnya atas nama Anda. AWS layanan Peran terkait layanan menyederhanakan proses penyiapan AWS layanan karena Anda tidak perlu menambahkan izin secara manual untuk layanan untuk menyelesaikan tindakan atas nama Anda. Untuk mempelajari lebih lanjut tentang jenis peran ini, lihat Menggunakan peran terkait layanan di AWS Identity and Access Management Panduan Pengguna.

Kebijakan izin untuk peran terkait layanan Macie (AWSServiceRoleForAmazonMacie) memungkinkan Macie melakukan tindakan yang mencakup pengambilan informasi tentang bucket dan objek S3 Anda, serta mengambil objek dari bucket Anda. Jika Anda administrator Macie untuk suatu organisasi, kebijakan ini juga memungkinkan Macie untuk melakukan tindakan ini atas nama Anda untuk akun anggota di organisasi Anda.

Macie menggunakan izin ini untuk melakukan tugas-tugas seperti:

• Hasilkan dan pertahankan inventaris bucket tujuan umum S3 Anda

• Berikan data statistik dan lainnya tentang ember dan objek dalam ember

• Memantau dan mengevaluasi ember untuk keamanan dan kontrol akses

• Analisis objek dalam bucket untuk mendeteksi data sensitif

Dalam kebanyakan kasus, Macie memiliki izin yang dibutuhkan untuk melakukan tugas-tugas ini. Namun, jika bucket S3 memiliki kebijakan bucket yang membatasi, kebijakan tersebut dapat mencegah Macie melakukan beberapa atau semua tugas ini.

Kebijakan bucket adalah kebijakan berbasis sumber daya AWS Identity and Access Management (IAM) yang menentukan tindakan yang dapat dilakukan oleh prinsipal (pengguna, akun, layanan, atau entitas lain) pada bucket S3, dan kondisi di mana prinsipal dapat melakukan tindakan tersebut. Tindakan dan kondisi dapat diterapkan pada operasi tingkat ember, seperti mengambil informasi tentang bucket, dan operasi tingkat objek, seperti mengambil objek dari bucket.

Kebijakan bucket biasanya memberikan atau membatasi akses dengan menggunakan pernyataan Allow eksplisit atau pernyataan Deny beserta syarat. Misalnya, kebijakan bucket mungkin berisi Deny pernyataan Allow atau pernyataan yang menolak akses ke bucket kecuali alamat IP sumber tertentu, titik akhir Amazon Virtual Private Cloud (AmazonVPC), atau VPCs digunakan untuk mengakses bucket. Untuk informasi tentang penggunaan kebijakan bucket untuk memberikan atau membatasi akses ke bucket, lihat Kebijakan Bucket untuk Amazon S3 dan Cara Amazon S3 mengotorisasi permintaan di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Jika kebijakan bucket menggunakan pernyataan Allow eksplisit, kebijakan tidak mencegah Macie mengambil informasi tentang bucket dan objek bucket, atau mengambil objek dari bucket. Hal ini karena pernyataan Allow di dalam kebijakan izin untuk peran tertaut layanan Macie memberikan izin tersebut.

Namun, jika kebijakan bucket menggunakan Deny pernyataan eksplisit dengan satu atau beberapa kondisi, Macie mungkin tidak diizinkan untuk mengambil informasi tentang bucket atau objek bucket, atau mengambil objek bucket. Misalnya, jika kebijakan bucket secara eksplisit menolak akses dari semua sumber kecuali alamat IP tertentu, Macie tidak akan diizinkan untuk menganalisis objek bucket saat Anda menjalankan pekerjaan penemuan data yang sensitif. Hal ini karena kebijakan bucket yang dibatasi lebih diutamakan dibandingkan pernyataan Allow di dalam kebijakan izin untuk peran tertaut layanan Macie.

Untuk mengizinkan Macie mengakses bucket S3 yang memiliki kebijakan bucket terbatas, Anda dapat menambahkan kondisi untuk peran () AWSServiceRoleForAmazonMacie terkait layanan Macie ke kebijakan bucket. Syarat ini dapat mengecualikan peran tertaut layanan Macie dari pencocokan pembatasan Deny dalam kebijakan. Hal ini dapat dilakukan dengan menggunakan kunci konteks kondisi aws:PrincipalArn global dan Amazon Resource Name (ARN) dari peran terkait layanan Macie.

Prosedur berikut memandu Anda melalui proses ini dan memberikan contoh.

Untuk menambahkan peran tertaut layanan Macie ke kebijakan bucket

1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

2. Di panel navigasi, pilih Bucket.

3. Pilih bucket S3 yang ingin Anda izinkan untuk diakses oleh Macie.

4. Di tab Izin, di dalam Kebijakan bucket, pilih Edit.

5. Di editor Kebijakan bucket, identifikasi setiap pernyataan Deny yang membatasi akses dan mencegah Macie mengakses bucket atau objek bucket.

6. Di setiap Deny pernyataan, tambahkan kondisi yang menggunakan kunci konteks kondisi aws:PrincipalArn global dan tentukan peran terkait layanan Macie untuk Anda. ARN Akun AWS

   Nilai untuk kunci kondisi harusarn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie, di mana 123456789012 adalah ID akun untuk Anda Akun AWS.

Tempat Anda menambahkan ini ke kebijakan bucket tergantung pada struktur, elemen, dan syarat yang saat ini berisi kebijakan. Untuk mempelajari tentang struktur dan elemen yang didukung, lihat Kebijakan dan izin di Amazon S3 di Panduan Pengguna Amazon Simple Storage Service.

Berikut ini adalah contoh kebijakan bucket yang menggunakan Deny pernyataan eksplisit untuk membatasi akses ke bucket S3 bernama DOC - -. EXAMPLE BUCKET Dengan kebijakan saat ini, bucket hanya dapat diakses dari VPC titik akhir yang ID-nyavpce-1a2b3c4d. Akses dari semua VPC titik akhir lainnya ditolak, termasuk akses dari AWS Management Console dan Macie.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115example",
   "Statement": [
      {
         "Sid": "Access from specific VPCE only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

Untuk mengubah kebijakan ini dan mengizinkan Macie mengakses bucket S3 dan objek bucket, kita dapat menambahkan kondisi yang menggunakan operator StringNotLike kondisi dan kunci konteks kondisi aws:PrincipalArn global. Syarat tambahan ini tidak termasuk peran tertaut layanan Macie dari pencocokan pembatasan Deny.

{
   "Version": "2012-10-17",
   "Id":" Policy1415115example ",
   "Statement": [
      {
         "Sid": "Access from specific VPCE and Macie only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            },
            "StringNotLike": {
               "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
            }
         }
      }
   ]
}

Pada contoh sebelumnya, operator StringNotLike kondisi menggunakan kunci konteks aws:PrincipalArn kondisi untuk menentukan peran terkait layanan Macie, di mana: ARN

• 123456789012adalah ID akun untuk Akun AWS yang diizinkan menggunakan Macie untuk mengambil informasi tentang bucket dan objek bucket, dan mengambil objek dari ember.

• macie.amazonaws.com adalah pengidentifikasi untuk prinsipiel layanan Macie.

• AWSServiceRoleForAmazonMacie ini adalah nama peran tertaut layanan Macie.

Kami menggunakan operator StringNotLike karena kebijakan sudah menggunakan operator StringNotEquals. Kebijakan dapat menggunakan operator StringNotEquals hanya sekali.

Untuk contoh kebijakan tambahan dan informasi terperinci tentang mengelola akses ke sumber daya Amazon S3, lihat Manajemen akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.