Kebijakan terkelola AWS untuk Amazon Macie - Amazon Macie
AmazonMacieFullAccessAmazonMacieReadOnlyAccessAmazonMacieServiceRolePolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan terkelola AWS untuk Amazon Macie

SebuahAWSkebijakan terkelola adalah kebijakan mandiri yang dibuat dan dikelola olehAWS.AWSkebijakan terkelola dirancang untuk memberikan izin untuk banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwaAWSkebijakan terkelola mungkin tidak memberikan izin paling sedikit hak istimewa untuk kasus penggunaan spesifik Anda karena tersedia untuk semuaAWSpelanggan untuk digunakan. Kami menyarankan Anda mengurangi izin lebih lanjut dengan mendefinisikankebijakan yang dikelola pelangganyang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalamAWSkebijakan yang dikelola. JikaAWSmemperbarui izin yang didefinisikan dalamAWSkebijakan terkelola, pembaruan mempengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan.AWSkemungkinan besar akan memperbaruiAWSkebijakan terkelola saat baruLayanan AWSdiluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

Amazon Macie menyediakan beberapaAWSkebijakan yang dikelola:AmazonMacieFullAccesskebijakan, kebijakanAmazonMacieReadOnlyAccesskebijakan, danAmazonMacieServiceRolePolicykebijakan.

Kebijakan terkelola AWS: AmazonMacieFullAccess

Anda dapat melampirkanAmazonMacieFullAccesskebijakan untuk entitas IAM Anda.

Kebijakan ini memberikan izin administratif penuh yang memungkinkan identitas IAM (utama) untuk membuatPeran terkait layanan Amazon Maciedan melakukan semua membaca dan menulis tindakan untuk Amazon Macie. Izin termasuk fungsi mutasi seperti membuat, memperbarui, dan menghapus. Jika kebijakan ini dilampirkan ke prinsipal, prinsipal dapat membuat, mengambil, dan mengakses semua sumber daya, data, dan pengaturan Macie untuk akun mereka.

Kebijakan ini harus dilampirkan pada prinsipal sebelum prinsipal dapat mengaktifkan Macie untuk akun mereka—prinsipal harus diizinkan untuk membuat peran terkait layanan Macie untuk mengaktifkan Macie untuk akun mereka.

Rincian izin

Kebijakan ini mencakup izin berikut:

  • macie2- Memungkinkan prinsipal untuk melakukan semua tindakan baca dan tulis untuk Amazon Macie.

  • iam- Memungkinkan prinsipal untuk membuat peran terkait layanan. YangResourceelemen menentukan peran layanan-linked untuk Macie. YangConditionelemen menggunakaniam:AWSServiceName kunci kondisidan yangStringLike Operator kondisiuntuk membatasi izin ke peran terkait layanan untuk Macie.

  • pricing- Memungkinkan prinsipal untuk mengambil data harga untuk merekaAkun AWSdariAWS Billing and Cost Management. Macie menggunakan data ini untuk menghitung dan menampilkan perkiraan biaya ketika prinsipal membuat dan mengkonfigurasi pekerjaan penemuan data sensitif.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "macie2:*"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:CreateServiceLinkedRole",
         "Resource": "arn:aws:iam::*:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
         "Condition": {
            "StringLike": {
               "iam:AWSServiceName": "macie.amazonaws.com"
            }
         }
      },
      {
         "Effect": "Allow",
         "Action": "pricing:GetProducts",
         "Resource": "*"
      }
   ]
}

Kebijakan terkelola AWS: AmazonMacieReadOnlyAccess

Anda dapat melampirkanAmazonMacieReadOnlyAccesskebijakan untuk entitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan identitas IAM (utama) untuk melakukan semua tindakan baca untuk Amazon Macie. Izin tidak termasuk fungsi mutasi seperti membuat, memperbarui, atau menghapus. Jika kebijakan ini dilampirkan ke prinsipal, prinsipal dapat mengambil tetapi tidak mengakses semua sumber daya, data, dan pengaturan Macie untuk akun mereka.

Rincian izin

Kebijakan ini mencakup izin berikut:

macie2- Memungkinkan prinsipal untuk melakukan semua tindakan baca untuk Amazon Macie.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "macie2:Describe*",
            "macie2:Get*",
            "macie2:List*",
            "macie2:BatchGetCustomDataIdentifiers",
            "macie2:SearchResources"
         ],
         "Resource": "*"
      }
   ]
}

Kebijakan terkelola AWS: AmazonMacieServiceRolePolicy

Anda tidak dapat melampirkanAmazonMacieServiceRolePolicykebijakan untuk entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Macie melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran tertaut layanan untuk Amazon Macie.

Amazon Macie memperbarui keAWSkebijakan terkelola

Tinjau detail tentang pembaruanAWSkebijakan terkelola untuk Amazon Macie sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS diSejarah dokumen Maciehalaman.

Perubahan Deskripsi Tanggal

AmazonMacieReadOnlyAccess- Menambahkan kebijakan baru

Macie menambahkan kebijakan baru,AmazonMacieReadOnlyAccesskebijakan. Kebijakan ini memberikan izin hanya-baca yang memungkinkan prinsipal mengambil semua sumber daya, data, dan pengaturan Macie untuk akun mereka.

15 Juni 2023

AmazonMacieFullAccess- Memperbarui kebijakan yang ada

Di dalamAmazonMacieFullAccesskebijakan, Macie memperbarui Amazon Resource Name (ARN) peran terkait layanan Macie (aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie).

30 Juni 2022

AmazonMacieServiceRolePolicy- Memperbarui kebijakan yang ada

Macie menghapus tindakan dan sumber daya untuk Amazon Macie Classic dariAmazonMacieServiceRolePolicykebijakan. Amazon Macie Classic telah dihentikan dan tidak lagi tersedia.

Lebih khusus lagi, Macie menghapus semuaAWS CloudTrailtindakan. Macie juga menghapus semua tindakan Amazon S3 untuk sumber daya berikut:arn:aws:s3:::awsmacie-*,arn:aws:s3:::awsmacietrail-*, danarn:aws:s3:::*-awsmacietrail-*.

20 Mei 2022

AmazonMacieFullAccess- Memperbarui kebijakan yang ada

Macie menambahkanAWS Billing and Cost Management(pricing) tindakan keAmazonMacieFullAccesskebijakan. Tindakan ini memungkinkan prinsipal untuk mengambil data harga untuk akun mereka. Macie menggunakan data ini untuk menghitung dan menampilkan perkiraan biaya ketika prinsipal membuat dan mengkonfigurasi pekerjaan penemuan data sensitif.

Macie juga menghapus Amazon Macie Classic (macie) tindakan dariAmazonMacieFullAccesskebijakan.

7 Maret 2022

AmazonMacieServiceRolePolicy- Memperbarui kebijakan yang ada

Macie menambahkan AmazonCloudWatchLog tindakan keAmazonMacieServiceRolePolicykebijakan. Tindakan ini memungkinkan Macie untuk mempublikasikan peristiwa logCloudWatchLog untuk pekerjaan penemuan data sensitif.

13 April, 2021

Macie mulai melacak perubahan

Macie mulai melacak perubahan untuk kebijakan terkelola AWS.

13 April, 2021