Consentire ad Amazon Macie di accedere a bucket e oggetti S3 - Amazon Macie

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consentire ad Amazon Macie di accedere a bucket e oggetti S3

Quando abiliti Amazon Macie for your Account AWS, Macie crea un ruolo collegato al servizio che concede a Macie le autorizzazioni necessarie per chiamare Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) e altro per tuo conto. Servizi AWS Un ruolo collegato al servizio semplifica il processo di configurazione di un ruolo Servizio AWS perché non è necessario aggiungere manualmente le autorizzazioni affinché il servizio completi le azioni per tuo conto. Per ulteriori informazioni su questo tipo di ruolo, consulta Using service-linked roles nella Guida per l'utente.AWS Identity and Access Management

La politica di autorizzazione per il ruolo collegato al servizio Macie (AWSServiceRoleForAmazonMacie) consente a Macie di eseguire azioni che includono il recupero di informazioni sui bucket e sugli oggetti S3 e il recupero di oggetti dai bucket. Se sei l'amministratore Macie di un'organizzazione, la policy consente inoltre a Macie di eseguire queste azioni per tuo conto per gli account dei membri dell'organizzazione.

Macie utilizza queste autorizzazioni per eseguire attività come:

  • Genera e gestisci un inventario dei tuoi bucket S3 per uso generico

  • Fornisci dati statistici e di altro tipo sui bucket e sugli oggetti in essi contenuti

  • Monitora e valuta i bucket per la sicurezza e il controllo degli accessi

  • Analizza gli oggetti nei bucket per rilevare dati sensibili

Nella maggior parte dei casi, Macie dispone delle autorizzazioni necessarie per eseguire queste attività. Tuttavia, se un bucket S3 ha una politica restrittiva sui bucket, la politica potrebbe impedire a Macie di eseguire alcune o tutte queste attività.

Una bucket policy è una policy basata sulle risorse AWS Identity and Access Management (IAM) che specifica quali azioni un principale (utente, account, servizio o altra entità) può eseguire su un bucket S3 e le condizioni in base alle quali un principale può eseguire tali azioni. Le azioni e le condizioni possono essere applicate a operazioni a livello di bucket, come il recupero di informazioni su un bucket, e a operazioni a livello di oggetto, come il recupero di oggetti da un bucket.

Le politiche del bucket in genere concedono o limitano l'accesso utilizzando dichiarazioni e condizioni esplicite o. Allow Deny Ad esempio, una policy del bucket potrebbe contenere un'Denyistruzione Allow o che nega l'accesso al bucket a meno che non vengano utilizzati indirizzi IP di origine specifici, endpoint Amazon Virtual Private Cloud (Amazon VPC) o VPC per accedere al bucket. Per informazioni sull'utilizzo delle policy dei bucket per concedere o limitare l'accesso ai bucket, consulta Politiche e politiche utente di Bucket e Come Amazon S3 autorizza una richiesta nella Guida per l'utente di Amazon Simple Storage Service.

Se una policy bucket utilizza un'Allowistruzione esplicita, la policy non impedisce a Macie di recuperare informazioni sul bucket e sugli oggetti del bucket o di recuperare oggetti dal bucket. Questo perché le Allow istruzioni contenute nella politica delle autorizzazioni per il ruolo collegato al servizio Macie concedono queste autorizzazioni.

Tuttavia, se una policy sui bucket utilizza un'Denyistruzione esplicita con una o più condizioni, a Macie potrebbe non essere consentito recuperare informazioni sul bucket o sugli oggetti del bucket o recuperare gli oggetti del bucket. Ad esempio, se una policy bucket nega esplicitamente l'accesso da tutte le fonti tranne un indirizzo IP specifico, a Macie non sarà consentito analizzare gli oggetti del bucket quando si esegue un processo di rilevamento di dati sensibili. Questo perché le policy restrittive relative ai bucket hanno la precedenza sulle Allow dichiarazioni contenute nella politica di autorizzazione per il ruolo Macie collegato al servizio.

Per consentire a Macie di accedere a un bucket S3 con una politica restrittiva sui bucket, puoi aggiungere una condizione per il ruolo collegato al servizio Macie () alla policy del bucket. AWSServiceRoleForAmazonMacie La condizione può escludere che il ruolo collegato al servizio Macie corrisponda alla restrizione della policy. Deny Può farlo utilizzando la chiave di contesto della condizione aws:PrincipalArn globale e l'Amazon Resource Name (ARN) del ruolo collegato al servizio Macie.

La procedura seguente guida l'utente attraverso questo processo e fornisce un esempio.

Per aggiungere il ruolo collegato al servizio Macie a una policy bucket

  1. Accedi AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel pannello di navigazione, scegli Bucket.

  3. Scegli il bucket S3 a cui desideri consentire l'accesso a Macie.

  4. Nella sezione Autorizzazioni, alla voce Policy del bucket, scegliere Modifica.

  5. Nell'editor delle policy di Bucket, identifica ogni Deny istruzione che limita l'accesso e impedisce a Macie di accedere al bucket o agli oggetti del bucket.

  6. In ogni Deny istruzione, aggiungi una condizione che utilizzi la chiave di contesto della condizione aws:PrincipalArn globale e specifichi l'ARN del ruolo collegato al servizio Macie per il tuo. Account AWS

    Il valore per la chiave di condizione dovrebbe esserearn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie, dove 123456789012 è l'ID dell'account per il tuo. Account AWS

La posizione in cui viene aggiunta a una policy bucket dipende dalla struttura, dagli elementi e dalle condizioni attualmente contenuti nella policy. Per informazioni sulle strutture e gli elementi supportati, consulta Policies and permissions in Amazon S3 nella Amazon Simple Storage Service User Guide.

Di seguito è riportato un esempio di policy sui bucket che utilizza un'Denyistruzione esplicita per limitare l'accesso a un bucket S3 denominato DOC-EXAMPLE-BUCKET. Con la politica attuale, è possibile accedere al bucket solo dall'endpoint VPC il cui ID è. vpce-1a2b3c4d L'accesso da tutti gli altri endpoint VPC è negato, incluso l'accesso da Macie e da Macie. AWS Management Console 

{
   "Version": "2012-10-17",
   "Id": "Policy1415115example",
   "Statement": [
      {
         "Sid": "Access from specific VPCE only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

Per modificare questa politica e consentire a Macie di accedere al bucket S3 e agli oggetti del bucket, possiamo aggiungere una condizione che utilizza l'operatore condition e la chiave global StringNotLike condition context. aws:PrincipalArn Questa condizione aggiuntiva esclude che il ruolo collegato al servizio Macie corrisponda alla restrizione. Deny

{
   "Version": "2012-10-17",
   "Id":" Policy1415115example ",
   "Statement": [
      {
         "Sid": "Access from specific VPCE and Macie only",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            },
            "StringNotLike": {
               "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
            }
         }
      }
   ]
}

Nell'esempio precedente, l'operatore StringNotLike condition utilizza la chiave aws:PrincipalArn condition context per specificare l'ARN del ruolo collegato al servizio Macie, dove:

  • 123456789012è l'ID dell'account Account AWS che è autorizzato a utilizzare Macie per recuperare informazioni sul bucket e sugli oggetti del bucket e recuperare oggetti dal bucket.

  • macie.amazonaws.comè l'identificatore del principale servizio Macie.

  • AWSServiceRoleForAmazonMacieè il nome del ruolo collegato al servizio Macie.

Abbiamo utilizzato l'StringNotLikeoperatore perché la politica utilizza già un operatore. StringNotEquals Una politica può utilizzare l'StringNotEqualsoperatore una sola volta.

Per ulteriori esempi di policy e informazioni dettagliate sulla gestione dell'accesso alle risorse di Amazon S3, consulta Gestione delle identità e degli accessi in Amazon S3 nella Amazon Simple Storage Service User Guide.