Amazon Macie の ID ベースのポリシー例 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の ID ベースのポリシー例

デフォルトでは、ユーザーおよびロールには Macie リソースを作成または変更するアクセス許可はありません。また、AWS Management Console、AWS Command Line Interface (AWS CLI)、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、リソースで必要なアクションを実行するための許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。次に、管理者はこれらのポリシーを必要とするユーザーに、ポリシーをアタッチする必要があります。

これらサンプルの JSON ポリシードキュメントを使用して、IAM アイデンティティベースのポリシーを作成する方法については、IAM ユーザーガイドの「IAM ポリシーの作成」を参照してください。

ポリシーを作成するときは、次のセキュリティ警告、エラー、一般的な警告、一般的な警告、および提案を解決してください。AWS Identity and Access Management Access Analyzer(IAM Access Analyzer) ポリシーを保存する前に。IAM Access Analyzer は、IAM に対してポリシーチェックを行います。ポリシーの文法そしてベストプラクティス。これらのチェックにより、機能的でセキュリティのベストプラクティスに準拠したポリシーを作成するのに、役立つ結果と実行可能なレコメンデーションが示されます。IAM Access Analyzer を使用してポリシーを検証する方法については、「」を参照してください。IAM Access Analyzer ポリシーの検証IAM ユーザーガイド。IAM Access Analyzer によって返される警告、エラー、および提案のリストを確認するには、「」を参照してください。IAM Access Analyzer ポリシーチェックリファレンスIAM ユーザーガイド

ポリシーのベストプラクティス

ID ベースのポリシーにより、アカウント内で Macie リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションを実行すると、AWS アカウント に追加料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください。

  • の開始方法AWSポリシーを管理し、最小特権のアクセス許可への移行— ユーザーやワークロードへのアクセス許可の付与を開始するには、AWSマネージドポリシー多くの一般的ユースケースでアクセス許可を付与します。これらは AWS アカウント で使用できます。定義して、アクセス許可をさらに減らすことをお勧めします。AWSユースケースに固有のカスタマー管理ポリシー。詳細については、次を参照してください。AWSマネージドポリシーまたはAWS職務機能の 管理ポリシーIAM ユーザーガイド

  • 最小特権アクセス許可を適用する— IAM ポリシーでアクセス許可を設定するときは、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法については、「」を参照してください。IAM でのポリシーとアクセス許可IAM ユーザーガイド

  • IAM ポリシーで条件を指定して、アクセスをさらに制限する— ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定することができます。また、条件を使用してサービスアクションへのアクセスを許可することもできます。サービスアクションが特定のAWS のサービスまたはAWS CloudFormation。詳細については、次を参照してください。IAM JSON ポリシー要素: ConditionIAM ユーザーガイド

  • IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を確保する— IAM Access Analyzer は、ポリシーが IAM ポリシー言語 (JSON) と IAM のベストプラクティスに準拠するように、新規および既存のポリシーを検証します。IAM Access Analyzer は 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーを作成できるようサポートします。詳細については、次を参照してください。IAM Access Analyzer ポリシーの検証IAM ユーザーガイド

  • 多要素認証 (MFA) が必要です— アカウントに IAM ユーザーまたはルートユーザーが必要なシナリオがある場合は、セキュリティを強化するために MFA をオンにします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、次を参照してください。MFA 保護 API アクセスの設定IAM ユーザーガイド

IAM のベストプラクティスの詳細については、「」を参照してください。IAM でのセキュリティのベストプラクティスIAM ユーザーガイド

Amazon Macie コンソールを使用する

Amazon Macie コンソールにアクセスするには、許可の最小限のセットが必要です。これらのアクセス許可により、ユーザーの Macie リソースの一覧と詳細を表示できます。AWS アカウント。最低限必要な許可よりも許可の厳しいアイデンティティベースのポリシーを作成すると、コンソールは、そのポリシーを持つエンティティ (IAMユーザーまたはロール) に対して意図されたとおりに機能しなくなります。

AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。

IAM ユーザーとロールが Amazon Macie コンソールを使用できるようにするには、コンソールアクセスを提供します。コンソールアクセス権限を持つユーザーの作成については、「」を参照してください。で IAM ユーザーを作成するAWS アカウントIAM ユーザーガイド

IAM ユーザーまたはロールに Amazon Macie コンソールの使用を許可するポリシーを作成する場合は、ポリシーに適切なmacie2:Listこれらのユーザーまたはロールがコンソールでアクセスする必要のあるリソースのアクション。そうしないと、コンソールでそれらのリソースに移動したり、そのリソースに関する詳細を表示したりできなくなります。

たとえば、コンソールを使用して機密データの検出ジョブの詳細を確認するには、ユーザーがmacie2:DescribeClassificationJob仕事のためのアクションそしてそのmacie2:ListClassificationJobsaction. ユーザーが実行を許可されていない場合macie2:ListClassificationJobsアクションを実行すると、ユーザーはジョブのリストを表示できなくなりますジョブページにあるため、詳細を表示するジョブを選択することはできません。ジョブが使用するカスタムデータ識別子に関する情報を詳細に含めるには、ユーザがmacie2:BatchGetCustomDataIdentifiersカスタムデータ識別子のアクション。

例: ユーザー自身のアクセス許可を確認することをユーザーに許可する

この例では、ユーザーアイデンティティに添付されたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

例: 機密データ検出ジョブを作成することをユーザーに許可する

この例では、IAM ユーザーが機密データ検出ジョブを作成できるようにポリシーを作成する方法を示します。

この例では、最初のステートメントが grantsmacie2:CreateClassificationJobユーザーへのアクセス権限です。これらの権限により、ユーザーはジョブを作成できます。この声明はまた、macie2:DescribeClassificationJobアクセス許可。これらの権限により、ユーザーは既存のジョブの詳細にアクセスできます。これらの権限はジョブの作成に必要ではありませんが、これらの詳細へのアクセスは、ユーザーが一意の構成設定を持つジョブを作成するのに役立ちます。

この例の 2 番目のステートメントでは、ユーザーが Amazon Macie コンソールを使用してジョブを作成、設定、および確認できるようにします。-macie2:ListClassificationJobs権限により、ユーザーは既存のジョブをジョブコンソールのページ。ステートメントのその他すべてのパーミッションでは、ユーザはジョブの作成コンソール上のページ。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAndReviewJobs", "Effect": "Allow", "Action": [ "macie2:CreateClassificationJob", "macie2:DescribeClassificationJob" ], "Resource": "arn:aws:macie2:*:*:classification-job/*" }, { "Sid": "CreateAndReviewJobsOnConsole", "Effect": "Allow", "Action": [ "macie2:ListClassificationJobs", "macie2:ListCustomDataIdentifiers", "macie2:ListManagedDataIdentifiers", "macie2:SearchResources", "macie2:DescribeBuckets" ], "Resource": "*" } ] }

例: ユーザーが機密データ検出ジョブを管理することを許可する

この例では、IAM ユーザーが特定の機密データ検出ジョブの詳細にアクセスすることを許可するポリシーを作成する方法を示します。ID は3ce05dbb7ec5505def334104bexample。この例では、必要に応じてジョブのステータスを変更することもできます。

例の最初のステートメントは、付与しますmacie2:DescribeClassificationJobそしてmacie2:UpdateClassificationJobユーザーへのアクセス権限です。これらの権限により、ユーザーはそれぞれジョブの詳細を取得し、ジョブのステータスを変更できます。2 番目のステートメントは、macie2:ListClassificationJobsユーザーへの権限。これにより、ユーザーはジョブページを Amazon Macie コンソールに表示します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageOneJob", "Effect": "Allow", "Action": [ "macie2:DescribeClassificationJob", "macie2:UpdateClassificationJob" ], "Resource": "arn:aws:macie2:*:*:classification-job/3ce05dbb7ec5505def334104bexample" }, { "Sid": "ListJobsOnConsole", "Effect": "Allow", "Action": "macie2:ListClassificationJobs", "Resource": "*" } ] }

また、ユーザーにログデータ (イベントを記録する) Macie が Amazon に発行するもの CloudWatch ジョブのログ。これを行うには、実行するアクセス許可を付与するステートメントを追加できます。 CloudWatch ログ (logs) ジョブのロググループとストリームに対するアクション。例:

"Statement": [ { "Sid": "AccessLogGroupForMacieJobs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:aws/macie/classificationjobs" }, { "Sid": "AccessLogEventsForOneMacieJob", "Effect": "Allow", "Action": "logs:GetLogEvents", "Resource": [ "arn:aws:logs:*:*:log-group:aws/macie/classificationjobs/*", "arn:aws:logs:*:*:log-group:aws/macie/classificationjobs:log-stream:3ce05dbb7ec5505def334104bexample" ] } ]

へのアクセスを管理する方法については、 CloudWatch ログ、「」を参照してくださいへのアクセス権限の管理の概要 CloudWatch リソースのログ記録アマゾン CloudWatch ログユーザーガイド

例: ユーザに調査結果のレビューを許可する

この例では、Amazon Macie API または Amazon Macie コンソールを使用して IAM ユーザーが調査結果データへのアクセスを許可するポリシーを作成する方法を示します。

この例では、macie2:GetFindingsそしてmacie2:GetFindingStatistics権限により、ユーザーはデータを取得できます。-macie2:ListFindingsアクセス許可により、ユーザーは概要ダッシュボードと結果Amazon Macie コンソールの [] ページを表示します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReviewFindings", "Effect": "Allow", "Action": [ "macie2:GetFindings", "macie2:GetFindingStatistics", "macie2:ListFindings" ], "Resource": "*" } ] }

また、検出結果のフィルタおよび抑制規則の作成と管理をユーザーに許可することもできます。これを行うには、次のアクセス許可を付与するステートメントを含めることができます。macie2:CreateFindingsFilter,macie2:GetFindingsFilter,macie2:UpdateFindingsFilter, およびmacie2:DeleteFindingsFilter。ユーザーが Amazon Macie コンソールを使用してルールを管理できるようにするには、以下も含めます。macie2:ListFindingsFiltersポリシー内の権限。例:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReviewFindings", "Effect": "Allow", "Action": [ "macie2:GetFindings", "macie2:GetFindingStatistics", "macie2:ListFindings" ], "Resource": "*" }, { "Sid": "ManageRules", "Effect": "Allow", "Action": [ "macie2:GetFindingsFilter", "macie2:UpdateFindingsFilter", "macie2:CreateFindingsFilter", "macie2:DeleteFindingsFilter" ], "Resource": "arn:aws:macie2:*:*:findings-filter/*" }, { "Sid": "ListRulesOnConsole", "Effect": "Allow", "Action": "macie2:ListFindingsFilters", "Resource": "*" } ] }

例: ユーザーがタグに基づいてカスタムデータ識別子を確認できるようにする

アイデンティティベースのポリシーでは、条件を使用して Amazon Macie リソースへのアクセスをタグに基づいて制御できます。この例では、ユーザーが Amazon Macie コンソールまたは Amazon Macie API を使用してカスタムデータ識別子を確認できるようにポリシーを作成する方法を示します。ただし、アクセス許可が付与されるのは、Ownerタグはユーザーの名前です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReviewCustomDataIdentifiersIfOwner", "Effect": "Allow", "Action": "macie2:GetCustomDataIdentifier", "Resource": "arn:aws:macie2:*:*:custom-data-identifier/*", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } }, { "Sid": "ListCustomDataIdentifiersOnConsoleIfOwner", "Effect": "Allow", "Action": "macie2:ListCustomDataIdentifiers", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }

このポリシーをアカウントの IAM ユーザーにアタッチできます。というユーザーがrichard-roeカスタムデータ識別子の詳細を確認しようとする場合、カスタムデータ識別子はタグ付けされている必要がありますOwner=richard-roeまたはowner=richard-roe。それ以外の場合、ユーザーはアクセスを拒否されます。コンディションタグキーOwner両方に一致Ownerそしてowner条件キー名は大文字小文字を区別しないためです。詳細については、次を参照してください。IAM JSON ポリシー要素: ConditionIAM ユーザーガイド