Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 - Amazon Macie

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용

Amazon Macie를 활성화하면 Macie는 사용자를 대신하여 AWS 계정 Amazon Simple Storage Service (Amazon S3) 및 기타 서비스를 호출하는 데 필요한 권한을 Macie에게 부여하는 서비스 연결 역할을 생성합니다. AWS 서비스 서비스 연결 역할을 사용하면 사용자 대신 작업을 완료하기 위해 서비스에 권한을 수동으로 추가할 필요가 AWS 서비스 없으므로 설정 프로세스가 간소화됩니다. 이러한 유형의 역할에 대해 알아보려면 사용 설명서의 IAM AWS Identity and Access Management 역할을 참조하십시오.

Macie 서비스 연결 역할(AWSServiceRoleForAmazonMacie)에 대한 권한 정책을 통해 Macie는 S3 버킷 및 객체에 대한 정보 검색, 버킷의 객체 검색 등의 작업을 수행할 수 있습니다. 조직의 Macie 관리자인 경우, 정책에 따라 Macie가 조직 내 멤버 계정에 대해 사용자를 대신하여 이러한 작업을 수행할 수도 있습니다.

Macie는 이러한 권한을 사용하여 다음과 같은 태스크를 수행합니다.

  • S3 범용 버킷의 인벤토리를 생성하고 유지 관리합니다.

  • 버킷의 버킷과 객체에 대한 통계 및 기타 데이터를 제공하십시오.

  • 보안 및 액세스 제어를 위해 버킷을 모니터링하고 평가합니다.

  • 버킷의 객체를 분석하여 민감한 데이터를 탐지합니다.

대부분의 경우, Macie는 이러한 태스크를 수행하는 데 필요한 권한을 가지고 있습니다. 그러나 S3 버킷에 제한적인 버킷 정책이 있는 경우, 정책으로 인해 Macie가 이러한 태스크의 일부 또는 전부를 수행하지 못할 수 있습니다.

버킷 정책은 보안 주체 AWS Identity and Access Management (사용자, 계정, 서비스 또는 기타 엔티티IAM) 가 S3 버킷에서 수행할 수 있는 작업과 보안 주체가 해당 작업을 수행할 수 있는 조건을 지정하는 리소스 기반 () 정책입니다. 작업 및 조건은 버킷 수준 작업(예: 버킷 정보 검색)과 객체 수준 작업(예: 버킷에서 객체 검색)에 적용될 수 있습니다.

버킷 정책은 일반적으로 명시적 Allow 또는 Deny 명령문 및 조건을 사용하여 액세스를 허용하거나 제한합니다. 예를 들어 버킷 정책에는 특정 소스 IP 주소, Amazon Virtual Private Cloud (AmazonVPC) 엔드포인트 Allow 또는 버킷 액세스에 사용되지 않는 한 버킷 액세스를 거부하는 or Deny VPCs 문이 포함될 수 있습니다. 버킷 정책을 사용하여 버킷에 대한 액세스를 허용하거나 제한하는 방법에 대한 자세한 내용은 Amazon Simple Storage 서비스 사용 설명서의 Amazon S3의 버킷 정책및 Amazon S3가 요청을 승인하는 방법을 참조하십시오.

버킷 정책에서 명시적인 Allow 명령문을 사용하는 경우, 정책은 Macie가 버킷과 버킷의 객체에 대한 정보를 검색하거나 버킷에서 객체를 검색하는 것을 막지 않습니다. 이는 Macie 서비스 연결 역할에 대한 권한 정책의 Allow 명령문이 이러한 권한을 부여하기 때문입니다.

그러나 버킷 정책에서 하나 이상의 조건이 포함된 명시적 Deny 명령문을 사용하는 경우, Macie는 버킷 또는 버킷의 객체에 대한 정보를 검색하거나 버킷의 객체를 검색하지 못할 수 있습니다. 예를 들어 버킷 정책에서 특정 IP 주소를 제외한 모든 소스에서의 액세스를 명시적으로 거부하는 경우, 민감한 데이터 검색 작업을 실행할 때 Macie는 버킷의 객체를 분석할 수 없습니다. 이는 제한적 버킷 정책이 Macie 서비스 연결 역할에 대한 권한 정책의 Allow 명령문보다 우선하기 때문입니다.

Macie가 제한적인 버킷 정책이 있는 S3 버킷에 액세스할 수 있도록 하기 위해 Macie 서비스 연결 역할(AWSServiceRoleForAmazonMacie)에 대한 조건을 버킷 정책에 추가할 수 있습니다. 이 조건은 Macie 서비스 연결 역할이 정책의 Deny 제한과 일치하지 않도록 제외할 수 있습니다. aws:PrincipalArn글로벌 조건 컨텍스트 키와 Macie 서비스 연결 역할의 Amazon 리소스 이름 (ARN) 을 사용하여 이 작업을 수행할 수 있습니다.

다음 절차는 이 프로세스를 안내하고 예제를 제공합니다.

Macie 서비스 연결 역할을 버킷 정책에 추가하려면

  1. 에서 Amazon S3 콘솔에 AWS Management Console 로그인하고 엽니다 https://console.aws.amazon.com/s3/.

  2. 탐색 창에서 버킷을 선택합니다.

  3. Macie의 액세스를 허용할 S3 버킷을 선택합니다.

  4. 권한(Permissions) 탭의 버킷 정책(Bucket policy)에서 편집(Edit)을 선택합니다.

  5. 버킷 정책 편집기에서 액세스를 제한하고 Macie가 버킷 또는 버킷의 객체에 액세스하는 것을 막는 각 Deny 명령문을 식별합니다.

  6. Deny 명령문에 aws:PrincipalArn 글로벌 조건 컨텍스트 키를 사용하고 사용자의 Macie 서비스 연결 역할을 지정하는 조건을 추가하십시오. ARN AWS 계정

    조건 키의 값은 다음과 같아야 합니다. arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie 123456789012 는 사용자의 계정 AWS 계정 ID입니다.

이를 버킷 정책에 추가하는 위치는 정책에 현재 포함되어 있는 구조, 요소 및 조건에 따라 달라집니다. 지원되는 구조 및 요소에 대해 알아보려면 Amazon Simple Storage Service 사용 설명서Amazon S3의 정책 및 권한 섹션을 참조하세요.

다음은 명시적 Deny 설명을 사용하여 이름이 지정된 amzn-s3-demo-bucket S3 버킷에 대한 액세스를 제한하는 버킷 정책의 예입니다. 현재 정책에서는 ID가 vpce-1a2b3c4d 인 VPC 엔드포인트에서만 버킷에 액세스할 수 있습니다. AWS Management Console 및 Macie에서의 액세스를 포함하여 다른 모든 VPC 엔드포인트에서의 액세스는 거부됩니다.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115example",
   "Statement": [
      {
         "Sid": "Access only from specific VPCE",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

이 정책을 변경하고 Macie가 S3 버킷과 버킷의 객체에 액세스할 수 있도록 하기 위해 StringNotLike 조건 연산자aws:PrincipalArn 전역 조건 컨텍스트 키를 사용하는 조건을 추가할 수 있습니다. 이 추가 조건은 Macie 서비스 연결 역할이 Deny 제한과 일치하지 않도록 제외합니다.

{
   "Version": "2012-10-17",
   "Id":" Policy1415115example ",
   "Statement": [
      {
         "Sid": "Access only from specific VPCE and Macie",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            },
            "StringNotLike": {
               "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
            }
         }
      }
   ]
}

위 예제에서 StringNotLike 조건 연산자는 aws:PrincipalArn 조건 컨텍스트 키를 사용하여 Macie 서비스 연결 역할을 지정합니다. 여기서 다음과 같습니다. ARN

  • 123456789012Macie를 사용하여 버킷과 버킷의 객체에 대한 정보를 검색하고 버킷에서 객체를 검색할 수 AWS 계정 있는 계정 ID입니다.

  • macie.amazonaws.com은(는) Macie 서비스 주체의 식별자입니다.

  • AWSServiceRoleForAmazonMacie은(는) Macie 서비스 연결 역할의 이름입니다.

정책에서 이미 StringNotLike 연산자를 사용하고 있기 때문에 StringNotEquals 연산자를 사용했습니다. 정책에서는 StringNotEquals 연산자를 한 번만 사용할 수 있습니다.

Amazon S3 리소스에 대한 액세스 관리에 대한 추가 정책 예제와 자세한 정보는 Amazon 심플 스토리지 서비스 사용 설명서의 액세스 관리를 참조하십시오.