Amazon Macie Classic에 대한 액세스 제어 - Amazon Macie Classic

이 문서는 Amazon Macie Classic에 대한 사용 설명서입니다. 새로운 Amazon Macie에 대한 자세한 내용은 Amazon Macie 사용 설명서를 참조하십시오. Macie Classic 콘솔에 액세스하려면 https://console.aws.amazon.com/macie/에서 Macie 콘솔을 열고 탐색 창에서 Macie Classic을 선택합니다.

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon Macie Classic에 대한 액세스 제어

AWS는 보안 자격 증명을 사용하여 사용자를 식별하고 AWS 리소스에 대한 액세스 권한을 부여합니다. AWS Identity and Access Management(IAM) 의 기능을 사용하면 다른 사용자, 서비스 및 애플리케이션이 AWS 리소스를 완전히 또는 제한된 방식으로 사용할 수 있습니다. 이를 위해 보안 자격 증명을 공유하지 않아도 됩니다.

기본값으로 IAM 사용자는 AWS 리소스를 생성, 확인 또는 수정할 수 있는 권한이 없습니다. IAM 사용자가 로드 밸런서와 같은 리소스에 액세스하여 작업을 수행하도록 허용하려면 다음을 수행하십시오.

  1. IAM 사용자에게 특정 리소스와 API 작업을 사용할 권한을 부여하는 IAM 정책을 생성합니다.

  2. 정책을 IAM 사용자 또는 IAM 사용자가 속한 그룹에 연결합니다.

사용자 또는 사용자 그룹에 정책을 연결하면 지정된 리소스에 대해 지정된 작업을 수행할 권한이 허용되거나 거부됩니다.

예를 들어 IAM을 사용하여 AWS 계정 아래에 사용자 및 그룹을 생성할 수 있습니다. IAM 사용자는 사용자, 시스템 또는 애플리케이션입니다. 그런 다음 정책을 사용하여 지정된 리소스에 대한 특정 작업을 수행할 수 있도록 사용자 및 그룹에 권한을 부여합니다.

자세한 내용은 IAM 사용 설명서 단원을 참조하십시오.

Macie Classic에 관리자 액세스 권한 부여

마스터 계정 사용자는 Macie Classic 콘솔에 액세스한 후 Macie Classic를 구성하여 마스터와 멤버 계정에서 리소스를 모니터링하고 보호하도록 할 수 있습니다. 마스터 및 멤버 계정에 대한 자세한 내용은 개념 및 용어Amazon Macie Classic에서 멤버 계정 및 Amazon S3 통합 단원을 참조하십시오.

마스터 계정 사용자가 Macie Classic 콘솔을 사용하려면 필요한 권한을 부여받아야 합니다. 이렇게 하려면 다음 정책 문서를 사용하여 IAM 정책을 만든 후 마스터 Macie Classic 계정에 속하는 사용자 자격 증명 유형에 연결할 수 있습니다. 이 정책은 Macie Classic 콘솔의 전체 기능을 사용할 수 있는 마스터 계정 사용자 권한을 부여합니다.

{ "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Resource": "*", "Action":[ "macie:*" ] }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "macie.amazonaws.com" } } } ] }

Macie Classic에 읽기 전용 액세스 권한 부여

사용자가 Macie Classic 콘솔의 모든 데이터를 보려면 필요한 권한을 부여받아야 합니다. 읽기 전용 액세스 권한을 부여하려면 다음 정책 문서를 사용하여 사용자 지정 정책을 만들고 이를 IAM 사용자, 그룹 또는 역할에 연결하면 됩니다. 이 정책은 사용자에게 Macie Classic 콘솔의 정보를 볼 권한만 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "macie:Get*", "macie:List*", "macie:Describe*" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

Macie Classic에 대한 미리 정의된 AWS 관리형 정책

AWS가 생성한 관리형 정책은 일반 사용 사례에서 필요한 권한을 부여합니다. Macie Classic에 필요한 액세스를 기반으로 AWS 계정의 IAM 사용자에게 이러한 정책을 연결할 수 있습니다.

  • AmazonMacieFullAccess – Macie Classic에 대한 전체 액세스 권한을 부여합니다.

  • AmazonMacieHandshakeRole – Macie Classic에 대한 서비스 연결 역할을 생성할 수 있는 권한을 부여합니다.

다음은 서비스 연결 역할로 대체된 레거시 정책입니다. 자세한 내용은 Macie Classic의 레거시 역할 단원을 참조하십시오.

  • AmazonMacieServiceRole – 데이터 분석을 활성화하기 위해 계정의 리소스 종속성에 대한 읽기 전용 액세스를 Macie Classic에 부여합니다.

  • AmazonMacieSetupRole – AWS 계정에 대한 액세스 권한을 Macie Classic에 부여합니다.

핸드셰이크 역할 생성

다음과 같이 마스터 계정에서 Macie Classic에 AmazonMacieHandshakeRole 정책의 권한을 부여하는 역할을 생성할 수 있습니다.

IAM 콘솔을 사용하여 AWSMacieServiceCustomerHandshakeRole을 생성하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 Roles(역할)를 선택합니다.

  3. [Create role]을 선택하고 다음 작업을 수행합니다.

    1. 신뢰할 수 있는 유형의 엔터티 선택에서 AWS 서비스를 선택합니다.

    2. 사용 사례 선택에서 EC2를 선택합니다.

    3. Next: Permissions(다음: 권한)를 선택합니다.

  4. 권한 정책 연결 페이지에서 AmazonMacieHandshakeRole 정책의 확인란을 선택하고 다음: 태그를 선택합니다.

  5. (선택 사항) 역할에 태그를 추가한 다음 Next: Review(다음: 검토)를 선택하십시오.

  6. 검토 페이지에서 다음을 수행합니다.

    1. 역할 이름AWSMacieServiceCustomerHandshakeRole을 입력합니다.

    2. 역할 설명에 다음을 입력합니다. 마스터 계정이 멤버 계정에서 서비스 연결 역할을 생성할 수 있도록 허용합니다.

    3. 역할 생성을 선택합니다.

  7. 다음과 같이 신뢰 정책을 편집합니다.

    1. 방금 생성한 AWSMacieServiceCustomerHandshakeRole을 선택합니다.

    2. 신뢰 관계 탭에서 신뢰 관계 편집을 선택합니다.

    3. 다음 신뢰 정책을 입력합니다.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "master-account-id" } } } ] }
    4. Update Trust Policy(신뢰 정책 업데이트)를 선택합니다.

AWS CLI를 사용하여 WSMacieServiceCustomerHandshakeRole을 생성하려면

  1. 다음 트러스트 정책을 생성하고 macie-handshake-trust-policy.json이라는 텍스트 파일로 저장합니다.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "master-account-id" } } } ] }
  2. 역할을 생성하고 이전 단계에서 create-role 명령을 사용하여 생성한 신뢰 정책을 지정합니다.

    aws iam create-role --role-name AWSMacieServiceCustomerHandshakeRole --assume-role-policy-document file://macie-handshake-trust-policy.json
  3. attach-role-policy 명령을 사용하여 AmazonMacieHandshakeRole 정책을 역할에 연결합니다.

    aws iam attach-role-policy --role-name AWSMacieServiceCustomerHandshakeRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonMacieHandshakeRole