Permitindo que o Amazon Macie acesse buckets e objetos do S3 - Amazon Macie

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permitindo que o Amazon Macie acesse buckets e objetos do S3

Quando você habilita o Amazon Macie para você Conta da AWS, o Macie cria uma função vinculada ao serviço que concede ao Macie as permissões necessárias para chamar o Amazon Simple Storage Service (Amazon S3) e outros serviços em seu nome. Serviços da AWS Uma função vinculada ao serviço simplifica o processo de configuração de uma AWS service (Serviço da AWS) porque você não precisa adicionar permissões manualmente para que o serviço conclua ações em seu nome. Para saber mais sobre esse tipo de função, consulte as IAMfunções no Guia AWS Identity and Access Management do usuário.

A política de permissões para o perfil vinculado a serviços do Macie (AWSServiceRoleForAmazonMacie) permite que o Macie execute ações que incluem recuperar informações sobre buckets e objetos do S3 e recuperar objetos de buckets. Se você for o administrador do Macie de uma organização, a política também permite que o Macie execute essas ações em seu nome para contas-membro em sua organização.

O Macie usa essas permissões para executar tarefas como:

  • Gere e mantenha um inventário de seus buckets de uso geral do S3.

  • Forneça dados estatísticos e outros dados sobre os compartimentos e objetos nos compartimentos.

  • Monitore e avalie os buckets para segurança e controle de acesso.

  • Analise objetos nos buckets para detectar dados confidenciais.

Na maioria dos casos, o Macie tem as permissões necessárias para realizar essas tarefas. No entanto, se um bucket do S3 tiver uma política restritiva de bucket, a política poderá impedir que o Macie execute algumas ou todas essas tarefas.

Uma política de bucket é uma política baseada em recursos AWS Identity and Access Management (IAM) que especifica quais ações um principal (usuário, conta, serviço ou outra entidade) pode realizar em um bucket do S3 e as condições sob as quais um principal pode realizar essas ações. As ações e condições podem ser aplicadas a operações em nível de bucket, como a recuperação de informações sobre um bucket, e a operações em nível de objeto, como a recuperação de objetos de um bucket.

Geralmente, as políticas de bucket concedem ou restringem o acesso usando instruções e condições explícitas Allow ou Deny. Por exemplo, uma política de bucket pode conter uma Deny declaração Allow or que nega acesso ao bucket, a menos que endereços IP de origem específicos, endpoints da Amazon Virtual Private Cloud (AmazonVPC) ou VPCs sejam usados para acessar o bucket. Para obter informações sobre o uso de políticas de bucket para conceder ou restringir o acesso a buckets, consulte Políticas de bucket para o Amazon S3 e Como o Amazon S3 autoriza uma solicitação no Guia do usuário do Amazon Simple Storage Service.

Se uma política de bucket usa uma instrução Allow explícita, a política não impede que o Macie recupere informações sobre o bucket e os objetos do bucket, nem que ele recupere objetos do bucket. Isso ocorre porque as instruções Allow na política de permissões para o perfil vinculado a serviços do Macie concedem essas permissões.

No entanto, se uma política de bucket usa uma instrução Deny explícita com uma ou mais condições, talvez o Macie não tenha permissão para recuperar informações sobre o bucket ou os objetos do bucket, nem de recuperar os objetos do bucket. Por exemplo, se uma política de bucket negar explicitamente o acesso de todas as fontes, salvo de um endereço IP específico, o Macie não poderá analisar os objetos do bucket quando você executar um trabalho de descoberta de dados confidenciais. Isso ocorre porque as políticas de bucket restritivas têm precedência sobre as instruções Allow na política de permissões para o perfil vinculado a serviços do Macie.

Para permitir que o Macie acesse um bucket do S3 que tenha uma política restritiva de bucket, você pode adicionar uma condição para o perfil vinculado a serviços do Macie (AWSServiceRoleForAmazonMacie) à política do bucket. A condição pode impedir que o perfil vinculado a serviços do Macie corresponda à restrição Deny na política. Ele pode fazer isso usando a chave de contexto de condição aws:PrincipalArn global e o Amazon Resource Name (ARN) da função vinculada ao serviço Macie.

O procedimento a seguir orientará você durante esse processo e fornecerá um exemplo.

Para adicionar o perfil vinculado a serviços do Macie a uma política de bucket
  1. Faça login no AWS Management Console e abra o console do Amazon S3 em. https://console.aws.amazon.com/s3/

  2. No painel de navegação, escolha Buckets.

  3. Selecione o bucket do S3 que você deseja que o Macie acesse.

  4. Na guia Permissions (Permissões), escolha Bucket policy (Política de bucket), Edit (Editar).

  5. No editor Políticas do Bucket, identifique cada instrução Deny que restringe o acesso e impede que o Macie acesse o bucket ou os objetos do bucket.

  6. Em cada Deny declaração, adicione uma condição que use a chave de contexto de condição aws:PrincipalArn global e especifique a função vinculada ao serviço ARN do Macie para sua. Conta da AWS

    O valor da chave de condição deve serarn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie, onde 123456789012 é o ID da conta do seu Conta da AWS.

Onde você adiciona isso a uma política de bucket depende da estrutura, dos elementos e das condições que a política contém atualmente. Para saber mais sobre estruturas e elementos compatíveis, consulte Políticas e permissões no Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Veja a seguir um exemplo de uma política de bucket que usa uma Deny declaração explícita para restringir o acesso a um bucket do S3 chamado. amzn-s3-demo-bucket Com a política atual, o bucket só pode ser acessado a partir do VPC endpoint cujo ID évpce-1a2b3c4d. O acesso de todos os outros VPC endpoints é negado, incluindo o acesso do AWS Management Console e do Macie.

{ "Version": "2012-10-17", "Id": "Policy1415115example", "Statement": [ { "Sid": "Access only from specific VPCE", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }

Para alterar essa política e permitir que o Macie acesse o bucket do S3 e os objetos do bucket, podemos adicionar uma condição que usa o operador de condição StringNotLike e a chave de contexto de condição global aws:PrincipalArn. Essa condição adicional impede que o perfil vinculado a serviços do Macie corresponda à restrição Deny.

{ "Version": "2012-10-17", "Id":" Policy1415115example ", "Statement": [ { "Sid": "Access only from specific VPCE and Macie", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" }, "StringNotLike": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie" } } } ] }

No exemplo anterior, o operador de StringNotLike condição usa a chave de contexto de aws:PrincipalArn condição para especificar a função vinculada ao serviço ARN do Macie, em que:

  • 123456789012é o ID da conta para Conta da AWS quem tem permissão para usar o Macie para recuperar informações sobre o bucket e os objetos do bucket e recuperar objetos do bucket.

  • macie.amazonaws.com é o identificador da entidade principal de serviço do Macie.

  • AWSServiceRoleForAmazonMacie é o nome do perfil vinculado a serviços do Macie.

Usamos o operador StringNotLike porque a política já usa um operador StringNotEquals. Uma política só pode usar o operador StringNotEquals uma vez.

Para obter exemplos de políticas adicionais e informações detalhadas sobre o gerenciamento do acesso aos recursos do Amazon S3, consulte Gerenciamento de acesso no Guia do usuário do Amazon Simple Storage Service.