Funções vinculadas ao serviço do Amazon Macie - Amazon Macie
Permissões de função vinculada ao serviço para o Macie.Criar uma função vinculada ao serviço do MacieEditar a função vinculada ao serviçoExcluir uma função vinculada ao serviço do MacieSuportado Regiões da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Funções vinculadas ao serviço do Amazon Macie

O Amazon Macie usa uma função vinculada ao serviço AWS Identity and Access Management (IAM) chamada. AWSServiceRoleForAmazonMacie A função vinculada ao serviço é uma função única do IAM vinculada diretamente ao Macie. É predefinido pelo Macie e inclui todas as permissões que o Macie exige para ligar para outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O Macie usa essa função vinculada ao serviço em todos os Regiões da AWS em que o Macie está disponível.

Uma função vinculada ao serviço facilita a configuração do Macie, já que não é preciso adicionar as permissões necessárias manualmente. O Macie define as permissões dessa função vinculada ao serviço e, a menos que definido em contrário, só o Macie pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM. Você só pode excluir uma função vinculada a serviços após excluir seus recursos relacionados. Isso protege seus recursos porque você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Funções vinculadas a serviços. Escolha um Sim com um link para analisar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço para o Amazon Macie.

O Amazon Macie usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonMacie. Essa função vinculada ao serviço confia no serviço macie.amazonaws.com para assumir a função.

A política de permissões para a função, denominadaAmazonMacieServiceRolePolicy, permite que o Macie execute tarefas como as seguintes nos recursos especificados:

  • Use as ações do Amazon S3 para recuperar informações sobre buckets e objetos do S3.

  • Use as ações do Amazon S3 para recuperar objetos do S3.

  • Use AWS Organizations ações para recuperar informações sobre contas associadas.

  • Use as ações do Amazon CloudWatch Logs para registrar eventos para trabalhos confidenciais de descoberta de dados.

A função é configurada com a política de permissões abaixo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAccountAliases",
        "organizations:DescribeAccount",
        "organizations:ListAccounts",
        "s3:GetAccountPublicAccessBlock",
        "s3:ListAllMyBuckets",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketPolicy",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketTagging",
        "s3:GetBucketVersioning",
        "s3:GetBucketWebsite",
        "s3:GetEncryptionConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetReplicationConfiguration",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*:log-stream:*"
      ]
    }
  ]
}

Para obter detalhes sobre atualizações da AmazonMacieServiceRolePolicypolítica, consulte Atualizações do Amazon Macie para políticas gerenciadas AWS. Para receber alertas automáticos sobre mudanças nessa política, assine o feed RSS na página de histórico de documentos do Macie.

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário ou uma função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.

Criar uma função vinculada ao serviço para o Amazon Macie

Você não precisa criar manualmente as AWSServiceRoleForAmazonMacie funções vinculadas ao serviço para o Amazon Macie. Quando você ativa o Macie para você Conta da AWS, o Macie cria automaticamente a função vinculada ao serviço para você.

Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Quando você habilita o Macie novamente, o Macie cria a função vinculada ao serviço para você novamente.

Editar uma função vinculada ao serviço para o Amazon Macie.

O Amazon Macie não permite que você edite a função vinculada ao serviço AWSServiceRoleForAmazonMacie. Após a criação da função vinculada ao serviço, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, será possível editar a descrição da função usando o IAM. Para ter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir a função vinculada ao serviço do Amazon Macie

Se você não precisa mais usar o Amazon Macie, recomendamos que exclua a função vinculada ao serviço AWSServiceRoleForAmazonMacie. Quando você desabilita o Macie, ele não exclui a função para você.

Antes de excluir a função, você deve desativar o Macie em cada Região da AWS local em que você a habilitou. Você também deve limpar manualmente os recursos da função. Para excluir a função, você pode usar o console do IAM AWS CLI, o ou a AWS API. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

nota

Se o Macie estiver usando a AWSServiceRoleForAmazonMacie função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Se excluir a função AWSServiceRoleForAmazonMacie vinculada ao serviço e precisar criá-la novamente, você poderá criá-la novamente ativando o Macie para sua conta. Quando você habilita o Macie novamente, o Macie cria a função vinculada ao serviço para você novamente.

Compatível com Regiões da AWS a função vinculada ao serviço Amazon Macie

O Amazon Macie oferece suporte ao uso da função AWSServiceRoleForAmazonMacie vinculada ao serviço em todos os Regiões da AWS lugares em que o Macie está disponível. Para obter uma lista de todas as regiões onde o Macie está disponível no momento, consulte endpoints do Amazon Macie e cotas no Referência geral da AWS.