Permitir a Macie el acceso a buckets y objetos de S3 - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permitir a Macie el acceso a buckets y objetos de S3

Cuando habilitas Amazon Macie para ti Cuenta de AWS, Macie crea un rol vinculado a un servicio que otorga a Macie los permisos necesarios para llamar a Amazon Simple Storage Service (Amazon S3) y a otros en tu nombre. Servicios de AWS Un rol vinculado a un servicio simplifica el proceso de configuración de un, Servicio de AWS ya que no es necesario añadir permisos manualmente para que el servicio complete acciones en su nombre. Para obtener más información sobre este tipo de funciones, consulte las IAMfunciones en la Guía del AWS Identity and Access Management usuario.

La política de permisos del rol vinculado a un servicio de Macie (AWSServiceRoleForAmazonMacie) permite a Macie realizar acciones que incluyen la recuperación de información sobre los bucket y objetos de S3 y la recuperación y el análisis de los objetos de los bucket. Si es el administrador de Macie de una organización, la política también permite a Macie llevar a cabo estas acciones en su nombre para las cuentas miembro de su organización.

Macie utiliza estos permisos para realizar tareas como:

  • Genere y mantenga un inventario de sus depósitos de uso general de S3.

  • Proporcione datos estadísticos y de otro tipo sobre los cubos y los objetos que contienen.

  • Supervise y evalúe los depósitos para garantizar la seguridad y el control de acceso.

  • Analice los objetos de los cubos para detectar datos confidenciales.

En la mayoría de los casos, Macie tiene los permisos que necesita para realizar estas tareas. Sin embargo, si un bucket de S3 tiene una política de buckets restrictiva, la política podría impedir que Macie realice algunas o todas estas tareas.

Una política de bucket es una política basada en recursos AWS Identity and Access Management (IAM) que especifica qué acciones puede realizar un principal (usuario, cuenta, servicio u otra entidad) en un bucket de S3 y las condiciones en las que un principal puede realizar esas acciones. Las acciones y condiciones se pueden aplicar a las operaciones a nivel de bucket, como la recuperación de información sobre un bucket, y a las operaciones a nivel de objeto, como la recuperación de objetos de un bucket.

Las políticas de bucket suelen conceder o restringir el acceso mediante declaraciones y condiciones de Allow o Deny. Por ejemplo, una política de bucket puede contener una Deny declaración Allow o que deniegue el acceso al bucket a menos que se utilicen direcciones IP de origen específicas, puntos de enlace de Amazon Virtual Private Cloud (AmazonVPC) o VPCs se utilicen para acceder al bucket. Para obtener información sobre el uso de políticas de bucket para conceder o restringir el acceso a los buckets, consulte Políticas de bucket para Amazon S3 y Cómo Amazon S3 autoriza una solicitud en la Guía del usuario de Amazon Simple Storage Service.

Si una política de bucket utiliza una instrucción explícita de Allow, la política no impide que Macie recupere información sobre el bucket y sus objetos, ni que recupere objetos del bucket. Esto se debe a que las declaraciones de Allow de la política de permisos para el rol vinculado al servicio de Macie otorgan estos permisos.

Sin embargo, si una política de bucket utiliza una instrucción explícita de Deny con una o más condiciones, es posible que a Macie no se le permita recuperar información sobre el bucket o los objetos del bucket, ni recuperar los objetos del bucket. Por ejemplo, si una política de bucket deniega explícitamente el acceso desde todas las fuentes excepto desde una dirección IP específica, Macie no podrá analizar los objetos del bucket cuando se ejecute un trabajo de detección de datos confidenciales. Esto se debe a que las políticas de bucket restrictivas tienen prioridad sobre las instrucciones de Allow de la política de permisos del rol vinculado a servicios de Macie.

Para permitir que Macie acceda a un bucket de S3 que tenga una política de bucket restrictiva, puede añadir una condición para el rol vinculado al servicio de Macie (AWSServiceRoleForAmazonMacie) a la política de bucket. La condición debe impedir que el rol vinculado al servicio de Macie coincida con la restricción Deny de la política. Para ello, puede utilizar la clave de contexto de condición aws:PrincipalArn global y el nombre del recurso de Amazon (ARN) del rol vinculado al servicio de Macie.

Este procedimiento lo guía a través del proceso y pone un ejemplo.

Para añadir la función vinculada al servicio de Macie a una política de buckets
  1. Inicie sesión en la consola de Amazon S3 AWS Management Console y ábrala en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación, elija Buckets.

  3. Elija el bucket de S3 al que desea permitir que Macie acceda.

  4. En la pestaña Permissions (Permisos), en Bucket policy (Política de bucket), elija Edit (Editar).

  5. En el editor de Política del bucket, identifique cada instrucción Deny que restrinja el acceso e impida que Macie acceda al bucket o a sus objetos.

  6. En cada Deny declaración, añada una condición que utilice la clave de contexto de la condición aws:PrincipalArn global y especifique el rol vinculado al servicio ARN de Macie para usted. Cuenta de AWS

    El valor de la clave de condición debe ser, donde arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie 123456789012 es el identificador de su cuenta Cuenta de AWS.

El lugar donde se añada esta instrucción a una política de buckets depende de la estructura, los elementos y las condiciones que la política contenga actualmente. Para obtener más información sobre las estructuras y los elementos compatibles, consulte Políticas y permisos en Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

El siguiente es un ejemplo de una política de bucket que utiliza una Deny declaración explícita para restringir el acceso a un bucket de S3 denominadoamzn-s3-demo-bucket. Con la política actual, solo se puede acceder al depósito desde el VPC punto final cuyo ID esvpce-1a2b3c4d. Se deniega el acceso desde todos los demás VPC puntos finales, incluido el acceso desde Macie y desde AWS Management Console Macie.

{ "Version": "2012-10-17", "Id": "Policy1415115example", "Statement": [ { "Sid": "Access only from specific VPCE", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }

Para cambiar esta política y permitir que Macie acceda al bucket de S3 y a los objetos del bucket, podemos añadir una condición que utilice el operador de condición StringNotLike y la clave de contexto de la condición global aws:PrincipalArn. La condición debe impedir que el rol vinculado al servicio de Macie coincida con la Denyrestricción.

{ "Version": "2012-10-17", "Id":" Policy1415115example ", "Statement": [ { "Sid": "Access only from specific VPCE and Macie", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" }, "StringNotLike": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie" } } } ] }

En el ejemplo anterior, el operador de StringNotLike condición utiliza la clave de contexto de la aws:PrincipalArn condición para especificar la función vinculada al servicio ARN de Macie, donde:

  • 123456789012es el ID de cuenta Cuenta de AWS que puede usar Macie para recuperar información sobre el depósito y los objetos del depósito, así como para recuperar objetos del depósito.

  • macie.amazonaws.com es el identificador de la entidad principal del servicio de Macie.

  • El nombre de la función vinculada a servicios para Macie es AWSServiceRoleForAmazonMacie

Usamos el operador StringNotLike porque la política ya usa un operador StringNotEquals. Una política solo puede usar el operador StringNotEquals una vez.

Para obtener más ejemplos de políticas e información detallada sobre la administración del acceso a los recursos de Amazon S3, consulte Administración del acceso en la Guía del usuario de Amazon Simple Storage Service.