Permisos de roles vinculados a servicios de Macie Creación del rol vinculado a un servicio de Macie Edición del rol vinculado a un servicio de Macie Eliminación del rol vinculado a un servicio de Macie Compatible Regiones de AWS

Roles vinculados a servicios para Amazon Macie

Amazon Macie usa un rol vinculado a un servicio AWS Identity and Access Management (IAM) denominado. AWSServiceRoleForAmazonMacie Este rol vinculado al servicio es un IAM rol que está vinculado directamente a Macie. Está predefinido por Macie e incluye todos los permisos que Macie necesita para llamar a otros recursos Servicios de AWS y AWS monitorizarlos en tu nombre. Macie utiliza esta función vinculada al servicio en todos los Regiones de AWS donde Macie está disponible.

Un rol vinculado a un servicio simplifica la configuración de Macie porque ya no tendrá que agregar manualmente los permisos necesarios. Macie define los permisos de este rol vinculado a un servicio y, a menos que esté definido de otra manera, solo Macie puede asumir el rol. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.

Debe configurar los permisos para permitir que una IAM entidad (como un usuario o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del usuario. IAM Solo puede eliminar un rol vinculado a servicios únicamente después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de , ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte Servicios de AWS la columna Funciones vinculadas a servicios IAM y busque los servicios con la palabra «Sí» en la columna Funciones vinculadas a servicios. Seleccione una opción Sí con una conexión para revisar la documentación acerca del rol vinculado a un servicio en cuestión.

Temas

Permisos de roles vinculados a servicios de Macie
Creación del rol vinculado a un servicio de Macie
Edición del rol vinculado a un servicio de Macie
Eliminación del rol vinculado a un servicio de Macie
Compatible Regiones de AWS

Permisos de roles vinculados a un servicio para Amazon Macie

Amazon Macie usa el rol vinculado a servicios denominado AWSServiceRoleForAmazonMacie. Este rol vinculado a un servicio confía en el servicio macie.amazonaws.com para asumir el rol.

La política de permisos del rol, denominada AmazonMacieServiceRolePolicy, permite a Macie realizar tareas como las siguientes en los recursos especificados:

Utilizar las acciones de Amazon S3 para recuperar información sobre buckets y objetos de S3.
Utilizar las acciones de Amazon S3 para recuperar objetos de S3.
Utilice AWS Organizations acciones para recuperar información sobre las cuentas asociadas.
Utilice las acciones de Amazon CloudWatch Logs para registrar eventos para trabajos de descubrimiento de datos confidenciales.

El rol se configura con la siguiente política de permisos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAccountAliases",
        "organizations:DescribeAccount",
        "organizations:ListAccounts",
        "s3:GetAccountPublicAccessBlock",
        "s3:ListAllMyBuckets",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketPolicy",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketTagging",
        "s3:GetBucketVersioning",
        "s3:GetBucketWebsite",
        "s3:GetEncryptionConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetReplicationConfiguration",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*:log-stream:*"
      ]
    }
  ]
}

Para obtener más información sobre actualizaciones a la política AmazonMacieServiceRolePolicy, consulte Amazon Macie actualiza las políticas gestionadas AWS. Para recibir alertas automáticas sobre los cambios en esta política, suscríbase al RSS feed de la página del historial de documentos de Macie.

Creación del rol vinculado a un servicio para Amazon Macie

No necesita crear manualmente el rol vinculado a un servicio AWSServiceRoleForAmazonMacie para Amazon Macie. Cuando habilitas Macie para ti Cuenta de AWS, Macie crea automáticamente el rol vinculado al servicio para ti.

Si elimina el rol vinculado a un servicio de Macie y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando se vuelve a habilitar Macie, esta se encarga de volver a crear el rol vinculado a un servicio para usted.

Edición del rol vinculado a un servicio para Amazon Macie

Amazon Macie no le permite editar el rol vinculado a un servicio AWSServiceRoleForAmazonMacie. Una vez creado un rol vinculado a servicios, no puede cambiar el nombre del rol porque varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminación de un rol vinculado a un servicio para Amazon Macie

Si ya no utiliza Amazon Macie, le recomendamos que elimine manualmente el rol vinculado a servicios AWSServiceRoleForAmazonMacie. Cuando inhabilita Macie, esta no elimina el rol por usted.

Antes de eliminar el rol, debe deshabilitar a Macie en cada Región de AWS lugar donde lo haya activado. También debe limpiar manualmente los recursos del rol. Para eliminar el rol, puede usar la IAM consola AWS CLI, el o el AWS API. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del IAMusuario.

nota

Si Macie está utilizando el rol AWSServiceRoleForAmazonMacie cuando intente eliminar los recursos, es posible que se produzcan errores en la operación de eliminación. En ese caso, espere unos minutos e intente de nuevo la operación.

Si elimina el rol vinculado a un servicio AWSServiceRoleForAmazonMacie y necesita crearlo de nuevo, puede hacerlo habilitando Macie para su cuenta. Cuando se vuelve a habilitar Macie, esta se encarga de volver a crear el rol vinculado a un servicio para usted.

Compatible con Regiones de AWS el rol vinculado al servicio Amazon Macie

Amazon Macie admite el uso de la función AWSServiceRoleForAmazonMacie vinculada al servicio en todos los Regiones de AWS lugares donde Macie esté disponible. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie en la Referencia general de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

AWS políticas gestionadas