Claves de condición, recursos y acciones de Amazon Macie
Amazon Macie (prefijo de servicio: macie2) proporciona las siguientes claves de contexto de condición, recursos y acciones específicas de servicios para usarlas en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon Macie
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
nota
Las acciones DisassociateFromMasterAccount y GetMasterAccount se han dado de baja. Le recomendamos que, en su lugar, especifique las acciones DisassociateFromAdministratorAccount y GetAdministratorAccount, respectivamente.
| Actions | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AcceptInvitation | Otorga permiso para aceptar una invitación de suscripción a Amazon Macie | Write | |||
| BatchGetCustomDataIdentifiers | Otorga permiso para recuperar información sobre uno o más identificadores de datos personalizados | Leer | |||
| BatchUpdateAutomatedDiscoveryAccounts | Concede permiso a un administrador de Amazon Macie para cambiar el estado del descubrimiento automatizado de datos confidenciales para una o varias cuentas de su organización | Escritura | |||
| CreateAllowList | Otorga permiso para crear y definir la configuración de una lista de permitidos | Escritura | |||
| CreateClassificationJob | Otorga permiso para crear y definir la configuración de un trabajo de descubrimiento de información confidencial. | Write | |||
| CreateCustomDataIdentifier | Otorga permiso para crear y definir la configuración de un identificador de datos personalizado | Write | |||
| CreateFindingsFilter | Concede permiso para crear y definir la configuración de un filtro de resultados | Write | |||
| CreateInvitations | Otorga permiso para enviar una invitación de suscripción a Amazon Macie | Write | |||
| CreateMember | Otorga permiso para asociar una cuenta con una cuenta de administrador de Amazon Macie. | Write | |||
| CreateSampleFindings | Otorga permiso para crear hallazgos de muestra | Write | |||
| DeclineInvitations | Otorga permiso para rechazar invitaciones de suscripción a Amazon Macie | Escritura | |||
| DeleteAllowList | Otorga permiso para eliminar una lista de permitidos | Escritura | |||
| DeleteCustomDataIdentifier | Otorga permiso para eliminar un identificador de datos personalizado | Write | |||
| DeleteFindingsFilter | Otorga permiso para eliminar un filtro de hallazgos | Write | |||
| DeleteInvitations | Otorga permiso para eliminar invitaciones de suscripción a Amazon Macie | Write | |||
| DeleteMember | Otorga permiso para eliminar la asociación entre una cuenta y una cuenta de administrador de Amazon Macie. | Write | |||
| DescribeBuckets | Otorga permiso para recuperar datos estadísticos e información de otro tipo sobre los buckets de S3 que Amazon Macie monitorea y analiza. | Read | |||
| DescribeClassificationJob | Otorga permiso para recuperar información sobre el estado y la configuración de un trabajo de descubrimiento de información confidencial. | Read | |||
| DescribeOrganizationConfiguration | Otorga permiso para recuperar información sobre la configuración de Amazon Macie para una organización de AWS. | Read | |||
| DisableMacie | Otorga permiso para desactivar una cuenta de Amazon Macie, que también elimina los recursos de Macie de la cuenta | Write | |||
| DisableOrganizationAdminAccount | Otorga permiso para desactivar una cuenta como cuenta de administrador delegado de Amazon Macie para una organización de AWS. | Escritura | |||
| DisassociateFromAdministratorAccount | Otorga permiso a una cuenta de miembro de Amazon Macie para desasociarse de su cuenta de administrador de Macie | Escritura | |||
| DisassociateFromMasterAccount | Otorga permiso a una cuenta de miembro de Amazon Macie para desasociarse de su cuenta de administrador de Macie | Escritura | |||
| DisassociateMember | Otorga permiso a una cuenta de administrador de Amazon Macie para desasociarse de una cuenta de miembro de Macie | Escritura | |||
| EnableMacie | Otorga permiso para habilitar y especificar la configuración de una nueva cuenta de Amazon Macie | Write | |||
| EnableOrganizationAdminAccount | Otorga permiso para habilitar una cuenta como cuenta de administrador delegado de Amazon Macie para una organización de AWS. | Write | |||
| GetAdministratorAccount | Otorga permiso para recuperar información sobre la cuenta de administrador de Amazon Macie para una cuenta | Leer | |||
| GetAllowList | Otorga permiso para recuperar la configuración y el estado de una lista de permitidos | Leer | |||
| GetAutomatedDiscoveryConfiguration | Concede permiso para obtener los ajustes de configuración y el estado de la detección automatizada de datos confidenciales para una cuenta de administrador, organización o cuenta independiente de Amazon Macie | Leer | |||
| GetBucketStatistics | Otorga permiso para recuperar datos estadísticos agregados para todos los buckets de S3 que Amazon Macie monitorea y analiza | Read | |||
| GetClassificationExportConfiguration | Otorga permiso para recuperar la configuración para exportar los resultados del descubrimiento de información confidencial. | Leer | |||
| GetClassificationScope | Otorga permiso para recuperar la configuración del ámbito de clasificación de una cuenta | Leer | |||
| GetCustomDataIdentifier | Otorga permiso para recuperar información sobre la configuración de un identificador de datos personalizado | Read | |||
| GetFindingStatistics | Otorga permiso para recuperar datos estadísticos agregados sobre hallazgos | Read | |||
| GetFindings | Otorga permiso para recuperar los detalles de uno o más hallazgos. | Read | |||
| GetFindingsFilter | Otorga permiso para recuperar información sobre la configuración de un filtro de hallazgos | Read | |||
| GetFindingsPublicationConfiguration | Otorga permiso para recuperar la configuración para la publicación de hallazgos en AWS Security Hub. | Read | |||
| GetInvitationsCount | Otorga permiso para recuperar el recuento de invitaciones de suscripción a Amazon Macie recibidas por una cuenta | Read | |||
| GetMacieSession | Otorga permiso para recuperar información sobre el estado y la configuración de una cuenta de Amazon Macie | Leer | |||
| GetMasterAccount | Otorga permiso para recuperar información sobre la cuenta de administrador de Amazon Macie para una cuenta | Leer | |||
| GetMember | Otorga permiso para recuperar información sobre una cuenta asociada a una cuenta de administrador de Amazon Macie. | Leer | |||
| GetResourceProfile | Otorga permiso para recuperar las estadísticas de descubrimiento de información confidencial y la puntuación de confidencialidad de un bucket de S3 | Leer | |||
| GetRevealConfiguration | Otorga permiso para recuperar los ajustes del estado y la configuración para recuperar las ocurrencias de datos confidenciales informados por los hallazgos | Leer | |||
| GetSensitiveDataOccurrences | Otorga permiso para recuperar las ocurrencias de datos confidenciales informados por un hallazgo | Leer | |||
| GetSensitiveDataOccurrencesAvailability | Otorga permiso para verificar si las ocurrencias de datos confidenciales pueden recuperarse por un hallazgo | Leer | |||
| GetSensitivityInspectionTemplate | Otorga permiso para recuperar la configuración de la plantilla de inspección de confidencialidad de una cuenta | Leer | |||
| GetUsageStatistics | Otorga permiso para recuperar cuotas y datos de uso agregados para una o varias cuentas | Read | |||
| GetUsageTotals | Otorga permiso para recuperar datos de uso agregados de una cuenta | Leer | |||
| ListAllowLists | Otorga permiso para recuperar un subconjunto de información sobre todas las listas de permitidos de una cuenta | Enumeración | |||
| ListAutomatedDiscoveryAccounts | Concede permiso para obtener el estado de la detección automática de datos confidenciales de una cuenta | Enumeración | |||
| ListClassificationJobs | Otorga permiso para recuperar un subconjunto de datos sobre el estado y la configuración de uno o más trabajos de descubrimiento de información confidencial. | Enumeración | |||
| ListClassificationScopes | Otorga permiso para recuperar un subconjunto de información sobre el ámbito de clasificación de una cuenta | Enumeración | |||
| ListCustomDataIdentifiers | Otorga permiso para recuperar información sobre todos los identificadores de datos personalizados | List | |||
| ListFindings | Otorga permiso para recuperar un subconjunto de información sobre uno o más hallazgos | List | |||
| ListFindingsFilters | Otorga permiso para recuperar información sobre todos los filtros de hallazgos | List | |||
| ListInvitations | Otorga permiso para recuperar información sobre todas las invitaciones de suscripción a Amazon Macie recibidas por una cuenta | Enumeración | |||
| ListManagedDataIdentifiers | Otorga permiso para recuperar información sobre los identificadores de datos administrados | Enumeración | |||
| ListMembers | Otorga permiso para recuperar información sobre las cuentas de miembro de Amazon Macie asociadas a una cuenta de administrador de Macie. | Enumeración | |||
| ListOrganizationAdminAccounts | Concede permiso para recuperar información sobre la cuenta de administrador delegada de Amazon Macie para una organización de AWS | Enumeración | |||
| ListResourceProfileArtifacts | Concede permiso para recuperar información sobre objetos que Amazon Macie seleccionó de un bucket de S3 para el descubrimiento automatizado de datos confidenciales | Enumeración | |||
| ListResourceProfileDetections | Otorga permiso para recuperar información sobre los tipos y la cantidad de información confidencial que Amazon Macie encontró en un bucket de S3 | Enumeración | |||
| ListSensitivityInspectionTemplates | Otorga permiso para recuperar un subconjunto de información sobre la plantilla de inspección de confidencialidad de una cuenta | Enumeración | |||
| ListTagsForResource | Otorga permiso para recuperar las etiquetas de un recurso de Amazon Macie. | Read | |||
| PutClassificationExportConfiguration | Otorga permiso para crear o actualizar la configuración para el almacenamiento de los resultados del descubrimiento de información confidencial. | Write | |||
| PutFindingsPublicationConfiguration | Otorga permiso para actualizar la configuración para la publicación de hallazgos en AWS Security Hub. | Write | |||
| SearchResources | Otorga permiso para recuperar información estadística y de otra índole sobre los recursos de AWS que Amazon Macie monitorea y analiza. | Read | |||
| TagResource | Otorga permiso para agregar o actualizar las etiquetas de un recurso de Amazon Macie. | Etiquetado | |||
| TestCustomDataIdentifier | Otorga permiso para probar un identificador de datos personalizado | Write | |||
| UntagResource | Otorga permiso para eliminar etiquetas de un recurso de Amazon Macie. | Etiquetado | |||
| UpdateAllowList | Otorga permiso para actualizar la configuración de una lista de permitidos | Escritura | |||
| UpdateAutomatedDiscoveryConfiguration | Concede permiso para cambiar el estado del descubrimiento automatizado de datos confidenciales para una cuenta de administrador, organización o cuenta independiente de Amazon Macie | Escritura | |||
| UpdateClassificationJob | Otorga permiso para cambiar el estado de un trabajo de descubrimiento de información confidencial. | Escritura | |||
| UpdateClassificationScope | Otorga permiso para actualizar la configuración del ámbito de clasificación de una cuenta | Escritura | |||
| UpdateFindingsFilter | Otorga permiso para actualizar la configuración de un filtro de hallazgos | Escritura | |||
| UpdateMacieSession | Concede permiso a una cuenta de administrador de Amazon Macie para suspender o volver a habilitar Macie para una cuenta de miembro | Escritura | |||
| UpdateMemberSession | Otorga permiso a una cuenta de administrador de Amazon Macie para suspender o volver a habilitar una cuenta de miembro de Macie | Escritura | |||
| UpdateOrganizationConfiguration | Otorga permiso para actualizar la configuración de Amazon Macie para una organización de AWS. | Escritura | |||
| UpdateResourceProfile | Otorga permiso para actualizar la puntuación de confidencialidad de un bucket de S3 | Escritura | |||
| UpdateResourceProfileDetections | Otorga permiso para actualizar la configuración de la puntuación de confidencialidad de un bucket de S3 | Escritura | |||
| UpdateRevealConfiguration | Otorga permiso para actualizar los ajustes del estado y la configuración para recuperar las ocurrencias de datos confidenciales informados por los hallazgos | Escritura | |||
| UpdateSensitivityInspectionTemplate | Otorga permiso para actualizar la configuración de la plantilla de inspección de confidencialidad de una cuenta | Escritura |
Tipos de recursos definidos por Amazon Macie
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| AllowList |
arn:${Partition}:macie2:${Region}:${Account}:allow-list/${ResourceId}
|
|
| ClassificationJob |
arn:${Partition}:macie2:${Region}:${Account}:classification-job/${ResourceId}
|
|
| CustomDataIdentifier |
arn:${Partition}:macie2:${Region}:${Account}:custom-data-identifier/${ResourceId}
|
|
| FindingsFilter |
arn:${Partition}:macie2:${Region}:${Account}:findings-filter/${ResourceId}
|
|
| Member |
arn:${Partition}:macie2:${Region}:${Account}:member/${ResourceId}
|
Claves de condición de Amazon Macie
Amazon Macie define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso mediante una clave de etiqueta y un par de valores permitidos en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por par de clave y valor de etiqueta de un recurso | Cadena |
| aws:TagKeys | Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud | ArrayOfString |
