AWS politiques gérées pour Macie - Amazon Macie
Stratégie AmazonMacieFullAccessStratégie AmazonMacieReadOnlyAccessStratégie AmazonMacieServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Macie

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.

Amazon Macie fournit plusieurs politiques AWS gérées : la AmazonMacieFullAccess politique, la AmazonMacieReadOnlyAccess politique et la AmazonMacieServiceRolePolicy politique.

AWS politique gérée : AmazonMacieFullAccess

Vous pouvez associer la AmazonMacieFullAccess politique à vos IAM entités.

Cette politique accorde des autorisations administratives complètes qui permettent à une IAM identité (principal) de créer le rôle lié au service Amazon Macie et d'effectuer toutes les actions de lecture et d'écriture pour Amazon Macie. Les autorisations incluent des fonctions de mutation telles que la création, la mise à jour et la suppression. Si cette politique est attachée à un mandant, celui-ci peut créer, récupérer et accéder à toutes les ressources, données et paramètres Macie de son compte.

Cette politique doit être attachée à un mandant avant que celui-ci puisse activer Macie pour son compte. Le mandant doit être autorisé à créer le rôle lié au service Macie afin d'activer Macie pour son compte.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • macie2— Permet aux principaux d'effectuer toutes les actions de lecture et d'écriture pour Amazon Macie.

  • iam— Permet aux directeurs de créer des rôles liés aux services. L'Resourceélément spécifie le rôle lié au service pour Macie. L'Conditionélément utilise la clé de iam:AWSServiceName condition et l'opérateur de StringLike condition pour restreindre les autorisations au rôle lié au service pour Macie.

  • pricing— Permet aux donneurs d'ordre de récupérer les données de tarification Compte AWS auprès AWS Billing and Cost Management desquelles ils s'approvisionnent. Macie utilise ces données pour calculer et afficher les coûts estimés lorsque les donneurs d'ordres créent et configurent des tâches de découverte de données sensibles.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "macie2:*"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:CreateServiceLinkedRole",
         "Resource": "arn:aws:iam::*:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
         "Condition": {
            "StringLike": {
               "iam:AWSServiceName": "macie.amazonaws.com"
            }
         }
      },
      {
         "Effect": "Allow",
         "Action": "pricing:GetProducts",
         "Resource": "*"
      }
   ]
}

AWS politique gérée : AmazonMacieReadOnlyAccess

Vous pouvez associer la AmazonMacieReadOnlyAccess politique à vos IAM entités.

Cette politique accorde des autorisations en lecture seule qui permettent à une IAM identité (principal) d'effectuer toutes les actions de lecture pour Amazon Macie. Les autorisations n'incluent pas les fonctions de mutation telles que la création, la mise à jour ou la suppression. Si cette politique est attachée à un mandant, celui-ci peut récupérer toutes les ressources, données et paramètres Macie de son compte, mais ne peut pas y accéder autrement.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

macie2— Permet aux principaux d'effectuer toutes les actions de lecture pour Amazon Macie.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "macie2:Describe*",
            "macie2:Get*",
            "macie2:List*",
            "macie2:BatchGetCustomDataIdentifiers",
            "macie2:SearchResources"
         ],
         "Resource": "*"
      }
   ]
}

AWS politique gérée : AmazonMacieServiceRolePolicy

Vous ne pouvez pas associer la AmazonMacieServiceRolePolicy politique à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet à Amazon Macie d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Macie.

Mises à jour des politiques AWS gérées par Macie

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Macie depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page d'historique des documents Macie.

Modification Description Date

AmazonMacieReadOnlyAccess— Ajout d'une nouvelle politique

Macie a ajouté une nouvelle politique, la AmazonMacieReadOnlyAccess politique. Cette politique accorde des autorisations en lecture seule qui permettent aux principaux de récupérer toutes les ressources, données et paramètres Macie de leur compte.

15 juin 2023

AmazonMacieFullAccess— Mise à jour d'une politique existante

Dans la AmazonMacieFullAccess politique, Macie a mis à jour le nom de ressource Amazon (ARN) du rôle lié au service Macie (). aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

30 juin 2022

AmazonMacieServiceRolePolicy— Mise à jour d'une politique existante

Macie a supprimé les actions et les ressources pour Amazon Macie Classic de AmazonMacieServiceRolePolicy la politique. Amazon Macie Classic n'est plus disponible et n'est plus disponible.

Plus précisément, Macie a supprimé toutes les AWS CloudTrail actions. Macie a également supprimé toutes les actions Amazon S3 pour les ressources suivantes :arn:aws:s3:::awsmacie-*,arn:aws:s3:::awsmacietrail-*, etarn:aws:s3:::*-awsmacietrail-*.

20 mai 2022

AmazonMacieFullAccess— Mise à jour d'une politique existante

Macie a ajouté une action AWS Billing and Cost Management (pricing) à la AmazonMacieFullAccess politique. Cette action permet aux donneurs d'ordre de récupérer les données de tarification de leur compte. Macie utilise ces données pour calculer et afficher les coûts estimés lorsque les donneurs d'ordres créent et configurent des tâches de découverte de données sensibles.

Macie a également supprimé les actions Amazon Macie Classic macie () de AmazonMacieFullAccess la politique.

7 mars 2022

AmazonMacieServiceRolePolicy— Mise à jour d'une politique existante

Macie a ajouté CloudWatch les actions Amazon Logs à la AmazonMacieServiceRolePolicy politique. Ces actions permettent à Macie de publier les événements de journal dans CloudWatch Logs pour les tâches de découverte de données sensibles.

13 avril 2021

Macie a commencé à suivre les modifications

Macie a commencé à suivre les modifications apportées à ses politiques AWS gérées.

13 avril 2021