Opsi konfigurasi untuk mengambil sampel data sensitif dengan Macie - Amazon Macie
Menentukan metode akses mana yang akan digunakanMenggunakan kredensil IAM pengguna untuk mengakses objek yang terpengaruhDengan asumsi IAM peran untuk mengakses objek yang terpengaruhMengkonfigurasi IAM peran untuk mengakses objek yang terpengaruhMendekripsi objek yang terpengaruh

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi konfigurasi untuk mengambil sampel data sensitif dengan Macie

Anda dapat mengonfigurasi dan menggunakan Amazon Macie secara opsional untuk mengambil dan mengungkapkan sampel data sensitif yang dilaporkan Macie dalam temuan individual. Jika Anda mengambil dan mengungkapkan sampel data sensitif untuk temuan, Macie menggunakan data dalam hasil penemuan data sensitif terkait untuk menemukan kejadian data sensitif di objek Amazon Simple Storage Service (Amazon S3) yang terpengaruh. Macie kemudian mengekstrak sampel kejadian tersebut dari objek yang terpengaruh. Macie mengenkripsi data yang diekstrak dengan kunci AWS Key Management Service (AWS KMS) yang Anda tentukan, menyimpan sementara data terenkripsi dalam cache, dan mengembalikan data dalam hasil Anda untuk temuan tersebut. Segera setelah ekstraksi dan enkripsi, Macie secara permanen menghapus data dari cache kecuali retensi tambahan sementara diperlukan untuk menyelesaikan masalah operasional.

Macie tidak menggunakan peran terkait layanan Macie untuk akun Anda untuk menemukan, mengambil, mengenkripsi, atau mengungkapkan sampel data sensitif untuk objek S3 yang terpengaruh. Sebagai gantinya, Macie menggunakan pengaturan dan sumber daya yang Anda konfigurasikan untuk akun Anda. Saat Anda mengonfigurasi pengaturan di Macie, Anda menentukan cara mengakses objek S3 yang terpengaruh. Anda juga menentukan mana yang AWS KMS key akan digunakan untuk mengenkripsi sampel. Anda dapat mengonfigurasi pengaturan di semua Wilayah AWS tempat Macie saat ini tersedia kecuali Wilayah Asia Pasifik (Osaka) dan Israel (Tel Aviv).

Untuk mengakses objek S3 yang terpengaruh dan mengambil sampel data sensitif darinya, Anda memiliki dua opsi. Anda dapat mengonfigurasi Macie untuk menggunakan AWS Identity and Access Management (IAM) kredensi pengguna atau mengambil peran: IAM

  • Gunakan kredensi IAM pengguna — Dengan opsi ini, setiap pengguna akun Anda menggunakan IAM identitas masing-masing untuk mencari, mengambil, mengenkripsi, dan mengungkapkan sampel. Ini berarti bahwa pengguna dapat mengambil dan mengungkapkan sampel data sensitif untuk temuan jika mereka diizinkan untuk mengakses sumber daya dan data yang diperlukan, dan melakukan tindakan yang diperlukan.

  • Asumsikan IAM peran — Dengan opsi ini, Anda membuat IAM peran yang mendelegasikan akses ke Macie. Anda juga memastikan bahwa kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Macie kemudian mengambil peran ketika pengguna akun Anda memilih untuk mencari, mengambil, mengenkripsi, dan mengungkapkan sampel data sensitif untuk sebuah temuan.

Anda dapat menggunakan konfigurasi dengan semua jenis akun Macie—akun administrator Macie yang didelegasikan untuk organisasi, akun anggota Macie di organisasi, atau akun Macie mandiri.

Topik berikut menjelaskan opsi, persyaratan, dan pertimbangan yang dapat membantu Anda menentukan cara mengonfigurasi pengaturan dan sumber daya untuk akun Anda. Ini termasuk kebijakan kepercayaan dan izin untuk dilampirkan ke IAM peran. Untuk rekomendasi tambahan dan contoh kebijakan yang mungkin Anda gunakan untuk mengambil dan mengungkapkan sampel data sensitif, lihat posting blog berikut di Blog AWS Keamanan: Cara menggunakan Amazon Macie untuk melihat pratinjau data sensitif di bucket S3.

Menentukan metode akses mana yang akan digunakan

Saat menentukan konfigurasi mana yang terbaik untuk AWS lingkungan Anda, pertimbangan utama adalah apakah lingkungan Anda menyertakan beberapa akun Amazon Macie yang dikelola secara terpusat sebagai organisasi. Jika Anda adalah administrator Macie yang didelegasikan untuk organisasi, mengonfigurasi Macie untuk mengambil IAM peran dapat merampingkan pengambilan sampel data sensitif dari objek S3 yang terpengaruh untuk akun di organisasi Anda. Dengan pendekatan ini, Anda membuat IAM peran di akun administrator Anda. Anda juga membuat IAM peran di setiap akun anggota yang berlaku. Peran di akun administrator Anda mendelegasikan akses ke Macie. Peran dalam akun anggota mendelegasikan akses lintas akun ke peran di akun administrator Anda. Jika diterapkan, Anda kemudian dapat menggunakan rantai peran untuk mengakses objek S3 yang terpengaruh untuk akun anggota Anda.

Juga pertimbangkan siapa yang memiliki akses langsung ke temuan individu secara default. Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, pengguna harus terlebih dahulu memiliki akses ke temuan tersebut:

  • Pekerjaan penemuan data sensitif — Hanya akun yang menciptakan pekerjaan yang dapat mengakses temuan yang dihasilkan pekerjaan tersebut. Jika Anda memiliki akun administrator Macie, Anda dapat mengonfigurasi pekerjaan untuk menganalisis objek di bucket S3 untuk akun apa pun di organisasi Anda. Oleh karena itu, pekerjaan Anda dapat menghasilkan temuan untuk objek dalam ember yang dimiliki akun anggota Anda. Jika Anda memiliki akun anggota atau akun Macie mandiri, Anda dapat mengonfigurasi pekerjaan untuk menganalisis objek hanya dalam ember yang dimiliki akun Anda.

  • Penemuan data sensitif otomatis — Hanya akun administrator Macie yang dapat mengakses temuan yang dihasilkan penemuan otomatis untuk akun di organisasi mereka. Akun anggota tidak dapat mengakses temuan ini. Jika Anda memiliki akun Macie mandiri, Anda dapat mengakses temuan yang dihasilkan penemuan otomatis hanya untuk akun Anda sendiri.

Jika Anda berencana untuk mengakses objek S3 yang terpengaruh dengan menggunakan IAM peran, pertimbangkan juga hal berikut:

  • Untuk menemukan kemunculan data sensitif dalam suatu objek, hasil penemuan data sensitif yang sesuai untuk temuan harus disimpan dalam objek S3 yang ditandatangani Macie dengan Kode Otentikasi Pesan berbasis Hash (). HMAC AWS KMS key Macie harus dapat memverifikasi integritas dan keaslian hasil penemuan data sensitif. Jika tidak, Macie tidak IAM berperan untuk mengambil sampel data sensitif. Ini adalah pagar pembatas tambahan untuk membatasi akses ke data dalam objek S3 untuk akun.

  • Untuk mengambil sampel data sensitif dari objek yang dienkripsi dengan pelanggan yang dikelola AWS KMS key, IAM peran harus diizinkan untuk mendekripsi data dengan kunci. Lebih khusus lagi, kebijakan kunci harus memungkinkan peran untuk melakukan kms:Decrypt tindakan. Untuk jenis enkripsi sisi server lainnya, tidak ada izin atau sumber daya tambahan yang diperlukan untuk mendekripsi objek yang terpengaruh. Untuk informasi selengkapnya, lihat Mendekripsi objek S3 yang terpengaruh.

  • Untuk mengambil sampel data sensitif dari objek untuk akun lain, saat ini Anda harus menjadi administrator Macie yang didelegasikan untuk akun yang berlaku. Wilayah AWS Selain itu:

    • Macie saat ini harus diaktifkan untuk akun anggota di Wilayah yang berlaku.

    • Akun anggota harus memiliki IAM peran yang mendelegasikan akses lintas akun ke IAM peran di akun administrator Macie Anda. Nama peran harus sama di akun administrator Macie Anda dan akun anggota.

    • Kebijakan kepercayaan untuk IAM peran dalam akun anggota harus menyertakan kondisi yang menentukan ID eksternal yang benar untuk konfigurasi Anda. ID ini adalah string alfanumerik unik yang dihasilkan Macie secara otomatis setelah Anda mengonfigurasi pengaturan untuk akun administrator Macie Anda. Untuk informasi tentang penggunaan kebijakan IDs kepercayaan eksternal, lihat Akses ke yang Akun AWS dimiliki oleh pihak ketiga dalam Panduan AWS Identity and Access Management Pengguna.

    • Jika IAM peran di akun anggota memenuhi semua persyaratan Macie, akun anggota tidak perlu mengonfigurasi dan mengaktifkan pengaturan Macie agar Anda dapat mengambil sampel data sensitif dari objek untuk akun mereka. Macie hanya menggunakan pengaturan dan IAM peran di akun administrator Macie Anda dan IAM peran di akun anggota.

      Tip

      Jika akun Anda adalah bagian dari organisasi besar, pertimbangkan untuk menggunakan AWS CloudFormation templat dan tumpukan yang disetel untuk menyediakan dan mengelola IAM peran untuk akun anggota di organisasi Anda. Untuk informasi tentang membuat dan menggunakan templat dan kumpulan tumpukan, lihat Panduan AWS CloudFormation Pengguna.

      Untuk meninjau dan mengunduh CloudFormation templat yang dapat berfungsi sebagai titik awal, Anda dapat menggunakan konsol Amazon Macie. Di panel navigasi di konsol, di bawah Pengaturan, pilih Reveal samples. Pilih Edit, lalu pilih Lihat izin dan CloudFormation templat peran anggota.

Topik selanjutnya di bagian ini memberikan rincian dan pertimbangan tambahan untuk setiap jenis konfigurasi. Untuk IAM peran, ini termasuk kebijakan kepercayaan dan izin untuk dilampirkan ke peran. Jika Anda tidak yakin jenis konfigurasi mana yang terbaik untuk lingkungan Anda, mintalah bantuan AWS administrator Anda.

Menggunakan kredensil IAM pengguna untuk mengakses objek S3 yang terpengaruh

Jika Anda mengonfigurasi Amazon Macie untuk mengambil sampel data sensitif dengan menggunakan kredensil IAM pengguna, setiap pengguna akun Macie Anda menggunakan IAM identitasnya untuk mencari, mengambil, mengenkripsi, dan mengungkapkan sampel untuk temuan individual. Ini berarti bahwa pengguna dapat mengambil dan mengungkapkan sampel data sensitif untuk temuan jika IAM identitas mereka diizinkan untuk mengakses sumber daya dan data yang diperlukan, dan melakukan tindakan yang diperlukan. Semua tindakan yang diperlukan masuk AWS CloudTrail.

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan tertentu, pengguna harus diizinkan mengakses data dan sumber daya berikut: temuan, hasil penemuan data sensitif yang sesuai, bucket S3 yang terpengaruh, dan objek S3 yang terpengaruh. Mereka juga harus diizinkan untuk menggunakan AWS KMS key yang digunakan untuk mengenkripsi objek yang terpengaruh, jika berlaku, dan AWS KMS key yang Anda konfigurasi Macie untuk digunakan untuk mengenkripsi sampel data sensitif. Jika ada IAM kebijakan, kebijakan sumber daya, atau setelan izin lainnya yang menolak akses yang diperlukan, pengguna tidak akan dapat mengambil dan mengungkapkan sampel untuk temuan tersebut.

Untuk mengatur jenis konfigurasi ini, selesaikan tugas-tugas umum berikut:

  1. Verifikasi bahwa Anda mengonfigurasi repositori untuk hasil penemuan data sensitif Anda.

  2. AWS KMS key Konfigurasikan yang akan digunakan untuk enkripsi sampel data sensitif.

  3. Verifikasi izin Anda untuk mengonfigurasi pengaturan di Macie.

  4. Konfigurasikan dan aktifkan pengaturan di Macie.

Untuk informasi tentang melakukan tugas-tugas ini, lihatMengkonfigurasi Macie untuk mengambil sampel data sensitif.

Dengan asumsi IAM peran untuk mengakses objek S3 yang terpengaruh

Untuk mengonfigurasi Amazon Macie untuk mengambil sampel data sensitif dengan mengambil IAM peran, mulailah dengan membuat IAM peran yang mendelegasikan akses ke Amazon Macie. Pastikan kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Ketika pengguna akun Macie Anda kemudian memilih untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, Macie mengasumsikan peran untuk mengambil sampel dari objek S3 yang terpengaruh. Macie mengasumsikan peran hanya ketika pengguna memilih untuk mengambil dan mengungkapkan sampel untuk temuan. Untuk mengambil peran, Macie menggunakan AssumeRoleoperasi AWS Security Token Service (AWS STS)API. Semua tindakan yang diperlukan masuk AWS CloudTrail.

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan tertentu, pengguna harus diizinkan mengakses temuan, hasil penemuan data sensitif yang sesuai, dan AWS KMS key yang Anda konfigurasi Macie untuk digunakan untuk mengenkripsi sampel data sensitif. IAMPeran harus memungkinkan Macie mengakses bucket S3 yang terpengaruh dan objek S3 yang terpengaruh. Peran juga harus diizinkan untuk menggunakan AWS KMS key yang digunakan untuk mengenkripsi objek yang terpengaruh, jika berlaku. Jika ada IAM kebijakan, kebijakan sumber daya, atau setelan izin lainnya yang menolak akses yang diperlukan, pengguna tidak akan dapat mengambil dan mengungkapkan sampel untuk temuan tersebut.

Untuk mengatur jenis konfigurasi ini, selesaikan tugas-tugas umum berikut. Jika Anda memiliki akun anggota di suatu organisasi, bekerjalah dengan administrator Macie Anda untuk menentukan apakah dan cara mengonfigurasi pengaturan dan sumber daya untuk akun Anda.

  1. Tentukan yang berikut ini:

    • Nama IAM peran yang Anda ingin Macie untuk mengambil alih. Jika akun Anda adalah bagian dari organisasi, nama ini harus sama untuk akun administrator Macie yang didelegasikan dan setiap akun anggota yang berlaku di organisasi. Jika tidak, administrator Macie tidak akan dapat mengakses objek S3 yang terpengaruh untuk akun anggota yang berlaku.

    • Nama kebijakan IAM izin untuk dilampirkan ke IAM peran. Jika akun Anda adalah bagian dari organisasi, kami sarankan Anda menggunakan nama kebijakan yang sama untuk setiap akun anggota yang berlaku di organisasi. Ini dapat merampingkan penyediaan dan pengelolaan peran dalam akun anggota.

  2. Verifikasi bahwa Anda mengonfigurasi repositori untuk hasil penemuan data sensitif Anda.

  3. AWS KMS key Konfigurasikan yang akan digunakan untuk enkripsi sampel data sensitif.

  4. Verifikasi izin Anda untuk membuat IAM peran dan mengonfigurasi pengaturan di Macie.

  5. Jika Anda adalah administrator Macie yang didelegasikan untuk suatu organisasi atau Anda memiliki akun Macie mandiri:

    1. Buat dan konfigurasikan IAM peran untuk akun Anda. Pastikan kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Untuk detail tentang persyaratan ini, lihat topik berikutnya.

    2. Konfigurasikan dan aktifkan pengaturan di Macie. Macie kemudian menghasilkan ID eksternal untuk konfigurasi. Jika Anda administrator Macie untuk suatu organisasi, perhatikan ID ini. Kebijakan kepercayaan untuk IAM peran di setiap akun anggota Anda yang berlaku harus menentukan ID ini.

  6. Jika Anda memiliki akun anggota di suatu organisasi:

    1. Minta administrator Macie Anda untuk ID eksternal untuk menentukan dalam kebijakan kepercayaan untuk IAM peran di akun Anda. Verifikasi juga nama kebijakan IAM peran dan izin yang akan dibuat.

    2. Buat dan konfigurasikan IAM peran untuk akun Anda. Pastikan kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi administrator Macie Anda untuk mengambil peran tersebut. Untuk detail tentang persyaratan ini, lihat topik berikutnya.

    3. (Opsional) Jika Anda ingin mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda sendiri, konfigurasikan dan aktifkan pengaturan di Macie. Jika Anda ingin Macie mengambil IAM peran untuk mengambil sampel, mulailah dengan membuat dan mengonfigurasi IAM peran tambahan di akun Anda. Pastikan kebijakan kepercayaan dan izin untuk peran tambahan ini memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Kemudian konfigurasikan pengaturan di Macie dan tentukan nama peran tambahan ini. Untuk detail tentang persyaratan kebijakan untuk peran tersebut, lihat topik berikutnya.

Untuk informasi tentang melakukan tugas-tugas ini, lihatMengkonfigurasi Macie untuk mengambil sampel data sensitif.

Mengkonfigurasi IAM peran untuk mengakses objek S3 yang terpengaruh

Untuk mengakses objek S3 yang terpengaruh dengan menggunakan IAM peran, mulailah dengan membuat dan mengonfigurasi peran yang mendelegasikan akses ke Amazon Macie. Pastikan kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Bagaimana Anda melakukan ini tergantung pada jenis akun Macie yang Anda miliki.

Bagian berikut memberikan rincian tentang kebijakan kepercayaan dan izin untuk dilampirkan ke IAM peran untuk setiap jenis akun Macie. Pilih bagian untuk jenis akun yang Anda miliki.

catatan

Jika Anda memiliki akun anggota di organisasi, Anda mungkin perlu membuat dan mengonfigurasi dua IAM peran untuk akun Anda:

  • Untuk memungkinkan administrator Macie mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda, buat dan konfigurasikan peran yang dapat diasumsikan oleh akun administrator Anda. Untuk detail ini, pilih bagian akun anggota Macie.

  • Untuk mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda sendiri, buat dan konfigurasikan peran yang dapat diasumsikan oleh Macie. Untuk detail ini, pilih bagian akun Standalone Macie.

Sebelum Anda membuat dan mengonfigurasi salah satu IAM peran, bekerjalah dengan administrator Macie Anda untuk menentukan konfigurasi yang sesuai untuk akun Anda.

Untuk informasi mendetail tentang penggunaan IAM untuk membuat peran, lihat Membuat peran menggunakan kebijakan kepercayaan khusus di Panduan AWS Identity and Access Management Pengguna.

Jika Anda adalah administrator Macie yang didelegasikan untuk organisasi, mulailah dengan menggunakan editor IAM kebijakan untuk membuat kebijakan izin untuk peran tersebut. IAM Kebijakan tersebut harus sebagai berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}

Di mana IAMRoleName adalah nama IAM peran yang akan diambil Macie saat mengambil sampel data sensitif dari objek S3 yang terpengaruh untuk akun organisasi Anda. Ganti nilai ini dengan nama peran yang Anda buat untuk akun Anda, dan rencanakan untuk membuat akun anggota yang berlaku di organisasi Anda. Nama ini harus sama untuk akun administrator Macie Anda dan setiap akun anggota yang berlaku.

catatan

Dalam kebijakan izin sebelumnya, Resource elemen dalam pernyataan pertama menggunakan karakter wildcard (*). Hal ini memungkinkan IAM entitas terlampir untuk mengambil objek dari semua bucket S3 yang dimiliki organisasi Anda. Untuk mengizinkan akses ini hanya untuk bucket tertentu, ganti karakter wildcard dengan Amazon Resource Name (ARN) dari setiap bucket. Misalnya, untuk mengizinkan akses hanya ke objek dalam ember bernama amzn-s3-demo-bucket1, ubah elemen menjadi:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"

Anda juga dapat membatasi akses ke objek dalam bucket S3 tertentu untuk masing-masing akun. Untuk melakukannya, tentukan bucket ARNs dalam Resource elemen kebijakan izin untuk IAM peran di setiap akun yang berlaku. Untuk informasi dan contoh selengkapnya, lihat elemen IAM JSON kebijakan: Sumber daya dalam Panduan AWS Identity and Access Management Pengguna.

Setelah Anda membuat kebijakan izin untuk IAM peran tersebut, buat dan konfigurasikan peran tersebut. Jika Anda melakukannya menggunakan IAM konsol, pilih Kebijakan kepercayaan khusus sebagai jenis entitas tepercaya untuk peran tersebut. Untuk kebijakan kepercayaan yang mendefinisikan entitas tepercaya untuk peran tersebut, tentukan hal berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Di mana accountID adalah ID akun untuk Anda Akun AWS. Ganti nilai ini dengan ID akun 12 digit Anda.

Dalam kebijakan kepercayaan sebelumnya:

  • PrincipalElemen menentukan prinsip layanan yang digunakan Macie saat mengambil sampel data sensitif dari objek S3 yang terpengaruh,. reveal-samples.macie.amazonaws.com

  • ActionElemen menentukan tindakan bahwa prinsipal layanan diperbolehkan untuk melakukan, AssumeRoleoperasi dari AWS Security Token Service (AWS STS)API.

  • ConditionElemen mendefinisikan kondisi yang menggunakan aws: SourceAccount global condition context key. Kondisi ini menentukan akun mana yang dapat melakukan tindakan yang ditentukan. Dalam hal ini, ini memungkinkan Macie untuk mengambil peran hanya untuk akun yang ditentukan (accountID). Kondisi ini membantu mencegah Macie digunakan sebagai wakil yang bingung selama transaksi dengan AWS STS.

Setelah Anda menentukan kebijakan kepercayaan untuk IAM peran tersebut, lampirkan kebijakan izin ke peran tersebut. Ini harus menjadi kebijakan izin yang Anda buat sebelum Anda mulai membuat peran. Kemudian selesaikan langkah-langkah yang tersisa IAM untuk menyelesaikan pembuatan dan konfigurasi peran. Setelah selesai, konfigurasikan dan aktifkan pengaturan di Macie.

Jika Anda memiliki akun anggota Macie dan Anda ingin mengizinkan administrator Macie untuk mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda, mulailah dengan meminta administrator Macie Anda untuk informasi berikut:

  • Nama IAM peran yang harus dibuat. Nama harus sama untuk akun Anda dan akun administrator Macie untuk organisasi Anda.

  • Nama kebijakan IAM izin untuk dilampirkan ke peran.

  • ID eksternal yang akan ditentukan dalam kebijakan kepercayaan untuk peran tersebut. ID ini harus berupa ID eksternal yang dihasilkan Macie untuk konfigurasi administrator Macie Anda.

Setelah Anda menerima informasi ini, gunakan editor IAM kebijakan untuk membuat kebijakan izin untuk peran tersebut. Kebijakan tersebut harus sebagai berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Kebijakan izin sebelumnya memungkinkan IAM entitas yang dilampirkan untuk mengambil objek dari semua bucket S3 untuk akun Anda. Ini karena Resource elemen dalam kebijakan menggunakan karakter wildcard (*). Untuk mengizinkan akses ini hanya untuk bucket tertentu, ganti karakter wildcard dengan Amazon Resource Name (ARN) dari setiap bucket. Misalnya, untuk mengizinkan akses hanya ke objek dalam ember bernama amzn-s3-demo-bucket2, ubah elemen menjadi:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"

Untuk informasi dan contoh selengkapnya, lihat elemen IAM JSON kebijakan: Sumber daya dalam Panduan AWS Identity and Access Management Pengguna.

Setelah Anda membuat kebijakan izin untuk IAM peran tersebut, buat peran tersebut. Jika Anda membuat peran menggunakan IAM konsol, pilih Kebijakan kepercayaan khusus sebagai jenis entitas tepercaya untuk peran tersebut. Untuk kebijakan kepercayaan yang mendefinisikan entitas tepercaya untuk peran tersebut, tentukan hal berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::administratorAccountID:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}

Dalam kebijakan sebelumnya, ganti nilai placeholder dengan nilai yang benar untuk lingkungan Anda AWS , di mana:

  • administratorAccountID adalah ID akun 12 digit untuk akun administrator Macie Anda.

  • IAMRoleName adalah nama IAM peran di akun administrator Macie Anda. Itu harus menjadi nama yang Anda terima dari administrator Macie Anda.

  • externalID adalah ID eksternal yang Anda terima dari administrator Macie Anda.

Secara umum, kebijakan kepercayaan memungkinkan administrator Macie Anda untuk mengambil peran untuk mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda. PrincipalElemen menentukan IAM peran dalam akun administrator Macie Anda. ARN Ini adalah peran yang digunakan administrator Macie Anda untuk mengambil dan mengungkapkan sampel data sensitif untuk akun organisasi Anda. ConditionBlok mendefinisikan dua kondisi yang selanjutnya menentukan siapa yang dapat mengambil peran:

  • Kondisi pertama menentukan ID eksternal yang unik untuk konfigurasi organisasi Anda. Untuk mempelajari lebih lanjut tentang eksternalIDs, lihat Akses ke Akun AWS dimiliki oleh pihak ketiga di Panduan AWS Identity and Access Management Pengguna.

  • Kondisi kedua menggunakan kunci konteks kondisi global aws: PrincipalOrg ID. Nilai untuk kunci adalah variabel dinamis yang mewakili pengidentifikasi unik untuk organisasi di AWS Organizations (${aws:ResourceOrgID}). Kondisi ini membatasi akses hanya ke akun-akun yang merupakan bagian dari organisasi yang sama di AWS Organizations. Jika Anda bergabung dengan organisasi Anda dengan menerima undangan di Macie, hapus ketentuan ini dari kebijakan.

Setelah Anda menentukan kebijakan kepercayaan untuk IAM peran tersebut, lampirkan kebijakan izin ke peran tersebut. Ini harus menjadi kebijakan izin yang Anda buat sebelum Anda mulai membuat peran. Kemudian selesaikan langkah-langkah yang tersisa IAM untuk menyelesaikan pembuatan dan konfigurasi peran. Jangan mengkonfigurasi dan memasukkan pengaturan untuk peran di Macie.

Jika Anda memiliki akun Macie mandiri atau akun anggota Macie dan Anda ingin mengambil dan menampilkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda sendiri, mulailah dengan menggunakan editor IAM kebijakan untuk membuat kebijakan izin untuk peran tersebut. IAM Kebijakan tersebut harus sebagai berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Dalam kebijakan izin sebelumnya, Resource elemen menggunakan karakter wildcard (*). Hal ini memungkinkan IAM entitas terlampir untuk mengambil objek dari semua bucket S3 untuk akun Anda. Untuk mengizinkan akses ini hanya untuk bucket tertentu, ganti karakter wildcard dengan Amazon Resource Name (ARN) dari setiap bucket. Misalnya, untuk mengizinkan akses hanya ke objek dalam ember bernama amzn-s3-demo-bucket3, ubah elemen menjadi:

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"

Untuk informasi dan contoh selengkapnya, lihat elemen IAM JSON kebijakan: Sumber daya dalam Panduan AWS Identity and Access Management Pengguna.

Setelah Anda membuat kebijakan izin untuk IAM peran tersebut, buat peran tersebut. Jika Anda membuat peran menggunakan IAM konsol, pilih Kebijakan kepercayaan khusus sebagai jenis entitas tepercaya untuk peran tersebut. Untuk kebijakan kepercayaan yang mendefinisikan entitas tepercaya untuk peran tersebut, tentukan hal berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Di mana accountID adalah ID akun untuk Anda Akun AWS. Ganti nilai ini dengan ID akun 12 digit Anda.

Dalam kebijakan kepercayaan sebelumnya:

  • PrincipalElemen menentukan prinsip layanan yang digunakan Macie saat mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh,. reveal-samples.macie.amazonaws.com

  • ActionElemen menentukan tindakan bahwa prinsipal layanan diperbolehkan untuk melakukan, AssumeRoleoperasi dari AWS Security Token Service (AWS STS)API.

  • ConditionElemen mendefinisikan kondisi yang menggunakan aws: SourceAccount global condition context key. Kondisi ini menentukan akun mana yang dapat melakukan tindakan yang ditentukan. Hal ini memungkinkan Macie untuk mengambil peran hanya untuk akun yang ditentukan (accountID). Kondisi ini membantu mencegah Macie digunakan sebagai wakil yang bingung selama transaksi dengan AWS STS.

Setelah Anda menentukan kebijakan kepercayaan untuk IAM peran tersebut, lampirkan kebijakan izin ke peran tersebut. Ini harus menjadi kebijakan izin yang Anda buat sebelum Anda mulai membuat peran. Kemudian selesaikan langkah-langkah yang tersisa IAM untuk menyelesaikan pembuatan dan konfigurasi peran. Setelah selesai, konfigurasikan dan aktifkan pengaturan di Macie.

Mendekripsi objek S3 yang terpengaruh

Amazon S3 mendukung beberapa opsi enkripsi untuk objek S3. Untuk sebagian besar opsi ini, tidak ada sumber daya tambahan atau izin yang diperlukan bagi IAM pengguna atau peran untuk mendekripsi dan mengambil sampel data sensitif dari objek yang terpengaruh. Ini adalah kasus untuk objek yang dienkripsi menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 atau terkelola. AWS AWS KMS key

Namun, jika objek S3 dienkripsi dengan pelanggan yang dikelola AWS KMS key, izin tambahan diperlukan untuk mendekripsi dan mengambil sampel data sensitif dari objek. Lebih khusus lagi, kebijakan kunci untuk KMS kunci harus memungkinkan IAM pengguna atau peran untuk melakukan kms:Decrypt tindakan. Jika tidak, terjadi kesalahan dan Amazon Macie tidak mengambil sampel apa pun dari objek. Untuk mempelajari cara menyediakan akses ini bagi IAM pengguna, lihat akses KMS utama dan izin di Panduan AWS Key Management Service Pengembang.

Cara menyediakan akses ini untuk suatu IAM peran tergantung pada apakah akun yang memiliki AWS KMS key juga memiliki peran tersebut:

  • Jika akun yang sama memiliki KMS kunci dan peran, pengguna akun harus memperbarui kebijakan kunci.

  • Jika satu akun memiliki KMS kunci dan akun yang berbeda memiliki peran tersebut, pengguna akun yang memiliki kunci harus mengizinkan akses lintas akun ke kunci tersebut.

Topik ini menjelaskan cara menjalankan tugas ini untuk IAM peran yang Anda buat untuk mengambil sampel data sensitif dari objek S3. Ini juga memberikan contoh untuk kedua skenario. Untuk informasi tentang mengizinkan akses ke pelanggan yang dikelola AWS KMS keys untuk skenario lain, lihat akses KMS utama dan izin di Panduan AWS Key Management Service Pengembang.

Mengizinkan akses akun yang sama ke kunci yang dikelola pelanggan

Jika akun yang sama memiliki peran AWS KMS key dan IAM peran, pengguna akun harus menambahkan pernyataan ke kebijakan kunci. Pernyataan tambahan harus memungkinkan IAM peran untuk mendekripsi data dengan menggunakan kunci. Untuk informasi detail tentang pembaruan kebijakan kunci, lihat Mengganti kebijakan kunci dalam Panduan Developer AWS Key Management Service .

Dalam pernyataan:

  • PrincipalElemen harus menentukan Amazon Resource Name (ARN) IAM peran.

  • Array Action harus menentukan tindakan kms:Decrypt. Ini adalah satu-satunya AWS KMS tindakan yang harus diizinkan untuk dilakukan IAM peran untuk mendekripsi objek yang dienkripsi dengan kunci.

Berikut ini adalah contoh pernyataan untuk ditambahkan ke kebijakan untuk KMS kunci. 

{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Dalam contoh sebelumnya:

  • AWSBidang dalam Principal elemen menentukan ARN IAM peran dalam akun. Hal ini memungkinkan peran untuk melakukan tindakan yang ditentukan oleh pernyataan kebijakan. 123456789012 adalah contoh ID akun. Ganti nilai ini dengan ID akun untuk akun yang memiliki peran dan KMS kunci. IAMRoleName adalah nama contoh. Ganti nilai ini dengan nama IAM peran di akun.

  • ActionArray menentukan tindakan yang diizinkan untuk dilakukan oleh IAM peran menggunakan KMS kunci—dekripsi ciphertext yang dienkripsi dengan kunci.

Tempat Anda menambahkan pernyataan ini ke kebijakan kunci bergantung pada struktur dan elemen yang saat ini berisi kebijakan. Ketika Anda menambahkan pernyataan, pastikan bahwa sintaksnya valid. Kebijakan utama menggunakan JSON format. Ini berarti bahwa Anda juga harus menambahkan koma sebelum atau setelah pernyataan, tergantung pada tempat Anda menambahkan pernyataan ke kebijakan.

Mengizinkan akses lintas akun ke kunci yang dikelola pelanggan

Jika satu akun memiliki AWS KMS key (pemilik kunci) dan akun yang berbeda memiliki IAM peran (pemilik peran), pemilik kunci harus memberi pemilik peran akses lintas akun ke kunci tersebut. Salah satu cara untuk melakukannya adalah dengan menggunakan hibah. Hibah adalah instrumen kebijakan yang memungkinkan AWS prinsipal untuk menggunakan KMS kunci dalam operasi kriptografi jika kondisi yang ditentukan oleh hibah terpenuhi. Untuk mempelajari tentang hibah, lihat Hibah AWS KMS di Panduan AWS Key Management Service Pengembang.

Dengan pendekatan ini, pemilik kunci pertama-tama memastikan bahwa kebijakan kunci memungkinkan pemilik peran untuk membuat hibah untuk kunci tersebut. Pemilik peran kemudian membuat hibah untuk kunci tersebut. Hibah mendelegasikan izin yang relevan untuk IAM peran di akun mereka. Hal ini memungkinkan peran untuk mendekripsi objek S3 yang dienkripsi dengan kunci.

Langkah 1: Perbarui kebijakan utama

Dalam kebijakan kunci, pemilik kunci harus memastikan bahwa kebijakan tersebut menyertakan pernyataan yang memungkinkan pemilik peran untuk membuat hibah untuk IAM peran tersebut di akun mereka (pemilik peran). Dalam pernyataan ini, Principal elemen harus menentukan ARN akun pemilik peran. Array Action harus menentukan tindakan kms:CreateGrant. Sebuah Condition blok dapat memfilter akses ke tindakan yang ditentukan. Berikut ini adalah contoh pernyataan ini dalam kebijakan untuk KMS kunci.

{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}

Dalam contoh sebelumnya:

  • AWSBidang dalam Principal elemen menentukan akun ARN pemilik peran. Ini memungkinkan akun untuk melakukan tindakan yang ditentukan oleh pernyataan kebijakan. 111122223333 adalah contoh ID akun. Ganti nilai ini dengan ID akun untuk akun pemilik peran.

  • ActionArray menentukan tindakan yang diizinkan untuk dilakukan oleh pemilik peran pada KMS kunci—buat hibah untuk kunci tersebut.

  • ConditionBlok menggunakan operator kondisi dan kunci kondisi berikut untuk memfilter akses ke tindakan yang diizinkan dilakukan oleh pemilik peran pada KMS kunci:

    • kms: GranteePrincipal — Kondisi ini memungkinkan pemilik peran untuk membuat hibah hanya untuk pokok penerima hibah yang ditentukan, yang merupakan IAM peran dalam akun mereka. ARN Dalam hal ituARN, 111122223333 adalah contoh ID akun. Ganti nilai ini dengan ID akun untuk akun pemilik peran. IAMRoleName adalah nama contoh. Ganti nilai ini dengan nama IAM peran di akun pemilik peran.

    • kms: GrantOperations — Kondisi ini memungkinkan pemilik peran untuk membuat hibah hanya untuk mendelegasikan izin untuk melakukan AWS KMS Decrypt tindakan (mendekripsi ciphertext yang dienkripsi dengan kunci). Ini mencegah pemilik peran membuat hibah yang mendelegasikan izin untuk melakukan tindakan lain pada kunci. KMS DecryptTindakan adalah satu-satunya AWS KMS tindakan yang harus diizinkan untuk dilakukan IAM peran untuk mendekripsi objek yang dienkripsi dengan kunci.

Di mana pemilik kunci menambahkan pernyataan ini ke kebijakan kunci tergantung pada struktur dan elemen yang saat ini terkandung dalam kebijakan tersebut. Ketika pemilik kunci menambahkan pernyataan, mereka harus memastikan bahwa sintaksnya valid. Kebijakan utama menggunakan JSON format. Ini berarti bahwa pemilik kunci juga harus menambahkan koma sebelum atau setelah pernyataan, tergantung pada tempat mereka menambahkan pernyataan ke kebijakan. Untuk informasi detail tentang pembaruan kebijakan kunci, lihat Mengganti kebijakan kunci dalam Panduan Developer AWS Key Management Service .

Langkah 2: Buat hibah

Setelah pemilik kunci memperbarui kebijakan kunci seperlunya, pemilik peran membuat hibah untuk kunci tersebut. Hibah mendelegasikan izin yang relevan ke IAM peran di akun mereka (pemilik peran). Sebelum pemilik peran membuat hibah, mereka harus memverifikasi bahwa mereka diizinkan untuk melakukan kms:CreateGrant tindakan. Tindakan ini memungkinkan mereka untuk menambahkan hibah ke pelanggan yang sudah ada dan dikelola AWS KMS key.

Untuk membuat hibah, pemilik peran dapat menggunakan CreateGrantoperasi AWS Key Management Service API. Saat pemilik peran membuat hibah, mereka harus menentukan nilai berikut untuk parameter yang diperlukan:

  • KeyId- ARN KMS Kuncinya. Untuk akses lintas akun ke KMS kunci, nilai ini harus berupaARN. Tidak bisa menggunakan kunci ID.

  • GranteePrincipal— ARN IAM Peran dalam akun mereka. Nilai ini seharusnyaarn:aws:iam::111122223333:role/IAMRoleName, di mana 111122223333 adalah ID akun untuk akun pemilik peran dan IAMRoleName adalah nama peran.

  • Operations— Tindakan AWS KMS dekripsi ()Decrypt. Ini adalah satu-satunya AWS KMS tindakan yang harus diizinkan untuk dilakukan IAM peran untuk mendekripsi objek yang dienkripsi dengan kunci. KMS

Jika pemilik peran menggunakan AWS Command Line Interface (AWS CLI), mereka dapat menjalankan perintah create-grant untuk membuat hibah. Contoh berikut menunjukkan caranya. Contoh ini diformat untuk Microsoft Windows dan menggunakan karakter kelanjutan baris caret (^) untuk meningkatkan keterbacaan.

C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"

Di mana:

  • key-idmenentukan KMS kunci ARN untuk menerapkan hibah ke.

  • grantee-principalmenentukan IAM peran ARN yang diizinkan untuk melakukan tindakan yang ditentukan oleh hibah. Nilai ini harus sesuai dengan ARN yang ditentukan oleh kms:GranteePrincipal kondisi dalam kebijakan kunci.

  • operationsmenentukan tindakan bahwa hibah memungkinkan prinsipal yang ditentukan untuk melakukan—mendekripsi ciphertext yang dienkripsi dengan kunci.

Jika perintah berjalan dengan berhasil, Anda menerima output yang mirip dengan berikut ini.

{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}

Yang mana GrantToken merupakan string yang unik, non-rahasia, variabel-panjang, base64-encoded yang mewakili hibah yang diciptakan, dan GrantId adalah pengidentifikasi unik untuk hibah.