Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengizinkan Macie untuk mengakses bucket S3 dan objek
Saat Anda mengaktifkan Amazon Macie untuk Anda Akun AWS, Macie membuat peran terkait layanan yang memberi Macie izin yang diperlukan untuk memanggil Amazon Simple Storage Service (Amazon S3) dan lainnya atas nama Anda. Layanan AWS Peran terkait layanan menyederhanakan proses penyiapan Layanan AWS karena Anda tidak perlu menambahkan izin secara manual untuk layanan untuk menyelesaikan tindakan atas nama Anda. Untuk mempelajari jenis peran ini, lihat IAMperan di Panduan AWS Identity and Access Management Pengguna.
Kebijakan izin untuk peran terkait layanan Macie (AWSServiceRoleForAmazonMacie
) memungkinkan Macie melakukan tindakan yang mencakup pengambilan informasi tentang bucket dan objek S3 Anda, serta mengambil objek dari bucket Anda. Jika Anda administrator Macie untuk suatu organisasi, kebijakan ini juga memungkinkan Macie untuk melakukan tindakan ini atas nama Anda untuk akun anggota di organisasi Anda.
Macie menggunakan izin ini untuk melakukan tugas-tugas seperti:
-
Hasilkan dan pertahankan inventaris bucket tujuan umum S3 Anda.
-
Berikan data statistik dan lainnya tentang ember dan objek dalam ember.
-
Memantau dan mengevaluasi ember untuk keamanan dan kontrol akses.
-
Menganalisis objek dalam ember untuk mendeteksi data sensitif.
Dalam kebanyakan kasus, Macie memiliki izin yang dibutuhkan untuk melakukan tugas-tugas ini. Namun, jika bucket S3 memiliki kebijakan bucket yang membatasi, kebijakan tersebut dapat mencegah Macie melakukan beberapa atau semua tugas ini.
Kebijakan bucket adalah kebijakan berbasis sumber daya AWS Identity and Access Management (IAM) yang menentukan tindakan yang dapat dilakukan oleh prinsipal (pengguna, akun, layanan, atau entitas lain) pada bucket S3, dan kondisi di mana prinsipal dapat melakukan tindakan tersebut. Tindakan dan kondisi dapat diterapkan pada operasi tingkat ember, seperti mengambil informasi tentang bucket, dan operasi tingkat objek, seperti mengambil objek dari bucket.
Kebijakan bucket biasanya memberikan atau membatasi akses dengan menggunakan pernyataan Allow
eksplisit atau pernyataan Deny
beserta syarat. Misalnya, kebijakan bucket mungkin berisi Deny
pernyataan Allow
atau pernyataan yang menolak akses ke bucket kecuali alamat IP sumber tertentu, titik akhir Amazon Virtual Private Cloud (AmazonVPC), atau VPCs digunakan untuk mengakses bucket. Untuk informasi tentang penggunaan kebijakan bucket untuk memberikan atau membatasi akses ke bucket, lihat Kebijakan Bucket untuk Amazon S3 dan Cara Amazon S3 mengotorisasi permintaan di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Jika kebijakan bucket menggunakan pernyataan Allow
eksplisit, kebijakan tidak mencegah Macie mengambil informasi tentang bucket dan objek bucket, atau mengambil objek dari bucket. Hal ini karena pernyataan Allow
di dalam kebijakan izin untuk peran tertaut layanan Macie memberikan izin tersebut.
Namun, jika kebijakan bucket menggunakan Deny
pernyataan eksplisit dengan satu atau beberapa kondisi, Macie mungkin tidak diizinkan untuk mengambil informasi tentang bucket atau objek bucket, atau mengambil objek bucket. Misalnya, jika kebijakan bucket secara eksplisit menolak akses dari semua sumber kecuali alamat IP tertentu, Macie tidak akan diizinkan untuk menganalisis objek bucket saat Anda menjalankan pekerjaan penemuan data yang sensitif. Hal ini karena kebijakan bucket yang dibatasi lebih diutamakan dibandingkan pernyataan Allow
di dalam kebijakan izin untuk peran tertaut layanan Macie.
Untuk mengizinkan Macie mengakses bucket S3 yang memiliki kebijakan bucket terbatas, Anda dapat menambahkan kondisi untuk peran () AWSServiceRoleForAmazonMacie
terkait layanan Macie ke kebijakan bucket. Syarat ini dapat mengecualikan peran tertaut layanan Macie dari pencocokan pembatasan Deny
dalam kebijakan. Hal ini dapat dilakukan dengan menggunakan kunci konteks kondisi aws:PrincipalArn
global dan Amazon Resource Name (ARN) dari peran terkait layanan Macie.
Prosedur berikut memandu Anda melalui proses ini dan memberikan contoh.
Untuk menambahkan peran tertaut layanan Macie ke kebijakan bucket
Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
-
Di panel navigasi, pilih Bucket.
-
Pilih bucket S3 yang ingin Anda izinkan untuk diakses oleh Macie.
-
Di tab Izin, di dalam Kebijakan bucket, pilih Edit.
-
Di editor Kebijakan bucket, identifikasi setiap pernyataan
Deny
yang membatasi akses dan mencegah Macie mengakses bucket atau objek bucket. -
Di setiap
Deny
pernyataan, tambahkan kondisi yang menggunakan kunci konteks kondisiaws:PrincipalArn
global dan tentukan peran terkait layanan Macie untuk Anda. ARN Akun AWSNilai untuk kunci kondisi harus
arn:aws:iam::
, di mana123456789012
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie123456789012
adalah ID akun untuk Anda Akun AWS.
Tempat Anda menambahkan ini ke kebijakan bucket tergantung pada struktur, elemen, dan syarat yang saat ini berisi kebijakan. Untuk mempelajari tentang struktur dan elemen yang didukung, lihat Kebijakan dan izin di Amazon S3 di Panduan Pengguna Amazon Simple Storage Service.
Berikut ini adalah contoh kebijakan bucket yang menggunakan Deny
pernyataan eksplisit untuk membatasi akses ke bucket S3 bernama. amzn-s3-demo-bucket
Dengan kebijakan saat ini, bucket hanya dapat diakses dari VPC titik akhir yang ID-nyavpce-1a2b3c4d
. Akses dari semua VPC titik akhir lainnya ditolak, termasuk akses dari AWS Management Console dan Macie.
{
"Version": "2012-10-17",
"Id": "Policy1415115example",
"Statement": [
{
"Sid": "Access only from specific VPCE",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
Untuk mengubah kebijakan ini dan mengizinkan Macie mengakses bucket S3 dan objek bucket, kita dapat menambahkan kondisi yang menggunakan operator StringNotLike
kondisi dan kunci konteks kondisi aws:PrincipalArn
global. Syarat tambahan ini tidak termasuk peran tertaut layanan Macie dari pencocokan pembatasan Deny
.
{
"Version": "2012-10-17",
"Id":" Policy1415115example ",
"Statement": [
{
"Sid": "Access only from specific VPCE and Macie",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
},
"StringNotLike": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
}
}
}
]
}
Pada contoh sebelumnya, operator StringNotLike
kondisi menggunakan kunci konteks aws:PrincipalArn
kondisi untuk menentukan peran terkait layanan Macie, di mana: ARN
-
123456789012
adalah ID akun untuk Akun AWS yang diizinkan menggunakan Macie untuk mengambil informasi tentang bucket dan objek bucket, dan mengambil objek dari ember. -
macie.amazonaws.com
adalah pengidentifikasi untuk prinsipiel layanan Macie. -
AWSServiceRoleForAmazonMacie
ini adalah nama peran tertaut layanan Macie.
Kami menggunakan operator StringNotLike
karena kebijakan sudah menggunakan operator StringNotEquals
. Kebijakan dapat menggunakan operator StringNotEquals
hanya sekali.
Untuk contoh kebijakan tambahan dan informasi terperinci tentang mengelola akses ke sumber daya Amazon S3, lihat Manajemen akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.