Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran terkait layanan untuk Macie
Amazon Macie menggunakan peran terkait layanan AWS Identity and Access Management (IAM) bernama. AWSServiceRoleForAmazonMacie Peran terkait layanan ini adalah IAM peran yang ditautkan langsung ke Macie. Ini telah ditentukan oleh Macie dan mencakup semua izin yang diperlukan Macie untuk memanggil sumber daya lain Layanan AWS dan memantau AWS sumber daya atas nama Anda. Macie menggunakan peran terkait layanan ini di semua Wilayah AWS tempat Macie tersedia.
Peran tertaut layanan membuat penyiapan Macie lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Macie mendefinisikan izin dari peran terkait layanan ini, dan kecuali ditentukan lain, hanya Macie yang dapat mengambil peran tersebut. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas lain. IAM
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat layanan Layanan AWS yang berfungsi IAM dan cari layanan yang memiliki Ya di kolom Peran terkait layanan. Pilih Ya dengan tautan untuk meninjau dokumentasi peran terkait layanan untuk layanan tersebut.
Topik
Izin peran tertaut layanan untuk Macie
Amazon Macie menggunakan peran terkait layanan bernama. AWSServiceRoleForAmazonMacie Peran terkait layanan ini mempercayai macie.amazonaws.com layanan untuk mengambil peran tersebut.
Kebijakan izin untuk peran, yang diberi namaAmazonMacieServiceRolePolicy, memungkinkan Macie melakukan tugas seperti berikut pada sumber daya yang ditentukan:
-
Gunakan tindakan Amazon S3 untuk mengambil informasi tentang bucket dan objek S3.
-
Gunakan tindakan Amazon S3 untuk mengambil objek S3.
-
Gunakan AWS Organizations tindakan untuk mengambil informasi tentang akun terkait.
-
Gunakan tindakan Amazon CloudWatch Logs untuk mencatat peristiwa untuk pekerjaan penemuan data sensitif.
Peran dikonfigurasi dengan kebijakan izin berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "organizations:DescribeAccount", "organizations:ListAccounts", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetBucketWebsite", "s3:GetEncryptionConfiguration", "s3:GetLifecycleConfiguration", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectTagging" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/macie/*" ] }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/macie/*:log-stream:*" ] } ] }
Untuk detail tentang pembaruan AmazonMacieServiceRolePolicy kebijakan, lihatPembaruan Macie ke kebijakan AWS terkelola. Untuk peringatan otomatis tentang perubahan kebijakan ini, berlangganan RSS feed di halaman riwayat dokumen Macie.
Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (seperti pengguna atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran terkait layanan di Panduan Pengguna. IAM
Membuat peran terkait layanan untuk Macie
Anda tidak perlu membuat peran AWSServiceRoleForAmazonMacie terkait layanan untuk Amazon Macie secara manual. Saat Anda mengaktifkan Macie untuk Anda Akun AWS, Macie secara otomatis membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan Macie dan kemudian perlu membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran di akun Anda. Saat Anda mengaktifkan Macie lagi, Macie membuat peran terkait layanan lagi untuk Anda.
Mengedit peran terkait layanan untuk Macie
Amazon Macie tidak mengizinkan Anda mengedit peran terkait AWSServiceRoleForAmazonMacie layanan. Setelah peran terkait layanan dibuat, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran dengan menggunakanIAM. Untuk informasi selengkapnya, lihat Memperbarui peran terkait layanan di IAMPanduan Pengguna.
Menghapus peran terkait layanan untuk Macie
Anda dapat menghapus peran terkait layanan hanya setelah menghapus sumber daya terkait. Ini melindungi sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Jika Anda tidak perlu lagi menggunakan Amazon Macie, sebaiknya hapus peran terkait AWSServiceRoleForAmazonMacie layanan secara manual. Saat Anda menonaktifkan Macie, Macie tidak menghapus peran untuk Anda.
Sebelum Anda menghapus peran, Anda harus menonaktifkan Macie di setiap Wilayah AWS tempat Anda mengaktifkannya. Anda juga harus secara manual membersihkan sumber daya untuk peran tersebut. Untuk menghapus peran, Anda dapat menggunakan IAM konsol, AWS CLI, atau AWS API. Untuk informasi selengkapnya, lihat Menghapus peran terkait layanan di Panduan Pengguna. IAM
catatan
Jika Macie menggunakan AWSServiceRoleForAmazonMacie peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit dan kemudian coba operasi lagi.
Jika Anda menghapus peran AWSServiceRoleForAmazonMacie terkait layanan dan perlu membuatnya lagi, Anda dapat membuatnya lagi dengan mengaktifkan Macie untuk akun Anda. Saat Anda mengaktifkan Macie lagi, Macie membuat peran terkait layanan lagi untuk Anda.
Didukung Wilayah AWS untuk peran terkait layanan Macie
Amazon Macie mendukung penggunaan peran AWSServiceRoleForAmazonMacie terkait layanan di semua Wilayah AWS tempat Macie tersedia. Untuk daftar Wilayah di mana Macie saat ini tersedia, lihat titik akhir dan kuota Amazon Macie di. Referensi Umum AWS
