翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する
で Amazon Macie を有効にすると AWS アカウント、Macie はユーザーに代わって Amazon Simple Storage Service (Amazon S3) およびその他の を呼び出すために必要なアクセス許可を Macie に付与するサービスにリンクされたロールを作成します。Amazon S3 AWS サービス サービスにリンクされたロールは、ユーザーに代わってアクションを実行するためにサービスに手動でアクセス許可を追加する必要がない AWS サービス ため、 のセットアッププロセスを簡素化します。このタイプのロールの詳細については、「 ユーザーガイド」の「 IAMロールAWS Identity and Access Management 」を参照してください。
Macie のサービスにリンクされたロールAWSServiceRoleForAmazonMacie
のアクセス許可ポリシーにより、Macie が S3 バケットとオブジェクトに関する情報の取得およびバケット内のオブジェクトからの取得を含むアクションを実行することを許可します。ユーザーが組織の Macie 管理者である場合、ポリシーにより Macie が組織のメンバーアカウントに対してユーザーの代わりにこれらのアクションを実行することも許可します。
Macie は、次のようなタスクを実行するためにこれらの許可を使用します。
-
S3 汎用バケットのインベントリを生成して維持します。
-
バケットとバケット内のオブジェクトに関する統計データやその他のデータを提供します。
-
セキュリティとアクセスコントロールについてバケットをモニタリングおよび評価します。
-
バケット内のオブジェクトを分析して機密データを検出します。
ほとんどの場合、Macie はこれらのタスクを実行するために必要なアクセス許可を持っています。ただし、S3 バケットが制限付きバケットポリシーを持つ場合、ポリシーにより Macie がこれらのタスクの一部またはすべてを実行することを妨げる場合があります。
バケットポリシーは、プリンシパル AWS Identity and Access Management (ユーザー、アカウント、サービス、またはその他のエンティティIAM) が S3 バケットに対して実行できるアクションと、プリンシパルがそれらのアクションを実行できる条件を指定するリソースベースの () ポリシーです。アクションと条件は、バケットに関する情報の取得などのバケットレベルのオペレーションや、バケットからのオブジェクトの取得などのオブジェクトレベルのオペレーションに適用できます。
バケットポリシーは通常、明示的な Allow
または Deny
ステートメントと条件を使用してアクセス権を付与または制限します。例えば、バケットポリシーには、特定の送信元 IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) エンドポイント、またはバケットへのアクセスVPCsに使用されていない限り、バケットへのアクセスを拒否する Allow
または Deny
ステートメントが含まれる場合があります。バケットポリシーを使用してバケットへのアクセスを許可または制限する方法については、Amazon S3 のバケットポリシー」および「Amazon S3 がリクエストを承認する方法」を参照してください。
バケットポリシーが明示的な Allow
ステートメントを使用する場合、ポリシーは、Macie がバケットとバケットのオブジェクトに関する情報を取得したり、バケットからオブジェクトを取得したりすることを妨げません。これは、Macie のサービスにリンクされたロールのアクセス許可ポリシーの Allow
ステートメントが、これらのアクセス許可を付与するからです。
ただし、バケットポリシーが 1 つ以上の条件を持つ明示的な Deny
ステートメントを使用する場合、Macie はバケットまたはバケットのオブジェクトに関する情報を取得したり、バケットのオブジェクトを取得したりすることを許可されない場合があります。たとえば、バケットポリシーが特定の IP アドレスを除くすべてのソースからのアクセスを明示的に拒否した場合、Macie は機密データ検出ジョブを実行するときにバケットのオブジェクトを分析することを許可されなくなります。これは、制限付きバケットポリシーが、Macie のサービスにリンクされたロールのアクセス許可ポリシーの Allow
ステートメントより優先されるからです。
Macie が制限付きバケットポリシーを持つバケットにアクセスすることを許可するために、Macie のサービスにリンクされたロール AWSServiceRoleForAmazonMacie
の条件をバケットポリシーに追加できます。その条件により、Macie のサービスにリンクされたロールをポリシーの Deny
制限との一致から除外できます。これを行うには、Macie サービスにリンクされたロールaws:PrincipalArn
のグローバル条件コンテキストキーと Amazon リソースネーム (ARN) を使用します。
次の手順では、このプロセスについて説明し、例を示します。
Macie のサービスにリンクされたロールをバケットポリシーに追加するには
にサインイン AWS Management Console し、 で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/
。 -
ナビゲーションペインで、バケットを選択します。
-
Macie がアクセスすることを許可する S3 バケットを選択します。
-
アクセス許可タブの バケットポリシーで 編集をクリックします。
-
バケットポリシーエディタで、アクセスを制限し、Macie がバケットまたはバケットのオブジェクトにアクセスすることを妨げるそれぞれの
Deny
ステートメントを特定します。 -
各
Deny
ステートメントで、aws:PrincipalArn
グローバル条件コンテキストキーを使用し、 の Macie サービスにリンクされたロールARNの を指定する条件を追加します AWS アカウント。条件キーの値は である必要があります。ここで
arn:aws:iam::
、123456789012
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie123456789012
は のアカウント ID です AWS アカウント。
これをバケットポリシーのどこに追加するかは、ポリシーに現在含まれている構造、要素、および条件によって異なります。サポートされている構造と要素の詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 のポリシーとアクセス許可を参照してください。
以下は、明示的な Deny
ステートメントを使用して という名前の S3 バケットへのアクセスを制限するバケットポリシーの例ですamzn-s3-demo-bucket
。現在のポリシーでは、ID が であるVPCエンドポイントからのみバケットにアクセスできますvpce-1a2b3c4d
。 AWS Management Console および Macie からのアクセスを含め、他のすべてのVPCエンドポイントからのアクセスは拒否されます。
{
"Version": "2012-10-17",
"Id": "Policy1415115example",
"Statement": [
{
"Sid": "Access only from specific VPCE",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
このポリシーを変更し、Macie がバケットとバケットのオブジェクトにアクセスすることを許可するには、StringNotLike
条件演算子 とaws:PrincipalArn
グローバル条件キー を使用する条件を追加できます。この追加の条件により、Macie のサービスにリンクされたロールを Deny
制限との一致から除外します。
{
"Version": "2012-10-17",
"Id":" Policy1415115example ",
"Statement": [
{
"Sid": "Access only from specific VPCE and Macie",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
},
"StringNotLike": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
}
}
}
]
}
前の例では、StringNotLike
条件演算子は aws:PrincipalArn
条件コンテキストキーを使用して Macie サービスにリンクされたロールARNの を指定します。ここで、
-
123456789012
は、Macie を使用してバケットとバケットのオブジェクトに関する情報を取得し、バケットからオブジェクトを取得することを許可 AWS アカウント されている のアカウント ID です。 -
macie.amazonaws.com
は、Macie サービスプリンシパルの識別子です。 -
AWSServiceRoleForAmazonMacie
は、Macie のサービスにリンクされたロールの名前です。
ポリシーが StringNotEquals
演算子をすでに使用しているため、StringNotLike
演算子が使用されました。ポリシーでは、StringNotEquals
演算子は一度だけ使用できます。
Amazon S3 リソースへのアクセスの管理に関するその他のポリシーの例と詳細については、Amazon Simple Storage Service ユーザーガイドの「アクセス管理」を参照してください。