Macie에서 서비스 연결 역할 사용 - Amazon Macie

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Macie에서 서비스 연결 역할 사용

Amazon Macie는 라는 AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다AWSServiceRoleForAmazonMacie. 이 서비스 연결 역할은 Macie에 직접 연결된 IAM 역할입니다. Macie에서 사전 정의했으며 Macie가 사용자를 대신하여 다른 를 호출 AWS 서비스 하고 AWS 리소스를 모니터링하는 데 필요한 모든 권한이 포함되어 있습니다. Macie는 Macie를 사용할 수 AWS 리전 있는 모든 에서 이 서비스 연결 역할을 사용합니다.

서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 Macie를 더 쉽게 설정할 수 있습니다. Macie에서 이 서비스 연결 역할 권한을 정의하므로, 달리 정의되지 않은 한, Macie만이 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책 및 권한 정책이 포함되며 해당 권한 정책은 다른 IAM엔터티에 연결할 수 없습니다.

서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 AWS 서비스 IAM를 참조하고 서비스 연결 역할 열에서 인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 예(Yes) 링크를 선택합니다.

Macie에 대한 서비스 연결 역할 권한

Amazon Macie는 AWSServiceRoleForAmazonMacie라는 이름의 서비스 연결 역할을 사용합니다. 이 서비스 연결 역할은 macie.amazonaws.com 서비스를 그 역할을 맡도록 맡깁니다.

그 역할에 대한 권한 정책은 AmazonMacieServiceRolePolicy라는 이름이며, Macier로 하여금 지정된 리소스에서 다음과 같은 작업 수행을 허용합니다.

  • Amazon S3 작업을 사용하여 S3 버킷 및 객체에 대한 정보를 검색할 수 있습니다.

  • Amazon S3 작업을 사용하여 S3 객체를 검색합니다.

  • AWS Organizations 작업을 사용하여 연결된 계정에 대한 정보를 검색합니다.

  • Amazon CloudWatch Logs 작업을 사용하여 민감한 데이터 검색 작업에 대한 이벤트를 로깅합니다.

역할은 다음과 같은 권한 정책으로 구성됩니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "organizations:DescribeAccount", "organizations:ListAccounts", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetBucketWebsite", "s3:GetEncryptionConfiguration", "s3:GetLifecycleConfiguration", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectTagging" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/macie/*" ] }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/macie/*:log-stream:*" ] } ] }

AmazonMacieServiceRolePolicy 정책의 업데이트에 대한 자세한 정보는 Macie는 관리형 정책을 업데이트합니다. AWS 섹션을 참조하세요. 이 정책의 변경 사항에 대한 자동 알림을 받으려면 Macie 문서 기록 페이지에서 RSS 피드를 구독하세요.

IAM 엔터티(예: 사용자 또는 역할)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 권한을 참조하세요.

Macie의 서비스 연결 역할 생성

Amazon Macie를 위해 AWSServiceRoleForAmazonMacie 서비스 연결 역할을 수동으로 생성할 필요가 없습니다. 에 대해 Macie를 활성화하면 AWS 계정 Macie가 자동으로 서비스 연결 역할을 생성합니다.

Macie 서비스 연결 역할을 삭제 후에 다시 생성해야 하는 경우, 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. Macie를 다시 활성화하면 Macie가 서비스 연결 역할을 다시 생성합니다.

Macie의 서비스 연결 역할 편집

Amazon Macie는 사용자가 AWSServiceRoleForAmazonMacie 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할이 생성된 후, 여러 엔터티가 역할을 참조할 수 있으므로, 역할 이름을 변경할 수 없습니다. 그러나 를 사용하여 역할에 대한 설명을 편집할 수 있습니다IAM. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 업데이트를 참조하세요.

Macie의 서비스 연결 역할 삭제

먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 리소스가 보호됩니다.

Amazon Macie를 더 이상 사용하지 않을 경우에는 수동으로 AWSServiceRoleForAmazonMacie 서비스 연결 역할을 삭제하는 것이 좋습니다. Macie를 비활성화해도 Macie는 사용자를 위한 역할을 삭제하지 않습니다.

역할을 삭제하기 전에 Macie를 활성화 AWS 리전 한 각 에서 Macie를 비활성화해야 합니다. 또한 역할의 리소스를 수동으로 정리해야 합니다. 역할을 삭제하려면 IAM 콘솔, AWS CLI또는 를 사용할 수 있습니다 AWS API. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 삭제를 참조하세요.

참고

사용자가 리소스를 삭제할 때 Macie가 AWSServiceRoleForAmazonMacie 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

사용자가 AWSServiceRoleForAmazonMacie서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우, 계정에서 Macie 기능을 활성화하여 다시 생성할 수 있습니다. Macie를 다시 활성화하면 Macie가 서비스 연결 역할을 다시 생성합니다.

Macie 서비스 연결 역할에 AWS 리전 지원됨

Amazon Macie는 Macie를 사용할 수 AWS 리전 있는 모든 에서 AWSServiceRoleForAmazonMacie 서비스 연결 역할 사용을 지원합니다. 현재 Macie를 사용할 수 있는 모든 리전 목록은 AWS 일반 참조 Amazon Macie 및 엔드포인트 및 할당량을 참조하세요.