Exemplos de políticas baseadas em identidade para Macie - Amazon Macie
Melhores práticas de políticaUsando o console do MacieExemplo: permita que os usuários revejam suas próprias permissõesExemplo: permita que os usuários criem trabalhos de descoberta de dados confidenciaisExemplo: permita que os usuários gerenciem um trabalho de descoberta de dados confidenciaisExemplo: permita que os usuários revisem as descobertasExemplo: permita que os usuários revisem identificadores de dados personalizados com base em tags

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas baseadas em identidade para Macie

Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do Macie. Eles também não podem realizar tarefas usando o AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.

Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos de JSON política, consulte Criação de IAM políticas no Guia do IAMusuário.

Para obter detalhes sobre ações e tipos de recursos definidos pelo Macie, incluindo o formato de cada um dos tipos de recursos, consulte Ações, recursos e chaves de condição para o Amazon Macie na Referência de Autorização de Serviço. ARNs

Ao criar uma política, certifique-se de resolver os avisos de segurança, os erros, os avisos gerais e as sugestões do AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) antes de salvar a política. IAMO Access Analyzer executa verificações de políticas para validar uma política em relação IAM à gramática e às melhores práticas. Essas verificações geram descobertas e fornecem recomendações práticas que ajudam a criar políticas que sejam funcionais e estejam em conformidade com as práticas recomendadas de segurança. Para saber mais sobre a validação de políticas usando o IAM Access Analyzer, consulte Validação de políticas do IAM Access Analyzer no Guia do IAM Usuário. Para revisar uma lista dos avisos, erros e sugestões que o IAM Access Analyzer pode retornar, consulte a referência de verificação de políticas do IAM Access Analyzer no Guia do IAM Usuário.

Melhores práticas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Macie em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

  • Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte políticas AWS gerenciadas ou políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.

  • Aplique permissões com privilégios mínimos — Ao definir permissões com IAM políticas, conceda somente as permissões necessárias para realizar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre IAM como usar para aplicar permissões, consulte Políticas e permissões IAM no Guia IAM do usuário.

  • Use condições nas IAM políticas para restringir ainda mais o acesso — Você pode adicionar uma condição às suas políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte Elementos IAM JSON da política: Condição no Guia IAM do usuário.

  • Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAMO Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação da política do IAM Access Analyzer no Guia do IAM Usuário.

  • Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte Configurando o API acesso MFA protegido no Guia do IAMusuário.

Para obter mais informações sobre as melhores práticas emIAM, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Usando o console do Amazon Macie

Para acessar o console do Amazon Macie, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do Macie em seu Conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para AWS CLI o. ou AWS API o. Em vez disso, permita o acesso somente às ações que correspondam à API operação que eles estão tentando realizar.

Para garantir que usuários e funções possam usar o console do Amazon Macie, crie IAM políticas que forneçam acesso ao console. Para obter mais informações, consulte Políticas e permissões IAM no Guia IAM do usuário.

Se você criar uma política que permita que usuários ou funções usem o console do Amazon Macie, certifique-se de que a política permita a ação macie2:GetMacieSession. Caso contrário, esses usuários ou perfis não poderão acessar nenhum recurso ou dado do Macie no console.

Certifique-se também de que a política permita as ações macie2:List adequadas para os recursos que esses usuários ou perfis precisam acessar no console. Caso contrário, eles não conseguirão navegar ou exibir detalhes sobre esses recursos no console. Por exemplo, para rever os detalhes de um trabalho de descoberta de dados confidenciais usando o console, o usuário deve ter permissão para realizar a ação macie2:DescribeClassificationJob do trabalho e da ação macie2:ListClassificationJobs. Se um usuário não tiver permissão para realizar a ação macie2:ListClassificationJobs, ele não poderá exibir uma lista de trabalhos na página Trabalhos do console e, portanto, não poderá escolher um trabalho para exibir seus detalhes. Para que os detalhes incluam informações sobre um identificador de dados personalizado usado pelo trabalho, o usuário também deve ter permissão para realizar a ação macie2:BatchGetCustomDataIdentifiers do identificador de dados personalizado.

Exemplo: permita que os usuários revejam suas próprias permissões

Este exemplo mostra como você pode criar uma política que permita IAM aos usuários visualizar as políticas embutidas e gerenciadas que estão anexadas à identidade do usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou. AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Exemplo: permita que os usuários criem trabalhos de descoberta de dados confidenciais

Este exemplo mostra como você pode criar uma política que permita que um usuário crie trabalhos de descoberta de dados confidenciais.

No exemplo, a primeira instrução concede permissões macie2:CreateClassificationJob ao usuário. Essas permissões autorizam o usuário a criar trabalhos. A instrução também concede permissões macie2:DescribeClassificationJob. Essas permissões autorizam o usuário a acessar os detalhes dos trabalhos existentes. Embora essas permissões não sejam necessárias para criar trabalhos, o acesso a esses detalhes pode ajudar o usuário a criar trabalhos com configurações exclusivas.

A segunda instrução no exemplo permite que o usuário crie, configure e revise trabalhos usando o console do Amazon Macie. As permissões macie2:ListClassificationJobs autorizam o usuário a exibir trabalhos existentes na página Trabalhos do console. Todas as outras permissões na instrução permitem que o usuário configure e crie um trabalho usando as páginas Criar trabalho no console.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndReviewJobs",
            "Effect": "Allow",
            "Action": [
                "macie2:CreateClassificationJob",
                "macie2:DescribeClassificationJob"
            ],
            "Resource": "arn:aws:macie2:*:*:classification-job/*"
        },
        {
            "Sid": "CreateAndReviewJobsOnConsole",
            "Effect": "Allow",
            "Action": [
                "macie2:ListClassificationJobs",
                "macie2:ListAllowLists",
                "macie2:ListCustomDataIdentifiers",
                "macie2:ListManagedDataIdentifiers",
                "macie2:SearchResources",
                "macie2:DescribeBuckets"
            ],
            "Resource": "*"
        }
    ]
}

Exemplo: permita que os usuários gerenciem um trabalho de descoberta de dados confidenciais

Este exemplo mostra como criar uma política que permite que um usuário acesse os detalhes de um determinado trabalho de descoberta de dados confidenciais, o trabalho cujo ID é 3ce05dbb7ec5505def334104bexample. O exemplo também permite que o usuário altere o status do trabalho conforme necessário.

A primeira instrução do exemplo concede permissões macie2:DescribeClassificationJob e macie2:UpdateClassificationJob ao usuário. Essas permissões autorizam o usuário a recuperar os detalhes do trabalho e alterar o status do trabalho, respectivamente. A segunda instrução concede permissões macie2:ListClassificationJobs ao usuário, autorizando o usuário a acessar o trabalho usando a página Trabalhos no console do Amazon Macie.

{
   "Version": "2012-10-17",
   "Statement": [
	{
         "Sid": "ManageOneJob",
         "Effect": "Allow",
         "Action": [
            "macie2:DescribeClassificationJob",
            "macie2:UpdateClassificationJob"
         ],
         "Resource": "arn:aws:macie2:*:*:classification-job/3ce05dbb7ec5505def334104bexample"
	},
	{
         "Sid": "ListJobsOnConsole",
         "Effect": "Allow",
         "Action": "macie2:ListClassificationJobs",
         "Resource": "*"
	}
   ]
}

Você também pode permitir que o usuário acesse dados de registro (eventos de log) que o Macie publica no Amazon CloudWatch Logs para o trabalho. Para fazer isso, você pode adicionar instruções que concedam permissões para realizar ações CloudWatch Logs (logs) no grupo de registros e no stream do trabalho. Por exemplo:

"Statement": [
    {
        "Sid": "AccessLogGroupForMacieJobs",
        "Effect": "Allow",
        "Action": [
            "logs:DescribeLogGroups",
            "logs:DescribeLogStreams"
        ],
        "Resource": "arn:aws:logs:*:*:log-group:aws/macie/classificationjobs"
    },
    {
        "Sid": "AccessLogEventsForOneMacieJob",
        "Effect": "Allow",
        "Action": "logs:GetLogEvents",
        "Resource": [
            "arn:aws:logs:*:*:log-group:aws/macie/classificationjobs/*",
            "arn:aws:logs:*:*:log-group:aws/macie/classificationjobs:log-stream:3ce05dbb7ec5505def334104bexample"
        ]
    }
]

Para obter informações sobre como gerenciar o acesso aos CloudWatch registros, consulte Visão geral do gerenciamento de permissões de acesso aos seus recursos de CloudWatch registros no Guia do usuário do Amazon CloudWatch Logs.

Exemplo: permita que os usuários revisem as descobertas

Este exemplo mostra como criar uma política que permite que um usuário acesse os dados da descoberta.

Neste exemplo, as macie2:GetFindingStatistics permissões macie2:GetFindings e permitem que o usuário recupere os dados usando o Amazon API Macie ou o console do Amazon Macie. As permissões macie2:ListFindings autorizam o usuário a recuperar e revisar os dados usando o painel de Resumo e as páginas de Descobertas no console do Amazon Macie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReviewFindings",
            "Effect": "Allow",
            "Action": [
                "macie2:GetFindings",
                "macie2:GetFindingStatistics",
                "macie2:ListFindings"
            ],
            "Resource": "*"
        }
    ]
}

Você também pode permitir que o usuário crie e gerencie regras de filtro e regras de supressão para descobertas. Para fazer isso, você pode incluir uma instrução que conceda as seguintes permissões: macie2:CreateFindingsFilter, macie2:GetFindingsFilter, macie2:UpdateFindingsFilter e macie2:DeleteFindingsFilter. Para permitir que o usuário gerencie as regras usando o console do Amazon Macie, inclua também as permissões macie2:ListFindingsFilters na política. Por exemplo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReviewFindings",
            "Effect": "Allow",
            "Action": [
                "macie2:GetFindings",
                "macie2:GetFindingStatistics",
                "macie2:ListFindings"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ManageRules",
            "Effect": "Allow",
            "Action": [
                "macie2:GetFindingsFilter",
                "macie2:UpdateFindingsFilter",
                "macie2:CreateFindingsFilter",
                "macie2:DeleteFindingsFilter"
            ],
            "Resource": "arn:aws:macie2:*:*:findings-filter/*"
        },
        {
            "Sid": "ListRulesOnConsole",
            "Effect": "Allow",
            "Action": "macie2:ListFindingsFilters",
            "Resource": "*"
        }
    ]
}

Exemplo: permita que os usuários revisem identificadores de dados personalizados com base em tags

Nas política baseadas em identidade, você pode usar condições para controlar o acesso aos recursos do Amazon Macie com base em tags. Este exemplo mostra como você pode criar uma política que permita que um usuário revise identificadores de dados personalizados usando o console do Amazon Macie ou o Amazon Macie. API No entanto, a permissão é concedida somente se o valor da tag Owner for o nome de usuário do usuário.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReviewCustomDataIdentifiersIfOwner",
            "Effect": "Allow",
            "Action": "macie2:GetCustomDataIdentifier",
            "Resource": "arn:aws:macie2:*:*:custom-data-identifier/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Sid": "ListCustomDataIdentifiersOnConsoleIfOwner",
            "Effect": "Allow",
            "Action": "macie2:ListCustomDataIdentifiers",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Neste exemplo, se um usuário com o nome de usuário richard-roe tentar revisar os detalhes de um identificador de dados personalizado, o identificador de dados personalizado deverá ser marcado com uma tag como Owner=richard-roe ou owner=richard-roe. Caso contrário, o usuário terá o acesso negado. A chave da tag de condição Owner corresponde a Owner e a owner porque os nomes de chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte Elementos IAM JSON da política: Condição no Guia IAM do usuário.