Macie 的 AWS 托管式策略 - Amazon Macie
AmazonMacieFullAccess 策略AmazonMacieReadOnlyAccess 策略AmazonMacieServiceRolePolicy 策略策略更新

Macie 的 AWS 托管式策略

AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用场景提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,AWS 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。

有关更多信息,请参阅AWS《IAM 用户指南》中的托管式策略

Amazon Macie 提供了多种 AWS 托管式策略:AmazonMacieFullAccess策略、AmazonMacieReadOnlyAccess策略和 AmazonMacieServiceRolePolicy策略。

AWS 托管式策略:AmazonMacieFullAccess

您还能将 AmazonMacieFullAccess 策略附加到您的 IAM 实体。

该策略授予完全的管理权限,允许 IAM 身份(主体)创建 Amazon Macie 服务相关角色并为 Amazon Macie 执行所有读写操作。这些权限包括创建、更新或删除等转换功能。如果将此策略附加到主体,则主体可以创建、检索和以其他方式访问其账户的所有 Macie 资源、数据和设置。

在主体可以为其账户启用 Macie 之前,必须先将此策略附加到主体 — 必须允许主体创建 Macie 服务相关角色才能为其账户启用 Macie。

权限详细信息

该策略包含以下权限:

  • macie2:允许主体为 Amazon Macie 执行所有读写操作。

  • iam:允许主体创建服务相关角色。Resource元素为 Macie 指定服务相关角色。Condition元素使用 iam:AWSServiceName 条件密钥StringLike 条件运算符来为 Macie 限制服务相关角色的权限。

  • pricing:允许主体从 AWS Billing and Cost Management 中检索其 AWS 账户的定价数据。当主体创建和配置敏感数据发现作业时,Macie 会使用此数据来计算和显示估计成本。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "macie2:*"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iam:CreateServiceLinkedRole",
         "Resource": "arn:aws:iam::*:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
         "Condition": {
            "StringLike": {
               "iam:AWSServiceName": "macie.amazonaws.com"
            }
         }
      },
      {
         "Effect": "Allow",
         "Action": "pricing:GetProducts",
         "Resource": "*"
      }
   ]
}

AWS 托管式策略:AmazonMacieReadOnlyAccess

您还能将 AmazonMacieReadOnlyAccess 策略附加到您的 IAM 实体。

此策略授予只读权限,允许 IAM 身份(主体)为 Amazon Macie 执行所有读操作。权限不包括创建、更新或删除等转换功能。如果将此策略附加到主体,则主体可以检索但不能以其他方式访问其账户的所有 Macie 资源、数据和设置。

权限详细信息

该策略包含以下权限:

macie2:允许主体为 Amazon Macie 执行所有读操作。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "macie2:Describe*",
            "macie2:Get*",
            "macie2:List*",
            "macie2:BatchGetCustomDataIdentifiers",
            "macie2:SearchResources"
         ],
         "Resource": "*"
      }
   ]
}

AWS 托管式策略:AmazonMacieServiceRolePolicy

无法将 AmazonMacieServiceRolePolicy 策略附加到 IAM 实体。此策略附加到服务相关角色,允许 Amazon Macie 代表您执行操作。有关更多信息,请参阅 使用 Macie 的服务相关角色

Macie AWS 托管式策略更新

查看自该服务开始跟踪这些更改以来,有关适用于 Amazon Macie 的 AWS 托管式策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 Macie 文档历史记录页面上的 RSS 源。

更改 说明 日期

AmazonMacieReadOnlyAccess:添加了一个新策略

Macie 添加了一个新策略,即 AmazonMacieReadOnlyAccess策略。此策略授予只读权限,允许主体检索其账户的所有 Macie 资源、数据和设置。

2023 年 6 月 15 日

AmazonMacieFullAccess:更新了一个现有策略

AmazonMacieFullAccess策略中,Macie 更新了 Macie 服务相关角色(aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie)的 Amazon 资源名称(ARN)。

2022 年 6 月 30 日

AmazonMacieServiceRolePolicy:更新了一个现有策略

Macie 从 AmazonMacieServiceRolePolicy策略中删除了 Amazon Macie Classic 的操作和资源。Amazon Macie Classic 已停用,不再可用。

更具体地说,Macie 删除了所有 AWS CloudTrail 操作。Macie 还删除了针对以下资源的所有 Amazon S3 操作:arn:aws:s3:::awsmacie-*arn:aws:s3:::awsmacietrail-*arn:aws:s3:::*-awsmacietrail-*

2022 年 5 月 20 日

AmazonMacieFullAccess:更新了一个现有策略

Macie 向 AmazonMacieFullAccess策略中添加了 AWS Billing and Cost Management (pricing) 操作。此操作允许主体检索其账户的定价数据。当主体创建和配置敏感数据发现作业时,Macie 会使用此数据来计算和显示估计成本。

Macie 还从 AmazonMacieFullAccess策略中删除了 Amazon Macie Classic (macie) 操作。

2022 年 3 月 7 日

AmazonMacieServiceRolePolicy:更新了一个现有策略

Macie 向 AmazonMacieServiceRolePolicy策略中添加了 Amazon CloudWatch Logs 操作。这些操作允许 Macie 为敏感数据发现作业向 CloudWatch Logs 发布日志事件。

2021 年 4 月 13 日

Macie 开启了跟踪更改

Macie 为其 AWS 托管式策略开启了跟踪更改。

2021 年 4 月 13 日