本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
允許 Macie 存取 S3 儲存貯體和物件
當您為您啟用 Amazon Macie 時 AWS 帳戶,Macie 會創建一個服務鏈接角色,該角色授予 Macie 代表您調用 Amazon Simple Storage Service (Amazon S3) 和其他 AWS 服務 所需的許可。服務連結角色可簡化設定程序, AWS 服務 因為您不需要手動新增服務的權限,即可代表您完成動作。要了解此類角色,請參閱《AWS Identity and Access Management 用戶指南》中的「IAM角色」。
Macie 服務連結角色 (AWSServiceRoleForAmazonMacie
) 的許可政策允許 Macie 執行動作,其中包括擷取 S3 儲存貯體和物件的相關資訊,以及從值區擷取物件。如果您是組織的 Macie 系統管理員,此原則也會允許 Macie 代表您針對組織中的成員帳戶執行這些動作。
Macie 會使用這些權限來執行下列工作:
-
產生並維護 S3 一般用途儲存貯體的庫存。
-
提供值區中值區和物件的統計資料和其他資料。
-
監控和評估存儲桶的安全性和訪問控制。
-
分析值區中的物件以偵測敏感資料。
在大多數情況下,Macie 具有執行這些任務所需的權限。但是,如果 S3 儲存貯體有限制性的儲存貯體政策,則該政策可能會阻止 Macie 執行部分或全部工作。
儲存貯體政策是以資源為基礎的 AWS Identity and Access Management (IAM) 政策,可指定主體 (使用者、帳戶、服務或其他實體) 可在 S3 儲存貯體上執行的動作,以及主體可以執行這些動作的條件。動作和條件可套用至值區層級作業,例如擷取值區的相關資訊,以及物件層級作業 (例如從值區擷取物件)。
儲存貯體政策通常會使用明確或Deny
陳述式和條件來授予Allow
或限制存取權。例如,值區政策可能包含拒絕存取值區的Allow
或Deny
陳述式,除非特定來源 IP 地址、Amazon 虛擬私有雲端 (AmazonVPC) 端點或VPCs用於存取值區。如需使用儲存貯體政策授予或限制儲存貯體存取權的詳細資訊,請參閱 Amazon S3 的儲存貯體政策和 Amazon S3 如何授權請求 (詳見 Amazon S3) 簡單儲存服務使用者指南。
如果值區政策使用明確Allow
陳述式,政策不會阻止 Macie 擷取值區和值區物件的相關資訊,或從值區擷取物件。這是因為 Macie 服務連結角色的權限原則中的Allow
陳述式會授與這些權限。
不過,如果值區政策使用具有一或多個條件的明確Deny
陳述式,Macie 可能無法擷取值區或值區物件的相關資訊,或擷取值區的物件。例如,如果值區政策明確拒絕來自特定 IP 位址以外的所有來源的存取,當您執行敏感資料探索工作時,Macie 就不會被允許分析值區的物件。這是因為限制性值區政策優先於 Macie 服務連Allow
結角色的權限原則中的陳述式。
若要允許 Macie 存取具有限制性儲存貯體政策的 S3 儲存貯體,您可以將 Macie 服務連結角色 (AWSServiceRoleForAmazonMacie
) 的條件新增至儲存貯體政策。此條件可以排除 Macie 服務連結角色,使其不符合原則中的Deny
限制。它可以使用 Macie 服務連結角色的aws:PrincipalArn
全域條件內容金鑰和 Amazon 資源名稱 (ARN) 來執行此操作。
下列程序會引導您完成此程序,並提供範例。
將 Macie 服務連結角色新增至值區政策
登入 AWS Management Console 並開啟 Amazon S3 主控台,位於https://console.aws.amazon.com/s3/
。 -
在導覽窗格中,選擇 儲存貯體。
-
選擇您要允許 Macie 存取的 S3 儲存貯體。
-
在 Permissions (許可) 索引標籤上,Bucket policy (儲存貯體政策) 下,選擇 Edit (編輯)。
-
在值區政策編輯器中,識別限制存取權的每個
Deny
陳述式,並防止 Macie 存取值區或值區的物件。 -
在每個
Deny
陳述式中,新增使用aws:PrincipalArn
全域條件內容索引鍵ARN的條件,並為您的. AWS 帳戶條件鍵的值應該是
arn:aws:iam::
,其中123456789012
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie123456789012
是您的帳戶 ID AWS 帳戶。
將此新增至值區政策的位置取決於原則目前包含的結構、元素和條件。若要了解支援的結構和元素,請參閱 Amazon 簡單儲存服務使用者指南中的 Amazon S3 中的政策和許可。
以下是儲存貯體政策的範例,該政策使用明確Deny
陳述式限制存取名為的 S3 儲存貯體amzn-s3-demo-bucket
。使用目前的政策,只能從 ID 為的VPC端點存取值區vpce-1a2b3c4d
。拒絕來自所有其他VPC端點的存取,包括來自 AWS Management Console 和 Macie 的存取。
{
"Version": "2012-10-17",
"Id": "Policy1415115example",
"Statement": [
{
"Sid": "Access only from specific VPCE",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
若要變更此政策並允許 Macie 存取 S3 儲存貯體和儲存貯體的物件,我們可以新增使用條件運算子和aws:PrincipalArn
全域StringNotLike
條件內容索引鍵的條件。此額外條件會將 Macie 服務連結角色排除在符合限制之Deny
外。
{
"Version": "2012-10-17",
"Id":" Policy1415115example ",
"Statement": [
{
"Sid": "Access only from specific VPCE and Macie",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
},
"StringNotLike": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
}
}
}
]
}
在上述範例中,StringNotLike
條件運算子會使用aws:PrincipalArn
條件內容索引鍵來指定 ARN Macie 服務連結角色,其中:
-
123456789012
是允許使用 Macie 擷取值區和值區物件的相關資訊,以及從值區擷取物件的帳戶 ID。 AWS 帳戶 -
macie.amazonaws.com
是 Macie 服務主體的識別碼。 -
AWSServiceRoleForAmazonMacie
是 Macie 服務連結角色的名稱。
我們使用StringNotLike
運算子,因為原則已經使用StringNotEquals
運算子。政策只能使用一次StringNotEquals
運算子。
如需管理 Amazon S3 資源存取權的其他政策範例和詳細資訊,請參閱 Amazon 簡單儲存服務使用者指南中的存取管理。