針對 Macie 使用服務連結角色 - Amazon Macie
Macie 的服務連結角色權限建立 Macie 服務連結角色編輯 Macie 服務連結角色刪除 Macie 服務連結角色支援 AWS 區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對 Macie 使用服務連結角色

Amazon Macie 使用名為的 AWS Identity and Access Management (IAM) 服務連結角色AWSServiceRoleForAmazonMacie此服務連結角色是直接連結至 Macie 的IAM角色。它是由 Macie 預先定義的,它包括 Macie 需要調用其他 AWS 服務 並代表您監視 AWS 資源所需的所有權限。Macie 會在所有 Macie 可用的 AWS 區域 地方使用此服務連結角色。

服務連結角色可讓設定 Macie 變得更容易,因為您不需要手動新增必要的權限。Macie 定義此服務連結角色的權限,除非另有定義,否則只有 Macie 可以擔任該角色。定義的權限包括信任原則和權限原則,而且該權限原則無法附加至任何其他IAM實體。

如需支援服務連結角色之其他服務的相關資訊 AWS 服務 ,請參閱服務連結角色資料行中使用IAM並尋找具有 [是] 的服務。選擇具有連結的 [是],以檢閱該服務的服務連結角色文件。

Macie 的服務連結角色權限

Amazon Macie 使用名為的服務鏈接角色。AWSServiceRoleForAmazonMacie此服務連結角色會信任macie.amazonaws.com服務擔任該角色。

角色的權限原則 (名AmazonMacieServiceRolePolicy為) 可讓 Macie 在指定的資源上執行下列工作:

  • 使用 Amazon S3 動作擷取有關 S3 儲存貯體和物件的資訊。

  • 使用 Amazon S3 動作擷取 S3 物件。

  • 使用 AWS Organizations 動作擷取關聯帳號的相關資訊。

  • 使用 Amazon CloudWatch 日誌動作記錄敏感資料探索任務的事件。

角色設定為下列權限原則。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAccountAliases",
        "organizations:DescribeAccount",
        "organizations:ListAccounts",
        "s3:GetAccountPublicAccessBlock",
        "s3:ListAllMyBuckets",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketPolicy",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketTagging",
        "s3:GetBucketVersioning",
        "s3:GetBucketWebsite",
        "s3:GetEncryptionConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetReplicationConfiguration",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*:log-stream:*"
      ]
    }
  ]
}

如需有關AmazonMacieServiceRolePolicy策略更新的詳細資訊,請參閱AWS 受管理策略的 Macie 更新。如需有關此原則變更的自動警示,請訂閱 Macie 文件記錄頁面上的RSS摘要。

您必須設定權限,才能允許IAM實體 (例如使用者或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限

建立 Macie 的服務連結角色

您不需要為 Amazon Macie 手動建立AWSServiceRoleForAmazonMacie服務連結角色。當您為您啟用 Macie 時 AWS 帳戶,Macie 會自動為您建立服務連結角色。

如果您刪除 Macie 服務連結角色,然後需要再次建立角色,則可以使用相同的程序在帳戶中重新建立角色。當您再次啟用 Macie 時,Macie 會再次為您建立服務連結角色。

編輯 Macie 的服務連結角色

Amazon Macie 不允許您編輯AWSServiceRoleForAmazonMacie服務鏈接的角色。建立服務連結角色之後,您無法變更角色的名稱,因為各種實體可能會參照該角色。但是,您可以使用來編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的更新服務連結角色

刪除 Macie 的服務連結角色

只有在刪除服務連結角色的相關資源後,才能刪除該角色。這可保護您的資源,避免您不小心移除資源的存取許可。

如果您不再需要使用 Amazon Macie,建議您手動刪除AWSServiceRoleForAmazonMacie服務連結角色。當您停用 Macie 時,Macie 不會為您刪除角色。

在刪除角色之前,您必須在每個啟用 Macie 的 AWS 區域 位置中停用該角色。您也必須手動清理角色的資源。若要刪除角色,您可以使用IAM主控台 AWS CLI、或 AWS API。如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色

注意

當您嘗試刪除資源時,如果 Macie 正在使用此AWSServiceRoleForAmazonMacie角色,則刪除可能會失敗。如果發生這種情況,請等待幾分鐘,然後再次嘗試該操作。

如果您刪除AWSServiceRoleForAmazonMacie服務連結角色並需要重新建立,您可以針對您的帳戶啟用 Macie 來重新建立該角色。當您再次啟用 Macie 時,Macie 會再次為您建立服務連結角色。

支援 AWS 區域 Macie 服務連結角色

Amazon Macie 支持使用AWSServiceRoleForAmazonMacie服務鏈接的角色在所有的 AWS 區域 地方 Macie 是可用的。如需目前可使用 Macie 的區域清單,請參閱. AWS 一般參考