Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Mengizinkan Macie untuk mengakses bucket S3 dan objek Saat Anda mengaktifkan Amazon Macie untuk Anda Akun AWS, Macie membuat [peran terkait layanan yang memberi](service-linked-roles.md) Macie izin yang diperlukan untuk memanggil Amazon Simple Storage Service (Amazon S3) dan lainnya atas nama Anda. Layanan AWS Peran terkait layanan menyederhanakan proses penyiapan Layanan AWS karena Anda tidak perlu menambahkan izin secara manual untuk layanan untuk menyelesaikan tindakan atas nama Anda. Untuk mempelajari jenis peran ini, lihat peran [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) di *Panduan AWS Identity and Access Management Pengguna*. Kebijakan izin untuk peran terkait layanan Macie (`AWSServiceRoleForAmazonMacie`) memungkinkan Macie melakukan tindakan yang mencakup pengambilan informasi tentang bucket dan objek S3 Anda, serta mengambil objek dari bucket Anda. Jika Anda administrator Macie untuk suatu organisasi, kebijakan ini juga memungkinkan Macie untuk melakukan tindakan ini atas nama Anda untuk akun anggota di organisasi Anda. Macie menggunakan izin ini untuk melakukan tugas-tugas seperti: + Hasilkan dan pertahankan inventaris bucket tujuan umum S3 Anda. + Berikan data statistik dan lainnya tentang ember dan objek dalam ember. + Memantau dan mengevaluasi ember untuk keamanan dan kontrol akses. + Menganalisis objek dalam ember untuk mendeteksi data sensitif. Dalam kebanyakan kasus, Macie memiliki izin yang dibutuhkan untuk melakukan tugas-tugas ini. Namun, jika bucket S3 memiliki kebijakan bucket yang membatasi, kebijakan tersebut dapat mencegah Macie melakukan beberapa atau semua tugas ini. *Kebijakan bucket adalah kebijakan* berbasis sumber daya AWS Identity and Access Management (IAM) yang menentukan tindakan yang dapat dilakukan oleh prinsipal (pengguna, akun, layanan, atau entitas lain) pada bucket S3, dan kondisi di mana prinsipal dapat melakukan tindakan tersebut. Tindakan dan kondisi dapat diterapkan pada operasi tingkat ember, seperti mengambil informasi tentang bucket, dan operasi tingkat objek, seperti mengambil objek dari bucket. Kebijakan bucket biasanya memberikan atau membatasi akses dengan menggunakan pernyataan `Allow` eksplisit atau pernyataan `Deny` beserta syarat. Misalnya, kebijakan bucket mungkin berisi `Deny` pernyataan `Allow` atau pernyataan yang menolak akses ke bucket kecuali alamat IP sumber tertentu, titik akhir Amazon Virtual Private Cloud (Amazon VPC), VPCs atau digunakan untuk mengakses bucket. Untuk informasi tentang penggunaan kebijakan bucket untuk memberikan atau membatasi akses ke bucket, lihat [Kebijakan Bucket untuk Amazon S3 dan Cara Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) S3 [mengotorisasi permintaan di Panduan Pengguna Layanan Penyimpanan Sederhana](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) *Amazon*. Jika kebijakan bucket menggunakan pernyataan `Allow` eksplisit, kebijakan tidak mencegah Macie mengambil informasi tentang bucket dan objek bucket, atau mengambil objek dari bucket. Hal ini karena pernyataan `Allow` di dalam kebijakan izin untuk peran tertaut layanan Macie memberikan izin tersebut. Namun, jika kebijakan bucket menggunakan `Deny` pernyataan eksplisit dengan satu atau beberapa kondisi, Macie mungkin tidak diizinkan untuk mengambil informasi tentang bucket atau objek bucket, atau mengambil objek bucket. Misalnya, jika kebijakan bucket secara eksplisit menolak akses dari semua sumber kecuali alamat IP tertentu, Macie tidak akan diizinkan untuk menganalisis objek bucket saat Anda menjalankan pekerjaan penemuan data yang sensitif. Hal ini karena kebijakan bucket yang dibatasi lebih diutamakan dibandingkan pernyataan `Allow` di dalam kebijakan izin untuk peran tertaut layanan Macie. Untuk mengizinkan Macie mengakses bucket S3 yang memiliki kebijakan bucket terbatas, Anda dapat menambahkan kondisi untuk peran () `AWSServiceRoleForAmazonMacie` terkait layanan Macie ke kebijakan bucket. Syarat ini dapat mengecualikan peran tertaut layanan Macie dari pencocokan pembatasan `Deny` dalam kebijakan. Hal ini dapat dilakukan dengan menggunakan [kunci konteks kondisi `aws:PrincipalArn` global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dan Amazon Resource Name (ARN) dari peran terkait layanan Macie. Prosedur berikut memandu Anda melalui proses ini dan memberikan contoh. **Untuk menambahkan peran tertaut layanan Macie ke kebijakan bucket** 1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 1. Di panel navigasi, pilih **Bucket**. 1. Pilih bucket S3 yang ingin Anda izinkan untuk diakses oleh Macie. 1. Di tab **Izin**, di dalam **Kebijakan bucket**, pilih **Edit**. 1. Di editor **Kebijakan bucket**, identifikasi setiap pernyataan `Deny` yang membatasi akses dan mencegah Macie mengakses bucket atau objek bucket. 1. Di setiap `Deny` pernyataan, tambahkan kondisi yang menggunakan kunci konteks kondisi `aws:PrincipalArn` global dan tentukan ARN peran terkait layanan Macie untuk Anda. Akun AWS Nilai untuk kunci kondisi seharusnya`arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`, di *123456789012* mana ID akun untuk Anda Akun AWS. Tempat Anda menambahkan ini ke kebijakan bucket tergantung pada struktur, elemen, dan syarat yang saat ini berisi kebijakan. Untuk mempelajari tentang struktur dan elemen yang didukung, lihat [Kebijakan dan izin di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html) di *Panduan Pengguna Amazon Simple Storage Service*. Berikut ini adalah contoh kebijakan bucket yang menggunakan `Deny` pernyataan eksplisit untuk membatasi akses ke bucket S3 bernama. `amzn-s3-demo-bucket` Dengan kebijakan saat ini, bucket dapat diakses hanya dari VPC endpoint dengan ID adalah `vpce-1a2b3c4d`. Akses dari semua titik akhir VPC lainnya ditolak, termasuk akses dari dan Macie. Konsol Manajemen AWS ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "Policy1415115example", "Statement": [ { "Sid": "Access only from specific VPCE", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } ``` ------ Untuk mengubah kebijakan ini dan mengizinkan Macie mengakses bucket S3 dan objek bucket, kita dapat menambahkan kondisi yang menggunakan [operator `StringNotLike` kondisi dan kunci](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) [konteks kondisi `aws:PrincipalArn` global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Syarat tambahan ini tidak termasuk peran tertaut layanan Macie dari pencocokan pembatasan `Deny`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id":" Policy1415115example ", "Statement": [ { "Sid": "Access only from specific VPCE and Macie", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" }, "StringNotLike": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie" } } } ] } ``` ------ Pada contoh sebelumnya, operator `StringNotLike` kondisi menggunakan kunci konteks `aws:PrincipalArn` kondisi untuk menentukan ARN peran terkait layanan Macie, di mana: + `123456789012`adalah ID akun untuk Akun AWS yang diizinkan menggunakan Macie untuk mengambil informasi tentang bucket dan objek bucket, dan mengambil objek dari ember. + `macie.amazonaws.com` adalah pengidentifikasi untuk prinsipiel layanan Macie. + `AWSServiceRoleForAmazonMacie` ini adalah nama peran tertaut layanan Macie. Kami menggunakan operator `StringNotLike` karena kebijakan sudah menggunakan operator `StringNotEquals`. Kebijakan dapat menggunakan operator `StringNotEquals` hanya sekali. Untuk contoh kebijakan tambahan dan informasi terperinci tentang mengelola akses ke sumber daya Amazon S3, lihat [Kontrol akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.