本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 适用于 Macie 的托管策略
<a name="security-iam-awsmanpol"></a>





 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

Amazon Macie 提供了多种 AWS 托管`AmazonMacieFullAccess`策略：`AmazonMacieReadOnlyAccess`策略、策略和策略。`AmazonMacieServiceRolePolicy`

**Topics**
+ [AmazonMacieFullAccess 策略](#security-iam-awsmanpol-AmazonMacieFullAccess)
+ [AmazonMacieReadOnlyAccess 策略](#security-iam-awsmanpol-AmazonMacieReadOnlyAccess)
+ [AmazonMacieServiceRolePolicy 策略](#security-iam-awsmanpol-AmazonMacieServiceRolePolicy)
+ [Macie AWS 托管策略的更新](#security-iam-awsmanpol-updates)









## AWS 托管策略：AmazonMacieFullAccess
<a name="security-iam-awsmanpol-AmazonMacieFullAccess"></a>





您还能将 `AmazonMacieFullAccess` 策略附加到您的 IAM 实体。



该策略授予完全的管理权限，允许 IAM 身份（*主体*）创建 [Amazon Macie 服务相关角色](service-linked-roles.md)并为 Amazon Macie 执行所有读写操作。这些权限包括创建、更新或删除等转换功能。如果将此策略附加到主体，则主体可以创建、检索和以其他方式访问其账户的所有 Macie 资源、数据和设置。

在主体可以为其账户启用 Macie 之前，必须先将此策略附加到主体 — 必须允许主体创建 Macie 服务相关角色才能为其账户启用 Macie。



**权限详细信息**

该策略包含以下权限：




+ `macie2`：允许主体为 Amazon Macie 执行所有读写操作。
+ `iam`：允许主体创建服务相关角色。`Resource`元素为 Macie 指定服务相关角色。`Condition`元素使用 `iam:AWSServiceName` [条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html)和 `StringLike` [条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)来为 Macie 限制服务相关角色的权限。
+ `pricing`— 允许委托人 AWS 账户 从 AWS 账单与成本管理中检索定价数据。当主体创建和配置敏感数据发现作业时，Macie 会使用此数据来计算和显示估计成本。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [AmazonMacieFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieFullAccess.html)。

## AWS 托管策略：AmazonMacieReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonMacieReadOnlyAccess"></a>





您还能将 `AmazonMacieReadOnlyAccess` 策略附加到您的 IAM 实体。



此策略授予只读权限，允许 IAM 身份（*主体*）为 Amazon Macie 执行所有读操作。权限不包括创建、更新或删除等转换功能。如果将此策略附加到主体，则主体可以检索但不能以其他方式访问其账户的所有 Macie 资源、数据和设置。



**权限详细信息**

该策略包含以下权限：





`macie2`：允许主体为 Amazon Macie 执行所有读操作。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [AmazonMacieReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieReadOnlyAccess.html)。

## AWS 托管策略：AmazonMacieServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonMacieServiceRolePolicy"></a>





无法将 `AmazonMacieServiceRolePolicy` 策略附加到 IAM 实体。

此策略附加到服务相关角色，允许 Amazon Macie 代表您执行操作。有关更多信息，请参阅 [使用 Macie 的服务相关角色](service-linked-roles.md)。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [AmazonMacieServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieServiceRolePolicy.html)。

## Macie AWS 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>





下表详细介绍了 Amazon Macie AWS 托管政策自该服务开始跟踪这些更改以来所做的更新。要获得有关政策更新的自动提醒，请在 [Macie 文档历史记录](doc-history.md)页面上订阅 RSS 提要。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AmazonMacieReadOnlyAccess](#security-iam-awsmanpol-AmazonMacieReadOnlyAccess)：添加了一个新策略  | Macie 添加了一个新策略，即 `AmazonMacieReadOnlyAccess`策略。此策略授予只读权限，允许主体检索其账户的所有 Macie 资源、数据和设置。 |  2023 年 6 月 15 日  | 
|  [AmazonMacieFullAccess](#security-iam-awsmanpol-AmazonMacieFullAccess) – 更新了一个现有策略  |  在 `AmazonMacieFullAccess`策略中，Macie 更新了 Macie 服务相关角色（`aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`）的 Amazon 资源名称（ARN）。  |  2022 年 6 月 30 日  | 
|  [AmazonMacieServiceRolePolicy](service-linked-roles.md#slr-permissions) – 更新了一个现有策略  |  Macie 从 `AmazonMacieServiceRolePolicy`策略中删除了 Amazon Macie Classic 的操作和资源。Amazon Macie Classic 已停用，不再可用。 更具体地说，Macie删除了所有 AWS CloudTrail 操作。Macie 还删除了针对以下资源的所有 Amazon S3 操作：`arn:aws:s3:::awsmacie-*`、`arn:aws:s3:::awsmacietrail-*` 和 `arn:aws:s3:::*-awsmacietrail-*`。  |  2022 年 5 月 20 日  | 
|  [AmazonMacieFullAccess](#security-iam-awsmanpol-AmazonMacieFullAccess) – 更新了一个现有策略  |  Macie 在`AmazonMacieFullAccess`策略中添加了 AWS 账单与成本管理 (`pricing`) 操作。此操作允许主体检索其账户的定价数据。当主体创建和配置敏感数据发现作业时，Macie 会使用此数据来计算和显示估计成本。 Macie 还从 `AmazonMacieFullAccess`策略中删除了 Amazon Macie Classic (`macie`) 操作。  |  2022 年 3 月 7 日  | 
|  [AmazonMacieServiceRolePolicy](service-linked-roles.md#slr-permissions) – 更新了一个现有策略  |  Macie 在`AmazonMacieServiceRolePolicy`策略中添加了 A CloudWatch mazon Logs 操作。这些操作允许 Macie 将日志事件发布到 CloudWatch 日志，用于敏感数据发现作业。  |  2021 年 4 月 13 日  | 
|  Macie 开启了跟踪更改  |  Macie 开始跟踪其 AWS 托管策略的更改。  |  2021 年 4 月 13 日  |