Wie behebe ich den Fehler „putClassificationExportConfiguration“ in Amazon Macie?
Ich habe Amazon Macie aktiviert und versucht, ein Amazon Simple Storage Service (Amazon S3)-Repository für Ergebnisse der Erkennung sensibler Daten zu konfigurieren. Es wurde jedoch ein Fehler ähnlich dem folgenden gemeldet: „putClassificationExportConfiguration: Der Vorgang kann nicht ausgeführt werden, da Sie nicht berechtigt sind, auf den S3-Bucket, den KMS-Schlüssel oder beides zuzugreifen.“
Kurzbeschreibung
Diese Fehlermeldung bedeutet, dass es Probleme mit der Berechtigungskonfiguration bei Macie gibt.
Lösung
Überprüfen Sie die Berechtigungen für den Amazon S3-Bucket, den AWS Key Management Service (AWS KMS)-Schlüssel und die AWS Identity and Access Management (IAM)-Richtlinie.
IAM-Berechtigungen
1. Öffnen Sie die IAM-Konsole und wählen Sie dann Benutzer aus.
2. Wählen Sie den Benutzernamen und dann die Registerkarte Berechtigungen.
3. Stellen Sie sicher, dass der Benutzer die folgenden API-Aktionen ausführen darf:
MACIE2: PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases
Weitere Informationen finden Sie unter Überprüfen Sie Ihre Berechtigungen.
Amazon-S3-Berechtigungen
Stellen Sie sicher, dass die Amazon-S3-Bucket-Richtlinie über Berechtigungen verfügt, die den folgenden ähneln:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } }, { "Sid": "Deny incorrect encryption header. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>" } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Allow Macie to upload objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*" }, { "Sid": "Allow Macie to use the getBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::<BUCKET>" } ] }
AWS-KMS-Berechtigungen
Stellen Sie sicher, dass die AWS-KMS-Schlüsselrichtlinie über Berechtigungen verfügt, die den folgenden ähneln:
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }
Weitere Informationen finden Sie unter Problembehandlung bei Fehlern.
Hinweis: Es empfiehlt sich, die geringste Berechtigung nur für die zur Ausführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Weitere Informationen finden Sie unter Geringste Berechtigung gewähren.
Zugehörige Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren