Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso

¿Cómo soluciono el error “putClassificationExportConfiguration” en Amazon Macie?

3 minutos de lectura
0

Habilité Amazon Macie e intenté configurar un repositorio de Amazon Simple Storage Service (Amazon S3) para obtener resultados de detección de datos confidenciales. Sin embargo, he recibido un error como este: “putClassificationExportConfiguration: The operation can't be performed because you're not authorized to access the S3 bucket, the KMS key, or both” (La operación no se puede realizar porque no está autorizado a acceder al bucket de S3, a la clave de KMS o a ambos).

Descripción corta

Este mensaje de error indica que hay problemas de configuración de permisos con Macie.

Resolución

Compruebe los permisos del bucket de Amazon S3, la clave de AWS Key Management Service (AWS KMS) y la política de AWS Identity and Access Management (IAM).

Permisos de IAM

1.    Abra la consola de IAM y, a continuación, seleccione Users (Usuarios).

2.    Especifique el nombre de usuario en User name y, a continuación, elija la pestaña Permissions (Permisos).

3.    Compruebe que el usuario tiene permiso para realizar las siguientes acciones de API:

macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases

Para obtener más información, consulte Verificar sus permisos.

Permisos de Amazon S3

Asegúrese de que la política de bucket de Amazon S3 tenga permisos similares a los siguientes:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Deny non-HTTPS access",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    },
    {
      "Sid": "Deny incorrect encryption header. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>"
        }
      }
    },
    {
      "Sid": "Deny unencrypted object uploads. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "Allow Macie to upload objects to the bucket",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*"
    },
    {
      "Sid": "Allow Macie to use the getBucketLocation operation",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::<BUCKET>"
    }
  ]
}

Permisos de AWS KMS

Asegúrese de que la política de claves de AWS KMS tenga permisos similares a los siguientes:

{
  "Sid": "Allow Macie to use the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "macie.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Encrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "111122223333"
    },
    "ArnLike": {
      "aws:SourceArn": [
        "arn:aws:macie2:Region:111122223333:export-configuration:*",
        "arn:aws:macie2:Region:111122223333:classification-job/*"
      ]
    }
  }
}

Para obtener más información, consulte Solución de problemas de errores.

Nota: Se recomienda conceder el privilegio mínimo solo para los permisos necesarios para realizar una tarea. Para obtener más información, consulte Conceder privilegios mínimos.


Información relacionada

Introducción a Amazon Macie

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años