Amazon Macie を有効にして、機密データの検出結果のために Amazon Simple Storage Service (Amazon S3) リポジトリを設定しようとしました。しかし、次のようなエラーが表示されました。
「putClassificationExportConfiguration: S3 バケット、KMS キー、またはその両方にアクセスする権限がないため、操作を実行できません。」
簡単な説明
このエラーメッセージは、Macie に権限設定の問題があることを意味します。
解決方法
Amazon S3 バケット、AWS Key Management Service (AWS KMS) キー、および AWS Identity and Access Management (IAM) ポリシーのアクセス権限を確認します。
IAM アクセス許可
1. IAM コンソールを開き、[ユーザー] を選択します。
2. ユーザー名を選択し、[権限] タブを選択します。
3. ユーザーが次の API アクションを実行できることを確認します。
macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases
詳細については、「許可を確認する」を参照してください。
Amazon S3 許可
Amazon S3 バケットポリシーに次のような許可があることを確認してください。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::<BUCKET>/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "Deny incorrect encryption header. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<BUCKET>/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>"
}
}
},
{
"Sid": "Deny unencrypted object uploads. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<BUCKET>/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Allow Macie to upload objects to the bucket",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<BUCKET>/*"
},
{
"Sid": "Allow Macie to use the getBucketLocation operation",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::<BUCKET>"
}
]
}
AWS KMS 許可
AWS KMS キーポリシーに次のような許可があることを確認してください。
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:Region:111122223333:export-configuration:*",
"arn:aws:macie2:Region:111122223333:classification-job/*"
]
}
}
}
詳細については、「エラーのトラブルシューティング」を参照してください。
注意: タスクを実行するために必要な許可のみに対する最小特権を付与することがベストプラクティスです。詳細については、「最小特権を付与する」を参照してください。
関連情報
Amazon Macie を始める