Amazon Macie의 "putClassificationExportConfiguration" 오류를 해결하려면 어떻게 해야 합니까?

2분 분량
0

Amazon Macie를 활성화하고 민감한 데이터 검색 결과에 대한 Amazon Simple Storage Service(S3) 리포지토리를 구성하려고 했습니다. 하지만 다음과 유사한 오류가 발생했습니다. "putClassificationExportConfiguration: S3 버킷, KMS 키 또는 둘 다에 액세스할 권한이 없기 때문에 작업을 수행할 수 없습니다."

간략한 설명

이 오류 메시a지는 Macie에 권한 구성 문제가 있음을 나타냅니다.

해결 방법

Amazon S3 버킷, AWS Key Management Service(AWS KMS) 키 및 AWS Identity and Access Management(IAM) 정책에 대한 권한을 확인합니다.

IAM 권한

1.    IAM 콘솔을 연 다음 사용자를 선택합니다.

2.    사용자 이름을 선택한 다음 권한 탭을 선택합니다.

3.    사용자가 다음 API 작업을 수행하는 것을 허용하는지 확인합니다.

macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases

자세한 내용은 권한 확인을 참조하세요.

Amazon S3 권한

Amazon S3 버킷 정책에 다음과 유사한 권한이 있는지 확인합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Deny non-HTTPS access",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    },
    {
      "Sid": "Deny incorrect encryption header. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>"
        }
      }
    },
    {
      "Sid": "Deny unencrypted object uploads. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "Allow Macie to upload objects to the bucket",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*"
    },
    {
      "Sid": "Allow Macie to use the getBucketLocation operation",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::<BUCKET>"
    }
  ]
}

AWS KMS 권한

AWS KMS 키 정책에 다음과 유사한 권한이 있는지 확인합니다.

{
  "Sid": "Allow Macie to use the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "macie.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Encrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "111122223333"
    },
    "ArnLike": {
      "aws:SourceArn": [
        "arn:aws:macie2:Region:111122223333:export-configuration:*",
        "arn:aws:macie2:Region:111122223333:classification-job/*"
      ]
    }
  }
}

자세한 내용은 오류 문제 해결을 참조하세요.

참고: 이는 태스크 수행에 필요한 최소한의 권한만 부여하는 모범 사례입니다. 자세한 내용은 최소 권한 부여를 참조하세요.


관련 정보

Amazon Macie 시작하기

AWS 공식
AWS 공식업데이트됨 2년 전
댓글 없음

관련 콘텐츠