Amazon Macie를 활성화하고 민감한 데이터 검색 결과에 대한 Amazon Simple Storage Service(S3) 리포지토리를 구성하려고 했습니다. 하지만 다음과 유사한 오류가 발생했습니다.
"putClassificationExportConfiguration: S3 버킷, KMS 키 또는 둘 다에 액세스할 권한이 없기 때문에 작업을 수행할 수 없습니다."
간략한 설명
이 오류 메시a지는 Macie에 권한 구성 문제가 있음을 나타냅니다.
해결 방법
Amazon S3 버킷, AWS Key Management Service(AWS KMS) 키 및 AWS Identity and Access Management(IAM) 정책에 대한 권한을 확인합니다.
IAM 권한
1. IAM 콘솔을 연 다음 사용자를 선택합니다.
2. 사용자 이름을 선택한 다음 권한 탭을 선택합니다.
3. 사용자가 다음 API 작업을 수행하는 것을 허용하는지 확인합니다.
macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases
자세한 내용은 권한 확인을 참조하세요.
Amazon S3 권한
Amazon S3 버킷 정책에 다음과 유사한 권한이 있는지 확인합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::<BUCKET>/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "Deny incorrect encryption header. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<BUCKET>/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>"
}
}
},
{
"Sid": "Deny unencrypted object uploads. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<BUCKET>/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Allow Macie to upload objects to the bucket",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<BUCKET>/*"
},
{
"Sid": "Allow Macie to use the getBucketLocation operation",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::<BUCKET>"
}
]
}
AWS KMS 권한
AWS KMS 키 정책에 다음과 유사한 권한이 있는지 확인합니다.
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:Region:111122223333:export-configuration:*",
"arn:aws:macie2:Region:111122223333:classification-job/*"
]
}
}
}
자세한 내용은 오류 문제 해결을 참조하세요.
참고: 이는 태스크 수행에 필요한 최소한의 권한만 부여하는 모범 사례입니다. 자세한 내용은 최소 권한 부여를 참조하세요.
관련 정보
Amazon Macie 시작하기