Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Macie den Zugriff auf S3-Buckets und Objekte erlauben Wenn Sie Amazon Macie für Sie aktivieren AWS-Konto, erstellt Macie eine [servicebezogene Rolle](service-linked-roles.md), die Macie die erforderlichen Berechtigungen erteilt, um Amazon Simple Storage Service (Amazon S3) und andere AWS-Services in Ihrem Namen aufzurufen. Eine dienstbezogene Rolle vereinfacht den Prozess der Einrichtung einer, AWS-Service da Sie nicht manuell Berechtigungen hinzufügen müssen, damit der Service Aktionen in Ihrem Namen ausführen kann. Weitere Informationen zu dieser Art von Rolle finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) im *AWS Identity and Access Management Benutzerhandbuch*. Die Berechtigungsrichtlinie für die serviceverknüpfte Macie-Rolle (`AWSServiceRoleForAmazonMacie`) ermöglicht es Macie, Aktionen auszuführen, zu denen das Abrufen von Informationen über Ihre S3-Buckets und Objekte sowie das Abrufen von Objekten aus Ihren Buckets gehören. Wenn Sie der Macie-Administrator einer Organisation sind, erlaubt die Richtlinie Macie auch, diese Aktionen in Ihrem Namen für Mitgliedskonten in Ihrer Organisation durchzuführen. Macie verwendet diese Berechtigungen, um Aufgaben wie die folgenden auszuführen: + Generieren und verwalten Sie ein Inventar Ihrer S3-Allzweck-Buckets. + Stellen Sie statistische und andere Daten zu den Buckets und Objekten in den Buckets bereit. + Überwachen und bewerten Sie die Buckets im Hinblick auf Sicherheit und Zugriffskontrolle. + Analysieren Sie Objekte in den Buckets, um sensible Daten zu erkennen. In den meisten Fällen verfügt Macie über die erforderlichen Berechtigungen, um diese Aufgaben auszuführen. Wenn ein S3-Bucket jedoch über eine restriktive Bucket-Richtlinie verfügt, kann diese Richtlinie Macie möglicherweise daran hindern, einige oder alle dieser Aufgaben auszuführen. Eine *Bucket-Richtlinie* ist eine ressourcenbasierte AWS Identity and Access Management (IAM) -Richtlinie, die festlegt, welche Aktionen ein Principal (Benutzer, Konto, Dienst oder andere Entität) auf einem S3-Bucket ausführen kann und unter welchen Bedingungen ein Principal diese Aktionen ausführen kann. Die Aktionen und Bedingungen können für Operationen auf Bucket-Ebene, wie das Abrufen von Informationen über einen Bucket, und für Operationen auf Objektebene, wie das Abrufen von Objekten aus einem Bucket, gelten. Bucket-Richtlinien gewähren oder beschränken den Zugriff in der Regel mithilfe expliziter Anweisungen und Bedingungen. `Allow` `Deny` Beispielsweise kann eine Bucket-Richtlinie eine `Allow` `Deny` OR-Anweisung enthalten, die den Zugriff auf den Bucket verweigert, sofern nicht bestimmte Quell-IP-Adressen, Amazon Virtual Private Cloud (Amazon VPC) -Endpunkte oder für den Zugriff auf den Bucket verwendet VPCs werden. Informationen zur Verwendung von Bucket-Richtlinien zur Gewährung oder Beschränkung des Zugriffs auf [Buckets finden Sie unter Bucket-Richtlinien für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) und [Wie Amazon S3 eine Anfrage autorisiert](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Wenn eine Bucket-Richtlinie eine ausdrückliche `Allow` Aussage verwendet, verhindert die Richtlinie nicht, dass Macie Informationen über den Bucket und die Objekte des Buckets oder Objekte aus dem Bucket abruft. Das liegt daran, dass die `Allow` Anweisungen in der Berechtigungsrichtlinie für die mit dem Macie-Dienst verknüpfte Rolle diese Berechtigungen gewähren. Wenn eine Bucket-Richtlinie jedoch eine explizite `Deny` Anweisung mit einer oder mehreren Bedingungen verwendet, darf Macie möglicherweise keine Informationen über den Bucket oder die Objekte des Buckets oder die Objekte des Buckets abrufen. Wenn eine Bucket-Richtlinie beispielsweise explizit den Zugriff von allen Quellen mit Ausnahme einer bestimmten IP-Adresse verweigert, darf Macie die Objekte des Buckets nicht analysieren, wenn Sie einen Discovery-Job für sensible Daten ausführen. Dies liegt daran, dass restriktive Bucket-Richtlinien Vorrang vor den `Allow` Aussagen in der Berechtigungsrichtlinie für die mit dem Macie-Dienst verknüpfte Rolle haben. Um Macie den Zugriff auf einen S3-Bucket mit einer restriktiven Bucket-Richtlinie zu ermöglichen, können Sie der Bucket-Richtlinie eine Bedingung für die dienstbezogene Macie-Rolle () `AWSServiceRoleForAmazonMacie` hinzufügen. Durch die Bedingung kann ausgeschlossen werden, dass die Macie-Rolle, die mit dem Service verknüpft ist, der Einschränkung in der `Deny` Richtlinie entspricht. Dies kann mithilfe des `aws:PrincipalArn` [globalen Bedingungskontextschlüssels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) und des Amazon-Ressourcennamens (ARN) der mit dem Macie Service verknüpften Rolle geschehen. Das folgende Verfahren führt Sie durch diesen Prozess und enthält ein Beispiel. **So fügen Sie die mit dem Dienst verknüpfte Macie-Rolle zu einer Bucket-Richtlinie hinzu** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). 1. Wählen Sie im Navigationsbereich die Option **Buckets** aus. 1. Wählen Sie den S3-Bucket aus, auf den Macie zugreifen soll. 1. Wählen Sie auf der Registerkarte **Berechtigungen** unter **Bucket-Richtlinie** die Option **Bearbeiten** aus. 1. Identifizieren Sie im **Bucket-Policy-Editor** jede `Deny` Anweisung, die den Zugriff einschränkt und Macie daran hindert, auf den Bucket oder die Objekte des Buckets zuzugreifen. 1. Fügen Sie in jeder `Deny` Anweisung eine Bedingung hinzu, die den `aws:PrincipalArn` globalen Bedingungskontextschlüssel verwendet und den ARN der mit dem Macie-Dienst verknüpften Rolle für Ihre angibt. AWS-Konto Der Wert für den Bedingungsschlüssel sollte lauten`arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`, wo sich die Konto-ID für Ihren *123456789012* befindet. AWS-Konto Wo Sie dies zu einer Bucket-Richtlinie hinzufügen, hängt von der Struktur, den Elementen und Bedingungen ab, die die Richtlinie derzeit enthält. Weitere Informationen zu unterstützten Strukturen und Elementen finden Sie unter [Richtlinien und Berechtigungen in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Im Folgenden finden Sie ein Beispiel für eine Bucket-Richtlinie, die eine explizite `Deny` Anweisung verwendet, um den Zugriff auf einen S3-Bucket mit dem Namen zu beschränken`amzn-s3-demo-bucket`. Mit der aktuellen Richtlinie kann auf den Bucket nur von dem VPC-Endpunkt aus zugegriffen werden, dessen ID lautet`vpce-1a2b3c4d`. Der Zugriff von allen anderen VPC-Endpunkten wird verweigert, einschließlich des Zugriffs von AWS-Managementkonsole und Macie. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "Policy1415115example", "Statement": [ { "Sid": "Access only from specific VPCE", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } ``` ------ Um diese Richtlinie zu ändern und Macie den Zugriff auf den S3-Bucket und die Objekte des Buckets zu ermöglichen, können wir eine Bedingung hinzufügen, die den [Bedingungsoperator und den `aws:PrincipalArn`[globalen `StringNotLike`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwendet. Diese zusätzliche Bedingung schließt aus, dass die mit dem Macie-Dienst verknüpfte Rolle der Einschränkung nicht entspricht. `Deny` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id":" Policy1415115example ", "Statement": [ { "Sid": "Access only from specific VPCE and Macie", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" }, "StringNotLike": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie" } } } ] } ``` ------ Im vorherigen Beispiel verwendet der `StringNotLike` Bedingungsoperator den Bedingungskontextschlüssel, um den ARN der mit dem Macie-Dienst verknüpften Rolle anzugeben, wobei: `aws:PrincipalArn` + `123456789012`ist die Konto-ID für den AWS-Konto , der Macie verwenden darf, um Informationen über den Bucket und die Objekte des Buckets abzurufen und Objekte aus dem Bucket abzurufen. + `macie.amazonaws.com`ist der Bezeichner für den Macie-Service Principal. + `AWSServiceRoleForAmazonMacie`ist der Name der mit dem Macie-Dienst verknüpften Rolle. Wir haben den `StringNotLike` Operator verwendet, weil die Richtlinie bereits einen `StringNotEquals` Operator verwendet. Eine Richtlinie kann den `StringNotEquals` Operator nur einmal verwenden. Weitere Richtlinienbeispiele und detaillierte Informationen zur Verwaltung des Zugriffs auf Amazon S3 S3-Ressourcen finden Sie unter [Zugriffskontrolle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.