Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Macie
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud selbst und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS-Services in der läuft AWS Cloud. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Macie gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS-Services , was Sie verwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon Macie anwenden können. In den folgenden Themen erfahren Sie, wie Sie Macie so konfigurieren, dass Ihre Sicherheits- und Compliance-Ziele erreicht werden. Sie erfahren auch, wie Sie andere verwenden können AWS-Services , die Ihnen bei der Überwachung und Sicherung Ihrer Macie-Ressourcen helfen können.
**Topics**
+ [Datenschutz](data-protection.md)
+ [Identity and Access Management](security-iam.md)
+ [Compliance-Validierung](compliance-validation.md)
+ [Ausfallsicherheit](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur](infrastructure-security.md)
+ [AWS PrivateLink](vpc-interface-endpoints-macie.md)
# Datenschutz in Macie
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in Amazon Macie. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Systeme laufen. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Macie oder anderen AWS-Services über die Konsole, API oder arbeiten. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Verschlüsselung im Ruhezustand
Amazon Macie speichert Ihre Daten sicher im Ruhezustand mithilfe von AWS Verschlüsselungslösungen. Macie verschlüsselt Daten, wie z. B. Ergebnisse, mit einem Von AWS verwalteter Schlüssel From AWS Key Management Service ().AWS KMS
Wenn Sie Macie deaktivieren, werden alle Ressourcen, die es für Sie speichert oder verwaltet, dauerhaft gelöscht, z. B. Erkennungsaufträge für vertrauliche Daten, benutzerdefinierte Datenkennungen und Ergebnisse.
## Verschlüsselung während der Übertragung
Amazon Macie verschlüsselt alle Daten, die zwischen übertragen werden. AWS-Services
Macie analysiert Daten aus Amazon S3 und exportiert die Ergebnisse der Erkennung sensibler Daten in einen S3-Allzweck-Bucket. Nachdem Macie die benötigten Informationen von S3-Objekten abgerufen hat, werden die Objekte verworfen.
Macie greift über einen VPC-Endpunkt auf Amazon S3 zu, der von betrieben wird. AWS PrivateLink Daher verbleibt der Verkehr zwischen Macie und Amazon S3 im Amazon-Netzwerk und wird nicht über das öffentliche Internet übertragen. Weitere Informationen finden Sie unter [AWS PrivateLink](https://aws.amazon.com/privatelink/).
# Identitäts- und Zugriffsmanagement für Macie
AWS Identity and Access Management (IAM) ist ein Programm AWS-Service , das einem Administrator hilft, den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Macie-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie Macie arbeitet mit AWS Identity and Access Management](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Politik für Macie](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für Macie](security-iam-awsmanpol.md)
+ [Verwenden serviceverknüpfter Rollen für Macie](service-linked-roles.md)
+ [Fehlerbehebung bei der Identitäts- und Zugriffsverwaltung für Macie](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei der Identitäts- und Zugriffsverwaltung für Macie](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie Macie arbeitet mit AWS Identity and Access Management](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Politik für Macie](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie Macie arbeitet mit AWS Identity and Access Management
Bevor Sie AWS Identity and Access Management (IAM) verwenden, um den Zugriff auf Amazon Macie zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Macie verwendet werden können.
**IAM-Funktionen, die Sie mit Macie verwenden können**
| IAM-Feature | Macie-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [Zugriffskontrolllisten () ACLs](#security_iam_service-with-iam-acls) | Nein |
| [Attributbasierte Zugriffskontrolle (ABAC) — Tags in Richtlinien](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
*Einen allgemeinen Überblick darüber, wie Macie und andere mit den meisten IAM-Funktionen AWS-Services [funktionieren AWS-Services , finden Sie im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für Macie
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Amazon Macie unterstützt identitätsbasierte Richtlinien. Beispiele finden Sie unter [Beispiele für identitätsbasierte Politik für Macie](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Richtlinien innerhalb von Macie
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Amazon Macie unterstützt keine ressourcenbasierten Richtlinien. Das heißt, Sie können eine Richtlinie nicht direkt an eine Macie-Ressource anhängen.
## Politische Maßnahmen für Macie
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen für Amazon Macie verwenden das folgende Präfix vor der Aktion:
```
macie2
```
Um beispielsweise jemandem die Erlaubnis zu erteilen, auf Informationen über alle verwalteten Datenkennungen zuzugreifen, die Macie bereitstellt, was eine Aktion ist, die dem `ListManagedDataIdentifiers` Betrieb der Amazon Macie Macie-API entspricht, nehmen Sie die `macie2:ListManagedDataIdentifiers` Aktion in ihre Richtlinie auf:
```
"Action": "macie2:ListManagedDataIdentifiers"
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Beispiel:
```
"Action": [
"macie2:ListManagedDataIdentifiers",
"macie2:ListCustomDataIdentifiers"
]
```
Sie können auch mehrere Aktionen mittels Platzhaltern (\$1) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:
```
"Action": "macie2:List*"
```
Als bewährte Methode sollten Sie jedoch Richtlinien erstellen, die dem Prinzip der geringsten Rechte folgen. Mit anderen Worten, Sie sollten Richtlinien erstellen, die nur die Berechtigungen enthalten, die zum Ausführen einer bestimmten Aufgabe erforderlich sind.
Eine Liste der Macie-Aktionen finden Sie unter [Von Amazon Macie definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-actions-as-permissions) in der *Service Authorization* Reference. Beispiele für Richtlinien, die Macie-Aktionen spezifizieren, finden Sie unter. [Beispiele für identitätsbasierte Politik für Macie](security_iam_id-based-policy-examples.md)
## Politische Ressourcen für Macie
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Amazon Macie definiert die folgenden Ressourcentypen:
+ Zulassungsliste
+ Benutzerdefinierter Datenbezeichner
+ Filter- oder Unterdrückungsregel, auch als *Ergebnisfilter* bezeichnet
+ Mitgliedskonto
+ Auftrag zur Erkennung sensibler Daten, auch *Klassifizierungsauftrag* genannt
Sie können diese Ressourcentypen in Richtlinien angeben, indem Sie ARNs
Um beispielsweise eine Richtlinie für den Discovery-Job für sensible Daten mit der Job-ID *3ce05dbb7ec5505def334104bexample* zu erstellen, können Sie den folgenden ARN verwenden:
```
"Resource": "arn:aws:macie2:*:*:classification-job/3ce05dbb7ec5505def334104bexample"
```
Oder verwenden Sie einen Platzhalter (\$1), um alle Discovery-Jobs für sensible Daten für ein bestimmtes Konto anzugeben:
```
"Resource": "arn:aws:macie2:*:123456789012:classification-job/*"
```
Wo *123456789012* ist die Konto-ID für den AWS-Konto , der die Jobs erstellt hat? Es hat sich jedoch bewährt, Richtlinien zu erstellen, die dem Prinzip der geringsten Rechte folgen. Mit anderen Worten, Sie sollten Richtlinien erstellen, die nur die Berechtigungen enthalten, die für die Ausführung einer bestimmten Aufgabe auf einer bestimmten Ressource erforderlich sind.
Einige Macie-Aktionen können für mehrere Ressourcen gelten. Mit der `macie2:BatchGetCustomDataIdentifiers` Aktion können beispielsweise die Details mehrerer benutzerdefinierter Datenbezeichner abgerufen werden. In diesen Fällen muss ein Principal über Berechtigungen für den Zugriff auf alle Ressourcen verfügen, für die sich die Aktion bezieht. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas:
```
"Resource": [
"arn:aws:macie2:*:*:custom-data-identifier/12g4aff9-8e22-4f2b-b3fd-3063eexample",
"arn:aws:macie2:*:*:custom-data-identifier/2d12c96a-8e78-4ca6-b1dc-8fd65example",
"arn:aws:macie2:*:*:custom-data-identifier/4383a69d-4a1e-4a07-8715-208ddexample"
]
```
Eine Liste der Macie-Ressourcentypen und der jeweiligen ARN-Syntax finden Sie unter [Von Amazon Macie definierte Ressourcentypen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-resources-for-iam-policies) in der *Service Authorization* Reference. Informationen darüber, welche Aktionen Sie für jeden Ressourcentyp angeben können, finden Sie unter [Von Amazon Macie definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-actions-as-permissions) in der *Service Authorization Reference.* Beispiele für Richtlinien, die Ressourcen spezifizieren, finden Sie unter[Beispiele für identitätsbasierte Politik für Macie](security_iam_id-based-policy-examples.md).
## Bedingungsschlüssel für Richtlinien für Macie
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Amazon Macie-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Macie](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Macie definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-actions-as-permissions). Beispiele für Richtlinien, die Bedingungsschlüssel verwenden, finden Sie unter[Beispiele für identitätsbasierte Politik für Macie](security_iam_id-based-policy-examples.md).
## Zugriffskontrolllisten (ACLs) in Macie
**Unterstützt ACLs: Nein**
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon Simple Storage Service (Amazon S3) ist ein Beispiel für einen AWS-Service , der unterstützt ACLs. Weitere Informationen finden Sie unter [Übersicht über die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Amazon Macie unterstützt ACLs nicht. Das heißt, Sie können einer Macie-Ressource keine ACL zuordnen.
## Attributbasierte Zugriffskontrolle (ABAC) mit Macie
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Sie können Tags an Amazon Macie Macie-Ressourcen anhängen — Zulassungslisten, benutzerdefinierte Datenkennungen, Filter- und Unterdrückungsregeln, Mitgliedskonten und Erkennungsaufträge für sensible Daten. Sie können den Zugriff auf diese Arten von Ressourcen auch kontrollieren, indem Sie Tag-Informationen als Element einer Richtlinie angeben. `Condition` Informationen zum Anhängen von Tags an Ressourcen finden Sie unter[Macie-Ressourcen taggen](tagging-resources.md). Ein Beispiel für eine identitätsbasierte Richtlinie, die den Zugriff auf eine Ressource anhand von Tags steuert, finden Sie unter. [Beispiele für identitätsbasierte Politik für Macie](security_iam_id-based-policy-examples.md)
## Temporäre Anmeldeinformationen mit Macie verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
Amazon Macie unterstützt die Verwendung temporärer Anmeldeinformationen.
## Zugriffssitzungen für Macie weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Amazon Macie sendet FAS-Anfragen an Downstream, AWS-Services wenn Sie die folgenden Aufgaben ausführen:
+ Erstellen oder aktualisieren Sie die Macie-Einstellungen für eine Zulassungsliste, die in einem S3-Bucket gespeichert ist.
+ Überprüfen Sie den Status einer Zulassungsliste, die in einem S3-Bucket gespeichert ist.
+ Rufen Sie mithilfe von IAM-Benutzeranmeldedaten Stichproben vertraulicher Daten von einem betroffenen S3-Objekt ab.
+ Verschlüsseln Sie sensible Datenproben, die mit IAM-Benutzeranmeldedaten oder einer IAM-Rolle abgerufen werden.
+ Aktivieren Sie Macie für die Integration mit. AWS Organizations
+ Geben Sie das delegierte Macie-Administratorkonto für eine Organisation in an. AWS Organizations
Für andere Aufgaben verwendet Macie eine dienstbezogene Rolle, um Aktionen in Ihrem Namen auszuführen. Einzelheiten zu dieser Rolle finden Sie unter. [Verwenden serviceverknüpfter Rollen für Macie](service-linked-roles.md)
## Servicerollen für Macie
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
Amazon Macie übernimmt oder verwendet keine Servicerollen. Um in Ihrem Namen Aktionen auszuführen, verwendet Macie in erster Linie eine dienstbezogene Rolle. Einzelheiten zu dieser Rolle finden Sie unter. [Verwenden serviceverknüpfter Rollen für Macie](service-linked-roles.md)
## Dienstbezogene Rollen für Macie
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon Macie verwendet eine dienstbezogene Rolle, um Aktionen in Ihrem Namen durchzuführen. Einzelheiten zu dieser Rolle finden Sie unter. [Verwenden serviceverknüpfter Rollen für Macie](service-linked-roles.md)
# Beispiele für identitätsbasierte Politik für Macie
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Macie-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Macie definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Macie](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html) in der *Service Authorization* Reference.
Achten Sie beim Erstellen einer Richtlinie darauf, Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge von AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) zu beheben, bevor Sie die Richtlinie speichern. [IAM Access Analyzer führt Richtlinienprüfungen durch, um eine Richtlinie anhand der [Grammatik und der Best Practices der IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) zu überprüfen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) Diese Prüfungen generieren Ergebnisse und bieten umsetzbare Empfehlungen, die Sie beim Erstellen von Richtlinien unterstützen, die funktionsfähig sind und den bewährten Methoden für Sicherheit entsprechen. *Weitere Informationen zur Validierung von Richtlinien mithilfe von IAM Access Analyzer finden Sie unter [IAM Access Analyzer-Richtlinienvalidierung im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).* *Eine Liste der Warnungen, Fehler und Vorschläge, die IAM Access Analyzer zurückgeben kann, finden Sie in der [Referenz zur IAM Access Analyzer-Richtlinienprüfung im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).*
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon Macie Macie-Konsole](#security_iam_id-based-policy-examples-console)
+ [Beispiel: Erlauben Sie Benutzern, ihre eigenen Berechtigungen zu überprüfen](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Beispiel: Erlauben Sie Benutzern, Discovery-Jobs für sensible Daten zu erstellen](#security_iam_id-based-policy-examples-create-job)
+ [Beispiel: Erlauben Sie Benutzern, einen Discovery-Job für sensible Daten zu verwalten](#security_iam_id-based-policy-examples-access-job)
+ [Beispiel: Erlauben Sie Benutzern, die Ergebnisse zu überprüfen](#security_iam_id-based-policy-examples-review-findings)
+ [Beispiel: Erlauben Sie Benutzern, benutzerdefinierte Datenkennungen anhand von Tags zu überprüfen](#security_iam_id-based-policy-examples-review-cdis-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Macie-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon Macie Macie-Konsole
Um auf die Amazon Macie Macie-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Macie-Ressourcen in Ihrem aufzulisten und anzuzeigen. AWS-Konto Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die Amazon Macie Macie-Konsole verwenden können, erstellen Sie IAM-Richtlinien, die ihnen Konsolenzugriff gewähren. Weitere Informationen finden Sie unter [Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *-IAM-Benutzerhandbuch*.
Wenn Sie eine Richtlinie erstellen, die es Benutzern oder Rollen ermöglicht, die Amazon Macie Macie-Konsole zu verwenden, stellen Sie sicher, dass die Richtlinie die `macie2:GetMacieSession` Aktion zulässt. Andernfalls können diese Benutzer oder Rollen nicht auf Macie-Ressourcen oder -Daten auf der Konsole zugreifen.
Stellen Sie außerdem sicher, dass die Richtlinie die entsprechenden `macie2:List` Aktionen für Ressourcen zulässt, auf die diese Benutzer oder Rollen auf der Konsole zugreifen müssen. Andernfalls können sie nicht zu diesen Ressourcen navigieren oder Details zu diesen Ressourcen auf der Konsole anzeigen. Um beispielsweise die Details eines Discovery-Jobs für sensible Daten mithilfe der Konsole zu überprüfen, muss ein Benutzer berechtigt sein, die `macie2:DescribeClassificationJob` Aktion für den Job *und* die `macie2:ListClassificationJobs` Aktion auszuführen. Wenn ein Benutzer die `macie2:ListClassificationJobs` Aktion nicht ausführen darf, kann er auf der Seite Jobs der Konsole keine Liste von **Jobs** anzeigen und kann daher den Job nicht auswählen, um seine Details anzuzeigen. Damit die Details Informationen über eine benutzerdefinierte Daten-ID enthalten, die der Job verwendet, muss der Benutzer auch berechtigt sein, die `macie2:BatchGetCustomDataIdentifiers` Aktion für die benutzerdefinierte Daten-ID auszuführen.
## Beispiel: Erlauben Sie Benutzern, ihre eigenen Berechtigungen zu überprüfen
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI AWS OR-API.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Beispiel: Erlauben Sie Benutzern, Discovery-Jobs für sensible Daten zu erstellen
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, Discovery-Jobs für sensible Daten zu erstellen.
In dem Beispiel gewährt die erste Anweisung dem Benutzer `macie2:CreateClassificationJob` Berechtigungen. Diese Berechtigungen ermöglichen es dem Benutzer, Jobs zu erstellen. Die Erklärung gewährt auch `macie2:DescribeClassificationJob` Berechtigungen. Diese Berechtigungen ermöglichen es dem Benutzer, auf die Details vorhandener Jobs zuzugreifen. Diese Berechtigungen sind zwar nicht erforderlich, um Jobs zu erstellen, aber der Zugriff auf diese Details kann dem Benutzer helfen, Jobs mit eindeutigen Konfigurationseinstellungen zu erstellen.
Die zweite Anweisung im Beispiel ermöglicht es dem Benutzer, Jobs mithilfe der Amazon Macie Macie-Konsole zu erstellen, zu konfigurieren und zu überprüfen. Die `macie2:ListClassificationJobs` Berechtigungen ermöglichen es dem Benutzer, bestehende Jobs auf der Seite **Jobs** der Konsole anzuzeigen. Alle anderen Berechtigungen in der Anweisung ermöglichen es dem Benutzer, einen Job mithilfe der Seiten „Jobs **erstellen**“ in der Konsole zu konfigurieren und zu erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndReviewJobs",
"Effect": "Allow",
"Action": [
"macie2:CreateClassificationJob",
"macie2:DescribeClassificationJob"
],
"Resource": "arn:aws:macie2:*:*:classification-job/*"
},
{
"Sid": "CreateAndReviewJobsOnConsole",
"Effect": "Allow",
"Action": [
"macie2:ListClassificationJobs",
"macie2:ListAllowLists",
"macie2:ListCustomDataIdentifiers",
"macie2:ListManagedDataIdentifiers",
"macie2:SearchResources",
"macie2:DescribeBuckets"
],
"Resource": "*"
}
]
}
```
------
## Beispiel: Erlauben Sie Benutzern, einen Discovery-Job für sensible Daten zu verwalten
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, auf die Details eines bestimmten Discovery-Auftrags für sensible Daten zuzugreifen, dessen ID lautet`3ce05dbb7ec5505def334104bexample`. Das Beispiel ermöglicht es dem Benutzer auch, den Status des Jobs nach Bedarf zu ändern.
Die erste Anweisung im Beispiel gewährt `macie2:DescribeClassificationJob` und gewährt dem Benutzer `macie2:UpdateClassificationJob` Berechtigungen. Diese Berechtigungen ermöglichen es dem Benutzer, die Details des Jobs abzurufen bzw. den Status des Jobs zu ändern. Die zweite Anweisung erteilt dem Benutzer `macie2:ListClassificationJobs` Berechtigungen, sodass der Benutzer über die Seite **Jobs** in der Amazon Macie Macie-Konsole auf den Job zugreifen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageOneJob",
"Effect": "Allow",
"Action": [
"macie2:DescribeClassificationJob",
"macie2:UpdateClassificationJob"
],
"Resource": "arn:aws:macie2:*:*:classification-job/3ce05dbb7ec5505def334104bexample"
},
{
"Sid": "ListJobsOnConsole",
"Effect": "Allow",
"Action": "macie2:ListClassificationJobs",
"Resource": "*"
}
]
}
```
------
Sie können dem Benutzer auch den Zugriff auf Protokolldaten (*Protokollereignisse*) gestatten, die Macie für den Job in Amazon CloudWatch Logs veröffentlicht. Zu diesem Zweck können Sie Anweisungen hinzufügen, die Berechtigungen zur Ausführung von CloudWatch Logs (`logs`) -Aktionen für die Protokollgruppe und den Stream für den Job gewähren. Beispiel:
```
{
"Sid": "AccessLogGroupForMacieJobs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:aws/macie/classificationjobs"
},
{
"Sid": "AccessLogEventsForOneMacieJob",
"Effect": "Allow",
"Action": "logs:GetLogEvents",
"Resource": [
"arn:aws:logs:*:*:log-group:aws/macie/classificationjobs/*",
"arn:aws:logs:*:*:log-group:aws/macie/classificationjobs:log-stream:3ce05dbb7ec5505def334104bexample"
]
}
```
Informationen zur Verwaltung des Zugriffs auf CloudWatch Logs finden Sie unter [Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
## Beispiel: Erlauben Sie Benutzern, die Ergebnisse zu überprüfen
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, auf Ergebnisdaten zuzugreifen.
In diesem Beispiel ermöglichen die `macie2:GetFindingStatistics` Berechtigungen `macie2:GetFindings` und dem Benutzer, die Daten mithilfe der Amazon Macie Macie-API oder der Amazon Macie Macie-Konsole abzurufen. Die `macie2:ListFindings` Berechtigungen ermöglichen es dem Benutzer, die Daten mithilfe des **Übersichts-Dashboards und der **Ergebnisseiten**** auf der Amazon Macie Macie-Konsole abzurufen und zu überprüfen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
}
]
}
```
------
Sie können dem Benutzer auch gestatten, Filter- und Unterdrückungsregeln für Ergebnisse zu erstellen und zu verwalten. Zu diesem Zweck könnten Sie eine Anweisung hinzufügen, die die folgenden Berechtigungen gewährt: `macie2:CreateFindingsFilter``macie2:GetFindingsFilter`,`macie2:UpdateFindingsFilter`, und`macie2:DeleteFindingsFilter`. Damit der Benutzer die Regeln mithilfe der Amazon Macie Macie-Konsole verwalten kann, müssen Sie auch `macie2:ListFindingsFilters` Berechtigungen in die Richtlinie aufnehmen. Beispiel:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
},
{
"Sid": "ManageRules",
"Effect": "Allow",
"Action": [
"macie2:GetFindingsFilter",
"macie2:UpdateFindingsFilter",
"macie2:CreateFindingsFilter",
"macie2:DeleteFindingsFilter"
],
"Resource": "arn:aws:macie2:*:*:findings-filter/*"
},
{
"Sid": "ListRulesOnConsole",
"Effect": "Allow",
"Action": "macie2:ListFindingsFilters",
"Resource": "*"
}
]
}
```
------
## Beispiel: Erlauben Sie Benutzern, benutzerdefinierte Datenkennungen anhand von Tags zu überprüfen
In identitätsbasierten Richtlinien können Sie Bedingungen verwenden, um den Zugriff auf Amazon Macie Macie-Ressourcen anhand von Tags zu steuern. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, benutzerdefinierte Datenkennungen mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API zu überprüfen. Die Erlaubnis wird jedoch nur erteilt, wenn der Wert für das `Owner` Tag der Benutzername des Benutzers ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewCustomDataIdentifiersIfOwner",
"Effect": "Allow",
"Action": "macie2:GetCustomDataIdentifier",
"Resource": "arn:aws:macie2:*:*:custom-data-identifier/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
},
{
"Sid": "ListCustomDataIdentifiersOnConsoleIfOwner",
"Effect": "Allow",
"Action": "macie2:ListCustomDataIdentifiers",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Wenn in diesem Beispiel ein Benutzer mit dem Benutzernamen `richard-roe` versucht, die Details einer benutzerdefinierten Daten-ID zu überprüfen, muss die benutzerdefinierte Daten-ID mit `Owner=richard-roe` oder gekennzeichnet werden`owner=richard-roe`. Andernfalls wird dem Benutzer der Zugriff verweigert. Der Schlüssel des Bedingungstags `Owner` entspricht beiden, `Owner` und das `owner` liegt daran, dass bei Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterschieden wird. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für Macie
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Amazon Macie bietet mehrere AWS verwaltete Richtlinien: die `AmazonMacieFullAccess` Richtlinie, die `AmazonMacieReadOnlyAccess` Richtlinie und die `AmazonMacieServiceRolePolicy` Richtlinie.
**Topics**
+ [AmazonMacieFullAccess-Richtlinie](#security-iam-awsmanpol-AmazonMacieFullAccess)
+ [AmazonMacieReadOnlyAccess-Richtlinie](#security-iam-awsmanpol-AmazonMacieReadOnlyAccess)
+ [AmazonMacieServiceRolePolicy-Richtlinie](#security-iam-awsmanpol-AmazonMacieServiceRolePolicy)
+ [Aktualisierungen der AWS verwalteten Richtlinien für Macie](#security-iam-awsmanpol-updates)
## AWS verwaltete Richtlinie: AmazonMacieFullAccess
Sie können die `AmazonMacieFullAccess`-Richtlinie auch Ihren IAM-Entitäten anfügen.
Diese Richtlinie gewährt vollständige Administratorberechtigungen, die es einer IAM-Identität (*Principal*) ermöglichen, die mit dem [Service verknüpfte Amazon Macie-Rolle](service-linked-roles.md) zu erstellen und alle Lese- und Schreibaktionen für Amazon Macie auszuführen. Zu den Berechtigungen gehören verändernde Funktionen wie Erstellen, Aktualisieren und Löschen. Wenn diese Richtlinie mit einem Principal verknüpft ist, kann der Principal alle Macie-Ressourcen, -Daten und -Einstellungen für sein Konto erstellen, abrufen und anderweitig darauf zugreifen.
Diese Richtlinie muss einem Principal zugewiesen werden, bevor der Principal Macie für sein Konto aktivieren kann. Ein Principal muss berechtigt sein, die mit dem Macie-Dienst verknüpfte Rolle zu erstellen, um Macie für sein Konto zu aktivieren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `macie2`— Ermöglicht Prinzipalen, alle Lese- und Schreibaktionen für Amazon Macie auszuführen.
+ `iam`— Ermöglicht es Prinzipalen, dienstbezogene Rollen zu erstellen. Das `Resource` Element spezifiziert die dienstbezogene Rolle für Macie. Das `Condition` Element verwendet den `iam:AWSServiceName` [Bedingungsschlüssel und den `StringLike`[Bedingungsoperator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html), um die Berechtigungen für Macie auf die dienstbezogene Rolle zu beschränken.
+ `pricing`— Ermöglicht Prinzipalen das Abrufen von Preisdaten für ihr Formular. AWS-Konto AWS Fakturierung und Kostenmanagement Macie verwendet diese Daten, um geschätzte Kosten zu berechnen und anzuzeigen, wenn Principals Discovery-Jobs für sensible Daten erstellen und konfigurieren.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonMacieFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieFullAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AmazonMacieReadOnlyAccess
Sie können die `AmazonMacieReadOnlyAccess`-Richtlinie auch Ihren IAM-Entitäten anfügen.
Diese Richtlinie gewährt Nur-Lese-Berechtigungen, die es einer IAM-Identität (*Principal*) ermöglichen, alle Leseaktionen für Amazon Macie durchzuführen. Die Berechtigungen beinhalten keine mutierenden Funktionen wie Erstellen, Aktualisieren oder Löschen. Wenn diese Richtlinie mit einem Prinzipal verknüpft ist, kann der Principal alle Macie-Ressourcen, -Daten und -Einstellungen für sein Konto abrufen, aber nicht anderweitig darauf zugreifen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
`macie2`— Ermöglicht Prinzipalen, alle Leseaktionen für Amazon Macie durchzuführen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonMacieReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieReadOnlyAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AmazonMacieServiceRolePolicy
Sie können die `AmazonMacieServiceRolePolicy`-Richtlinie Ihren IAM-Entitäten nicht anfügen.
Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon Macie ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden serviceverknüpfter Rollen für Macie](service-linked-roles.md).
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonMacieServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## Aktualisierungen der AWS verwalteten Richtlinien für Macie
Die folgende Tabelle enthält Einzelheiten zu den Aktualisierungen der AWS verwalteten Richtlinien für Amazon Macie, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Wenn Sie automatische Benachrichtigungen über Aktualisierungen der Richtlinien erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite [Macie-Dokumentenverlauf](doc-history.md).
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AmazonMacieReadOnlyAccess](#security-iam-awsmanpol-AmazonMacieReadOnlyAccess)— Eine neue Richtlinie wurde hinzugefügt | Macie hat eine neue Richtlinie hinzugefügt, die `AmazonMacieReadOnlyAccess` Richtlinie. Diese Richtlinie gewährt nur Leseberechtigungen, die es Prinzipalen ermöglichen, alle Macie-Ressourcen, -Daten und -Einstellungen für ihr Konto abzurufen. | 15. Juni 2023 |
| [AmazonMacieFullAccess](#security-iam-awsmanpol-AmazonMacieFullAccess)— Eine bestehende Richtlinie wurde aktualisiert | In der `AmazonMacieFullAccess` Richtlinie hat Macie den Amazon-Ressourcennamen (ARN) der mit dem Macie-Service verknüpften Rolle () aktualisiert. `aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie` | 30. Juni 2022 |
| [AmazonMacieServiceRolePolicy](service-linked-roles.md#slr-permissions)— Eine bestehende Richtlinie wurde aktualisiert | Macie hat Aktionen und Ressourcen für Amazon Macie Classic aus der `AmazonMacieServiceRolePolicy` Richtlinie entfernt. Amazon Macie Classic wurde eingestellt und ist nicht mehr verfügbar. Insbesondere hat Macie alle AWS CloudTrail Aktionen entfernt. Macie hat auch alle Amazon S3 S3-Aktionen für die folgenden Ressourcen entfernt: `arn:aws:s3:::awsmacie-*``arn:aws:s3:::awsmacietrail-*`, und`arn:aws:s3:::*-awsmacietrail-*`. | 20. Mai 2022 |
| [AmazonMacieFullAccess](#security-iam-awsmanpol-AmazonMacieFullAccess)— Eine bestehende Richtlinie wurde aktualisiert | Macie hat der `AmazonMacieFullAccess` Richtlinie eine Aktion AWS Fakturierung und Kostenmanagement (`pricing`) hinzugefügt. Diese Aktion ermöglicht es Principals, Preisdaten für ihr Konto abzurufen. Macie verwendet diese Daten, um geschätzte Kosten zu berechnen und anzuzeigen, wenn Principals Discovery-Jobs für sensible Daten erstellen und konfigurieren. Macie hat auch Amazon Macie Classic (`macie`) -Aktionen aus der `AmazonMacieFullAccess` Richtlinie entfernt. | 7. März 2022 |
| [AmazonMacieServiceRolePolicy](service-linked-roles.md#slr-permissions)— Eine bestehende Richtlinie wurde aktualisiert | Macie hat Amazon CloudWatch Logs-Aktionen zur `AmazonMacieServiceRolePolicy` Richtlinie hinzugefügt. Diese Aktionen ermöglichen es Macie, Protokollereignisse für Aufgaben zur Erkennung sensibler Daten in CloudWatch Logs zu veröffentlichen. | 13. April 2021 |
| Macie begann, Änderungen zu verfolgen | Macie begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 13. April 2021 |
# Verwenden serviceverknüpfter Rollen für Macie
Amazon Macie verwendet eine AWS Identity and Access Management (IAM) [-Serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Rolle mit dem Namen. `AWSServiceRoleForAmazonMacie` Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Macie verknüpft ist. Sie ist von Macie vordefiniert und beinhaltet alle Berechtigungen, die Macie benötigt, um andere Personen anzurufen AWS-Services und Ressourcen in Ihrem Namen zu überwachen AWS . Macie verwendet diese dienstbezogene Rolle überall dort, AWS-Regionen wo Macie verfügbar ist.
Eine dienstbezogene Rolle erleichtert die Einrichtung von Macie, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Macie definiert die Berechtigungen dieser dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Macie die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS-Services , die mit IAM arbeiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie **Ja** mit einem Link, um die Dokumentation der dienstbezogenen Rolle für diesen Dienst zu lesen.
**Topics**
+ [Dienstbezogene Rollenberechtigungen für Macie](#slr-permissions)
+ [Die serviceverknüpfte Macie-Rolle erstellen](#create-slr)
+ [Bearbeitung der serviceverknüpften Macie-Rolle](#edit-slr)
+ [Löschen der mit dem Dienst verknüpften Macie-Rolle](#delete-slr)
+ [Wird unterstützt AWS-Regionen](#slr-regions)
## Berechtigungen für dienstbezogene Rollen für Macie
Amazon Macie verwendet die mit dem Service verknüpfte Rolle mit dem Namen. `AWSServiceRoleForAmazonMacie` Diese dienstbezogene Rolle vertraut darauf, dass der `macie.amazonaws.com` Service die Rolle übernimmt.
Die Berechtigungsrichtlinie für die Rolle, die diesen Namen trägt`AmazonMacieServiceRolePolicy`, ermöglicht es Macie, Aufgaben wie die folgenden für die angegebenen Ressourcen auszuführen:
+ Verwenden Sie Amazon-S3-Aktionen, um Informationen über S3-Buckets und Objekte abzurufen.
+ Verwenden Sie Amazon S3 S3-Aktionen, um S3-Objekte abzurufen.
+ Verwenden Sie AWS Organizations Aktionen, um Informationen über verknüpfte Konten abzurufen.
+ Verwenden Sie Amazon CloudWatch Logs-Aktionen, um Ereignisse für Aufträge zur Erkennung sensibler Daten zu protokollieren.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonMacieServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
Einzelheiten zu Aktualisierungen dieser Richtlinie finden Sie unter[Aktualisierungen der AWS verwalteten Richtlinien für Macie](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Richtlinie erhalten möchten, abonnieren Sie den RSS-Feed auf der [Macie-Dokumentverlaufsseite](doc-history.md).
Sie müssen Berechtigungen für eine IAM-Entität (z. B. einen Benutzer oder eine Rolle) konfigurieren, damit die Entität eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Die dienstverknüpfte Rolle für Macie erstellen
Sie müssen die `AWSServiceRoleForAmazonMacie` serviceverknüpfte Rolle für Amazon Macie nicht manuell erstellen. Wenn Sie Macie für Sie aktivieren AWS-Konto, erstellt Macie automatisch die serviceverknüpfte Rolle für Sie.
Wenn Sie die mit dem Dienst verknüpfte Macie-Rolle löschen und sie dann erneut erstellen müssen, können Sie dieselbe Vorgehensweise verwenden, um die Rolle in Ihrem Konto neu zu erstellen. Wenn Sie Macie erneut aktivieren, erstellt Macie die dienstverknüpfte Rolle erneut für Sie.
## Die dienstverknüpfte Rolle für Macie bearbeiten
Amazon Macie erlaubt Ihnen nicht, die `AWSServiceRoleForAmazonMacie` serviceverknüpfte Rolle zu bearbeiten. Nachdem eine serviceverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Aktualisieren einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html).
## Löschen der serviceverknüpften Rolle für Macie
Sie können eine dienstverknüpfte Rolle erst löschen, nachdem Sie die zugehörigen Ressourcen gelöscht haben. Dies schützt Ihre -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Wenn Sie Amazon Macie nicht mehr verwenden müssen, empfehlen wir Ihnen, die `AWSServiceRoleForAmazonMacie` serviceverknüpfte Rolle manuell zu löschen. Wenn Sie Macie deaktivieren, löscht Macie die Rolle nicht für Sie.
Bevor Sie die Rolle löschen, müssen Sie Macie in allen Bereichen deaktivieren, in AWS-Region denen Sie sie aktiviert haben. Außerdem müssen Sie die Ressourcen für die Rolle manuell bereinigen. Um die Rolle zu löschen, können Sie die IAM-Konsole AWS CLI, die oder die AWS API verwenden. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Wenn Macie die `AWSServiceRoleForAmazonMacie` Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und führen Sie den Vorgang dann erneut aus.
Wenn Sie die `AWSServiceRoleForAmazonMacie` dienstverknüpfte Rolle löschen und sie erneut erstellen müssen, können Sie sie erneut erstellen, indem Sie Macie für Ihr Konto aktivieren. Wenn Sie Macie erneut aktivieren, erstellt Macie die dienstverknüpfte Rolle erneut für Sie.
## Wird AWS-Regionen für die serviceverknüpfte Macie-Rolle unterstützt
Amazon Macie unterstützt die Verwendung der `AWSServiceRoleForAmazonMacie` serviceverknüpften Rolle überall dort, AWS-Regionen wo Macie verfügbar ist. Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter [Amazon Macie Macie-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/macie.html) in der. *Allgemeine AWS-Referenz*
# Fehlerbehebung bei der Identitäts- und Zugriffsverwaltung für Macie
Die folgenden Informationen können Ihnen helfen, häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Macie und AWS Identity and Access Management (IAM) auftreten können.
**Topics**
+ [Ich bin nicht autorisiert, eine Aktion in Macie durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich möchte Personen außerhalb von mir AWS-Konto den Zugriff auf meine Macie-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht autorisiert, eine Aktion in Macie durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `macie2:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: macie2:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `macie2:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir AWS-Konto den Zugriff auf meine Macie-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Macie diese Funktionen unterstützt, finden Sie unter. [Wie Macie arbeitet mit AWS Identity and Access Management](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Konformitätsvalidierung für Macie
Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz bei Macie
Die AWS globale Infrastruktur basiert auf AWS-Regionen Availability Zones. Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren. Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
Zusätzlich zur AWS globalen Infrastruktur bietet Amazon Macie mehrere Funktionen, um Ihre Anforderungen an Datenstabilität und Datensicherung zu erfüllen. Wenn Sie beispielsweise einen Discovery-Job für sensible Daten ausführen oder Macie eine automatische Erkennung sensibler Daten durchführt, erstellt Macie automatisch einen Analysedatensatz für jedes Amazon Simple Storage Service (Amazon S3) -Objekt, das im Umfang der Analyse enthalten ist. Diese Datensätze, die als *Erkennungsergebnisse sensibler Daten* bezeichnet werden, protokollieren Details über die Analyse, die Macie an einzelnen S3-Objekten durchführt. Dazu gehören Objekte, in denen Macie keine sensiblen Daten erkennt, und Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann. Macie speichert diese Ergebnisse in einem von Ihnen angegebenen S3-Bucket. Weitere Informationen finden Sie unter [Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md).
Macie veröffentlicht auch Ergebnisse zu Richtlinien und sensiblen Daten EventBridge als Ereignisse an Amazon. Dies beinhaltet neue Erkenntnisse und Aktualisierungen vorhandener politischer Erkenntnisse. (Es beinhaltet keine Ergebnisse, die Sie mithilfe von Unterdrückungsregeln automatisch archivieren.) Mithilfe EventBridge von können Sie Ergebnisdaten an Ihre bevorzugte Speicherplattform senden und die Daten so lange speichern, wie Sie möchten. Je nach den von Ihnen ausgewählten Veröffentlichungseinstellungen kann Macie auch Ergebnisse zu AWS Security Hub CSPM Richtlinien und vertraulichen Daten veröffentlichen. Weitere Informationen finden Sie unter [Überwachung und Bearbeitung von Macie-Befunden](findings-monitor.md).
Sie haben auch die Möglichkeit, Macie-API-Operationen zu verwenden, um Ergebnisse und andere Arten von Daten programmgesteuert abzurufen. Anschließend können Sie die Daten verarbeiten und an Ihre bevorzugte Speicherplattform oder einen anderen Dienst, eine andere Anwendung oder ein anderes System senden. Informationen zu API-Vorgängen, die Sie dafür verwenden können, finden Sie in der [Amazon Macie API-Referenz.](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html)
# Infrastruktursicherheit in Macie
Als verwalteter Service ist Amazon Macie durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Macie zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Sie können diese API-Vorgänge von einem beliebigen Netzwerkstandort aus aufrufen. Wenn Sie jedoch Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und Macie herstellen, indem Sie einen Schnittstellenendpunkt erstellen. Schnittstellenendpunkte werden von einer Technologie unterstützt [AWS PrivateLink](https://aws.amazon.com/privatelink/), mit der Sie privat auf Macie zugreifen können, ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. Direct Connect Wir erstellen in jedem Subnetz, das Sie für einen Schnittstellenendpunkt aktivieren, eine Endpunkt-Netzwerkschnittstelle. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den für Macie bestimmten Datenverkehr dienen können. Weitere Informationen finden Sie unter [Zugriff auf AWS-Services über AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) im *AWS PrivateLink -Leitfaden*.
# Zugreifen auf Macie mit einem Schnittstellenendpunkt ()AWS PrivateLink
Sie können AWS PrivateLink damit eine private Verbindung zwischen Ihrer Virtual Private Cloud (VPC) und Amazon Macie herstellen. Sie können auf Macie zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Macie zuzugreifen.
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den für Macie bestimmten Datenverkehr dienen.
Weitere Informationen finden Sie unter [Zugriff auf AWS-Services über AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) im *AWS PrivateLink -Leitfaden*.
**Topics**
+ [Überlegungen zu Macie-Schnittstellenendpunkten](#vpc-endpoint-considerations)
+ [Einen Schnittstellenendpunkt für Macie erstellen](#vpc-endpoint-create)
+ [Eine Endpunktrichtlinie für Macie erstellen](#vpc-endpoint-policy)
## Überlegungen zu Macie-Schnittstellenendpunkten
Amazon Macie unterstützt Schnittstellenendpunkte überall dort, AWS-Regionen wo es derzeit verfügbar ist. Eine Liste dieser Regionen finden Sie unter [Amazon Macie Macie-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/macie.html) in der. *Allgemeine AWS-Referenz* Macie unterstützt Aufrufe all seiner API-Operationen über Schnittstellenendpunkte.
Wenn Sie einen Schnittstellenendpunkt für Macie erstellen, sollten Sie erwägen, dasselbe für andere zu tun AWS-Services , die in Macie und mit integriert sind AWS PrivateLink, wie Amazon EventBridge und. AWS Security Hub CSPM Macie und diese Dienste können dann die Schnittstellen-Endpunkte für die Integration verwenden. Wenn Sie beispielsweise einen Schnittstellenendpunkt für Macie und einen Schnittstellenendpunkt für Security Hub CSPM erstellen, kann Macie seinen Schnittstellenendpunkt verwenden, wenn es Ergebnisse an Security Hub CSPM veröffentlicht. Security Hub CSPM kann seinen Schnittstellenendpunkt verwenden, wenn es die Ergebnisse empfängt. *Informationen zu den unterstützten Diensten finden Sie AWS PrivateLink im Handbuch unter AWS-Services „[Integrate with](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)“.AWS PrivateLink *
## Einen Schnittstellenendpunkt für Macie erstellen
Sie können einen Schnittstellenendpunkt für Amazon Macie erstellen, indem Sie die Amazon VPC-Konsole oder die AWS Command Line Interface ()AWS CLI verwenden. Weitere Informationen finden Sie unter [Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.
Wenn Sie einen Schnittstellenendpunkt für Macie erstellen, verwenden Sie den folgenden Servicenamen:
`com.amazonaws.region.macie2 `
Wo *region* ist der Regionalcode für den AWS-Region zutreffenden.
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Macie richten, indem Sie dessen standardmäßigen regionalen DNS-Namen verwenden, z. B. `macie2.us-east-1.amazonaws.com` für die Region USA Ost (Nord-Virginia).
## Eine Endpunktrichtlinie für Macie erstellen
Eine *Endpunktrichtlinie* ist eine AWS Identity and Access Management (IAM-) Ressource, die Sie an einen Schnittstellenendpunkt anhängen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf Amazon Macie über den Schnittstellenendpunkt. Um den Zugriff zu kontrollieren, der Macie von Ihrer VPC aus gewährt wird, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service. Weitere Informationen finden Sie unter [Kontrolle des Zugriffs auf VPC-Endpunkte mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *AWS PrivateLink Leitfaden*.
**Beispiel: VPC-Endpunktrichtlinie für Macie-Aktionen**
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie für Macie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Macie-Aktionen. Es ermöglicht Benutzern, die über die VPC eine Verbindung zu Macie herstellen, mithilfe der Amazon Macie Macie-API auf Ergebnisdaten zuzugreifen.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
}
]
}
```
Damit Benutzer auch über die Amazon Macie Macie-Konsole auf Ergebnisdaten zugreifen oder andere Aktionen ausführen können, sollte die Richtlinie auch Zugriff auf die `macie2:GetMacieSession` Aktion gewähren, zum Beispiel:
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"macie2:GetMacieSession",
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
}
]
}
```