Accès à Macie avec un point de terminaison d'interface ()AWS PrivateLink - Amazon Macie
Considérations relatives aux points de terminaison de l'interface MacieCréation d'un point de terminaison d'interface pour MacieCréation d'une politique de point de terminaison pour Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès à Macie avec un point de terminaison d'interface ()AWS PrivateLink

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre cloud privé virtuel (VPC) et Amazon Macie. Vous pouvez accéder à Macie comme s'il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. AWS Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à Macie.

Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné à Macie.

Pour plus d’informations, consultez Accès aux Services AWS via AWS PrivateLink dans le Guide AWS PrivateLink .

Considérations relatives aux points de terminaison de l'interface Macie

Amazon Macie prend en charge les points de terminaison d'interface partout Régions AWS où il est actuellement disponible. Pour obtenir la liste de ces régions, consultez la section Points de terminaison et quotas Amazon Macie dans le. Références générales AWS Macie prend en charge les appels à toutes ses opérations d'API via les points de terminaison de l'interface.

Si vous créez un point de terminaison d'interface pour Macie, envisagez de faire de même pour les autres terminaux Services AWS qui s'intègrent à Macie et à AWS PrivateLink, par exemple, Amazon EventBridge et. AWS Security Hub Macie et ces services peuvent ensuite utiliser les points de terminaison de l'interface pour l'intégration. Par exemple, si vous créez un point de terminaison d'interface pour Macie et un point de terminaison d'interface pour Security Hub, Macie peut utiliser son point de terminaison d'interface lorsqu'il publie ses résultats sur Security Hub. Security Hub peut utiliser son point de terminaison d'interface lorsqu'il reçoit les résultats. Pour plus d'informations sur les services pris en charge, consultez Services AWS les services intégrés AWS PrivateLink dans le AWS PrivateLink Guide.

Création d'un point de terminaison d'interface pour Macie

Vous pouvez créer un point de terminaison d'interface pour Amazon Macie à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez Créer un point de terminaison d’un VPC dans le Guide AWS PrivateLink .

Lorsque vous créez un point de terminaison d'interface pour Macie, utilisez le nom de service suivant :

com.amazonaws.region.macie2

Où se region trouve le code de région correspondant à ce qui est applicable Région AWS ?

Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API à Macie en utilisant son nom DNS régional par défaut, par exemple macie2.us-east-1.amazonaws.com pour la région USA Est (Virginie du Nord).

Création d'une politique de point de terminaison pour Macie

Une politique de point de terminaison est une ressource AWS Identity and Access Management (IAM) que vous pouvez associer à un point de terminaison d'interface. La politique de point de terminaison par défaut autorise un accès complet à Amazon Macie via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à Macie depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Il s’agit d’une politique distincte qui contrôle l’accès depuis le point de terminaison jusqu’au service spécifié. Pour plus d'informations, consultez la section Contrôler l'accès aux points de terminaison VPC à l'aide des politiques relatives aux points de terminaison dans le Guide.AWS PrivateLink

Exemple : politique de point de terminaison VPC pour les actions Macie

Voici un exemple de politique de point de terminaison personnalisée pour Macie. Si vous associez cette politique au point de terminaison de votre interface, elle accorde l'accès aux actions Macie répertoriées à tous les principaux sur toutes les ressources. Il permet aux utilisateurs qui se connectent à Macie via le VPC d'accéder aux données de résultats à l'aide de l'API Amazon Macie.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

Pour permettre également aux utilisateurs d'accéder aux données des résultats ou d'effectuer d'autres actions à l'aide de la console Amazon Macie, la politique doit également accorder l'accès à l'macie2:GetMacieSessionaction, par exemple :

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}