Mengakses Macie dengan titik akhir antarmuka ()AWS PrivateLink - Amazon Macie
Pertimbangan untuk titik akhir antarmuka MacieMembuat titik akhir antarmuka untuk MacieMembuat kebijakan endpoint untuk Macie

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengakses Macie dengan titik akhir antarmuka ()AWS PrivateLink

Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara virtual private cloud (VPC) dan Amazon Macie. Anda dapat mengakses Macie seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Macie.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Macie.

Untuk informasi selengkapnya, lihat Mengakses Layanan AWS melalui AWS PrivateLink di Panduan AWS PrivateLink .

Pertimbangan untuk titik akhir antarmuka Macie

Amazon Macie mendukung titik akhir antarmuka di semua Wilayah AWS tempat yang tersedia saat ini. Untuk daftar Wilayah ini, lihat titik akhir dan kuota Amazon Macie di. Referensi Umum AWS Macie mendukung panggilan ke semua operasi API-nya melalui titik akhir antarmuka.

Jika Anda membuat titik akhir antarmuka untuk Macie, pertimbangkan untuk melakukan hal yang sama untuk yang lain Layanan AWS yang terintegrasi dengan Macie dan dengan AWS PrivateLink, seperti Amazon dan. EventBridge AWS Security Hub Macie dan layanan tersebut kemudian dapat menggunakan titik akhir antarmuka untuk integrasi. Misalnya, jika Anda membuat titik akhir antarmuka untuk Macie dan titik akhir antarmuka untuk Security Hub, Macie dapat menggunakan titik akhir antarmuka saat mempublikasikan temuan ke Security Hub. Security Hub dapat menggunakan endpoint antarmukanya saat menerima temuan. Untuk informasi tentang layanan yang didukung, lihat Layanan AWS yang terintegrasi dengan AWS PrivateLink dalam AWS PrivateLink Panduan.

Membuat titik akhir antarmuka untuk Macie

Anda dapat membuat titik akhir antarmuka untuk Amazon Macie dengan menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir VPC di Panduan Pengguna AWS PrivateLink .

Saat Anda membuat titik akhir antarmuka untuk Macie, gunakan nama layanan berikut:

com.amazonaws.region.macie2

Di region mana kode Wilayah untuk yang berlaku Wilayah AWS.

Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke Macie menggunakan nama DNS Regional default, misalnya, macie2.us-east-1.amazonaws.com untuk Wilayah AS Timur (Virginia N.).

Membuat kebijakan endpoint untuk Macie

Kebijakan endpoint adalah sumber daya AWS Identity and Access Management (IAM) yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke Amazon Macie melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke Macie dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.

kebijakan titik akhir mencantumkan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).

  • Tindakan yang dapat dilakukan.

  • Sumber daya untuk melakukan tindakan.

Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu. Untuk informasi selengkapnya, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan.AWS PrivateLink

Contoh: Kebijakan titik akhir VPC untuk tindakan Macie

Berikut ini adalah contoh kebijakan endpoint kustom untuk Macie. Jika Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke tindakan Macie yang terdaftar untuk semua prinsipal di semua sumber daya. Hal ini memungkinkan pengguna terhubung ke Macie melalui VPC untuk mengakses data temuan dengan menggunakan Amazon Macie API.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

Untuk juga memungkinkan pengguna mengakses data temuan atau melakukan tindakan lain dengan menggunakan konsol Amazon Macie, kebijakan tersebut juga harus memberikan akses ke macie2:GetMacieSession tindakan, misalnya:

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}