Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Macie
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gira Servizi AWS su Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per informazioni sui programmi di conformità applicabili ad Amazon Macie, consulta [AWS Services in Scope by Compliance Program ](https://aws.amazon.com/compliance/services-in-scope/) Program.
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dall'uso Servizi AWS che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della tua azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon Macie. I seguenti argomenti mostrano come configurare Macie per soddisfare i tuoi obiettivi di sicurezza e conformità. Imparerai anche a usarne altri Servizi AWS che possono aiutarti a monitorare e proteggere le tue risorse Macie.
**Topics**
+ [Protezione dei dati](data-protection.md)
+ [Gestione dell’identità e degli accessi](security-iam.md)
+ [Convalida della conformità](compliance-validation.md)
+ [Resilienza](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura](infrastructure-security.md)
+ [AWS PrivateLink](vpc-interface-endpoints-macie.md)
# Protezione dei dati in Macie
Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Macie. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Macie o altri utenti che Servizi AWS utilizzano la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
## Crittografia dei dati a riposo
Amazon Macie archivia in modo sicuro i dati archiviati utilizzando AWS soluzioni di crittografia. Macie crittografa i dati, come i risultati, utilizzando an Chiave gestita da AWS from (). AWS Key Management Service AWS KMS
Se disabiliti Macie, elimina definitivamente tutte le risorse che archivia o gestisce per te, come i processi di rilevamento di dati sensibili, gli identificatori di dati personalizzati e i risultati.
## Crittografia in transito
Amazon Macie crittografa tutti i dati in transito tra di loro. Servizi AWS
Macie analizza i dati da Amazon S3 ed esporta i risultati della scoperta di dati sensibili in un bucket S3 generico. Dopo che Macie ottiene le informazioni di cui ha bisogno dagli oggetti S3, gli oggetti vengono scartati.
Macie accede ad Amazon S3 utilizzando un endpoint VPC fornito da. AWS PrivateLink Pertanto, il traffico tra Macie e Amazon S3 rimane sulla rete Amazon e non passa attraverso la rete Internet pubblica. Per ulteriori informazioni, consulta [AWS PrivateLink](https://aws.amazon.com/privatelink/).
# Gestione delle identità e degli accessi per Macie
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse Macie. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Macie con AWS Identity and Access Management](security_iam_service-with-iam.md)
+ [Esempi di politiche basate sull'identità per Macie](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Macie](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per Macie](service-linked-roles.md)
+ [Risoluzione dei problemi di gestione delle identità e degli accessi per Macie](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di gestione delle identità e degli accessi per Macie](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Macie con AWS Identity and Access Management](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di politiche basate sull'identità per Macie](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Macie con AWS Identity and Access Management
Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso ad Amazon Macie, scopri quali funzionalità IAM sono disponibili per l'uso con Macie.
**Funzionalità IAM che puoi usare con Macie**
| Funzionalità IAM | Supporto per Macie |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [Elenchi di controllo degli accessi () ACLs](#security_iam_service-with-iam-acls) | No |
| [Controllo degli accessi basato sugli attributi (ABAC): tag nelle politiche](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
*Per una panoramica di alto livello su come Macie e altri Servizi AWS funzionano con la maggior parte delle funzionalità IAM, consulta Servizi AWS la sezione dedicata alla compatibilità con IAM nella [IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Politiche basate sull'identità per Macie
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Amazon Macie supporta politiche basate sull'identità. Per alcuni esempi, consulta [Esempi di politiche basate sull'identità per Macie](security_iam_id-based-policy-examples.md).
## Politiche basate sulle risorse all'interno di Macie
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
Amazon Macie non supporta politiche basate sulle risorse. Vale a dire, non è possibile allegare una policy direttamente a una risorsa Macie.
## Azioni politiche per Macie
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche per Amazon Macie utilizzano il seguente prefisso prima dell'azione:
```
macie2
```
Ad esempio, per concedere a qualcuno l'autorizzazione ad accedere alle informazioni su tutti gli identificatori di dati gestiti forniti da Macie, che è un'azione che corrisponde al `ListManagedDataIdentifiers` funzionamento dell'API Amazon Macie, includi `macie2:ListManagedDataIdentifiers` l'azione nella sua politica:
```
"Action": "macie2:ListManagedDataIdentifiers"
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Esempio:
```
"Action": [
"macie2:ListManagedDataIdentifiers",
"macie2:ListCustomDataIdentifiers"
]
```
Puoi anche specificare più operazioni utilizzando i caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "macie2:List*"
```
Tuttavia, è consigliabile definire policy in grado di seguire il principio del privilegio minimo. In altre parole, è necessario creare policy che includano solo le autorizzazioni necessarie per eseguire un'attività specifica.
Per un elenco delle azioni Macie, consulta [Azioni definite da Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-actions-as-permissions) Macie nel *Service Authorization Reference*. Per esempi di politiche che specificano le azioni di Macie, consulta. [Esempi di politiche basate sull'identità per Macie](security_iam_id-based-policy-examples.md)
## Risorse politiche per Macie
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Amazon Macie definisce i seguenti tipi di risorse:
+ Elenco di indirizzi consentiti
+ Identificatore di dati personalizzato
+ *Regola di filtro o soppressione, nota anche come filtro dei risultati*
+ Account membro
+ Processo di individuazione di dati sensibili, noto anche come processo di *classificazione*
È possibile specificare questi tipi di risorse nelle politiche utilizzando ARNs.
Ad esempio, per creare una policy per il processo di rilevamento di dati sensibili con l'ID di lavoro *3ce05dbb7ec5505def334104bexample*, è possibile utilizzare il seguente ARN:
```
"Resource": "arn:aws:macie2:*:*:classification-job/3ce05dbb7ec5505def334104bexample"
```
Oppure, per specificare tutti i processi di rilevamento di dati sensibili per un determinato account, utilizza un carattere jolly (\$1):
```
"Resource": "arn:aws:macie2:*:123456789012:classification-job/*"
```
*123456789012*Dov'è l'ID dell'account Account AWS che ha creato i lavori. Tuttavia, è consigliabile creare politiche che seguano il principio del privilegio minimo. In altre parole, è necessario creare politiche che includano solo le autorizzazioni necessarie per eseguire un'attività specifica su una risorsa specifica.
Alcune azioni di Macie possono essere applicate a più risorse. Ad esempio, l'`macie2:BatchGetCustomDataIdentifiers`azione può recuperare i dettagli di più identificatori di dati personalizzati. In questi casi, un principale deve disporre delle autorizzazioni per accedere a tutte le risorse a cui si applica l'azione. Per specificare più risorse in una singola istruzione, separale ARNs con una virgola:
```
"Resource": [
"arn:aws:macie2:*:*:custom-data-identifier/12g4aff9-8e22-4f2b-b3fd-3063eexample",
"arn:aws:macie2:*:*:custom-data-identifier/2d12c96a-8e78-4ca6-b1dc-8fd65example",
"arn:aws:macie2:*:*:custom-data-identifier/4383a69d-4a1e-4a07-8715-208ddexample"
]
```
*Per un elenco dei tipi di risorse Macie e la sintassi ARN per ciascuno di essi, [consulta Tipi di risorse definiti da Amazon Macie nel Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-resources-for-iam-policies).* Per sapere quali azioni è possibile specificare con ogni tipo di risorsa, consulta [Azioni definite da Amazon Macie](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-actions-as-permissions) nel *Service Authorization* Reference. Per esempi di politiche che specificano le risorse, consulta[Esempi di politiche basate sull'identità per Macie](security_iam_id-based-policy-examples.md).
## Chiavi relative alle condizioni delle politiche per Macie
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per un elenco delle chiavi di condizione di Amazon Macie, consulta [Condition keys for Amazon Macie](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Macie](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html#amazonmacie-actions-as-permissions). Per esempi di politiche che utilizzano chiavi condizionali, consulta[Esempi di politiche basate sull'identità per Macie](security_iam_id-based-policy-examples.md).
## Accedete agli elenchi di controllo (ACLs) in Macie
**Supporti ACLs: No**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) è un esempio di Servizio AWS supporto. ACLs Per ulteriori informazioni, consulta la [panoramica dell'elenco di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
Amazon Macie non supporta. ACLs Vale a dire, non è possibile collegare un ACL a una risorsa Macie.
## Controllo degli accessi basato sugli attributi (ABAC) con Macie
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Puoi allegare tag alle risorse Amazon Macie: elenchi di autorizzazioni, identificatori di dati personalizzati, regole di filtro e regole di soppressione, account dei membri e processi di rilevamento di dati sensibili. Puoi anche controllare l'accesso a questi tipi di risorse fornendo informazioni sui tag nell'elemento di una policy. `Condition` Per informazioni su come allegare tag alle risorse, consulta[Etichettare le risorse di Macie](tagging-resources.md). Per un esempio di politica basata sull'identità che controlla l'accesso a una risorsa in base ai tag, vedi. [Esempi di politiche basate sull'identità per Macie](security_iam_id-based-policy-examples.md)
## Utilizzo di credenziali temporanee con Macie
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
Amazon Macie supporta l'uso di credenziali temporanee.
## Sessioni di accesso diretto per Macie
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Amazon Macie invia richieste FAS a valle Servizi AWS quando esegui le seguenti attività:
+ Crea o aggiorna le impostazioni di Macie per un elenco di contenuti consentiti archiviato in un bucket S3.
+ Controlla lo stato di un elenco di contenuti consentiti archiviato in un bucket S3.
+ Recupera campioni di dati sensibili da un oggetto S3 interessato utilizzando le credenziali utente IAM.
+ Crittografa campioni di dati sensibili recuperati utilizzando le credenziali utente IAM o un ruolo IAM.
+ Consenti a Macie di integrarsi con. AWS Organizations
+ Designare l'account amministratore delegato Macie per un'organizzazione in. AWS Organizations
Per altre attività, Macie utilizza un ruolo collegato al servizio per eseguire azioni per conto dell'utente. Per informazioni dettagliate su questo ruolo, consulta. [Utilizzo di ruoli collegati ai servizi per Macie](service-linked-roles.md)
## Ruoli di servizio per Macie
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
Amazon Macie non assume né utilizza ruoli di servizio. Per eseguire azioni per tuo conto, Macie utilizza principalmente un ruolo collegato al servizio. Per informazioni dettagliate su questo ruolo, consulta. [Utilizzo di ruoli collegati ai servizi per Macie](service-linked-roles.md)
## Ruoli collegati ai servizi per Macie
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Amazon Macie utilizza un ruolo collegato al servizio per eseguire azioni per tuo conto. Per informazioni dettagliate su questo ruolo, consulta. [Utilizzo di ruoli collegati ai servizi per Macie](service-linked-roles.md)
# Esempi di politiche basate sull'identità per Macie
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare le risorse Macie. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Macie, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmacie.html) Macie nel *Service Authorization Reference*.
Quando crei una policy, assicurati di risolvere gli avvisi di sicurezza, gli errori, gli avvisi generali e i suggerimenti di AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) prima di salvare la policy. [IAM Access Analyzer esegue controlli sulle policy per convalidare una policy rispetto alla grammatica e alle best practice delle [policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) Questi controlli generano risultati e forniscono raccomandazioni attuabili per aiutarti a creare policy funzionali e conformi alle best practice di sicurezza. *Per ulteriori informazioni sulla convalida delle policy utilizzando IAM Access Analyzer, consulta la convalida delle policy di [IAM Access Analyzer nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).* *Per esaminare un elenco degli avvisi, degli errori e dei suggerimenti che IAM Access Analyzer può restituire, consulta il riferimento per il [controllo delle politiche di IAM Access Analyzer nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) User Guide.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon Macie](#security_iam_id-based-policy-examples-console)
+ [Esempio: consentire agli utenti di rivedere le proprie autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Esempio: consenti agli utenti di creare processi di rilevamento di dati sensibili](#security_iam_id-based-policy-examples-create-job)
+ [Esempio: consentire agli utenti di gestire un processo di rilevamento di dati sensibili](#security_iam_id-based-policy-examples-access-job)
+ [Esempio: consenti agli utenti di esaminare i risultati](#security_iam_id-based-policy-examples-review-findings)
+ [Esempio: consenti agli utenti di esaminare gli identificatori di dati personalizzati in base ai tag](#security_iam_id-based-policy-examples-review-cdis-tags)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse Macie nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon Macie
Per accedere alla console Amazon Macie, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Macie presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano utilizzare la console Amazon Macie, crea policy IAM che forniscano loro l'accesso alla console. Per ulteriori informazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM *.
Se crei una policy che consente agli utenti o ai ruoli di utilizzare la console Amazon Macie, assicurati che la policy consenta l'azione`macie2:GetMacieSession`. In caso contrario, tali utenti o ruoli non saranno in grado di accedere alle risorse o ai dati Macie sulla console.
Assicurati inoltre che la policy consenta `macie2:List` le azioni appropriate per le risorse a cui tali utenti o ruoli devono accedere sulla console. In caso contrario, non saranno in grado di navigare o visualizzare i dettagli su tali risorse sulla console. Ad esempio, per esaminare i dettagli di un processo di rilevamento di dati sensibili utilizzando la console, a un utente deve essere consentito di eseguire l'`macie2:DescribeClassificationJob`azione relativa al lavoro *e* all'`macie2:ListClassificationJobs`azione. Se un utente non è autorizzato a eseguire l'`macie2:ListClassificationJobs`azione, non sarà in grado di visualizzare un elenco di **lavori** nella pagina Processi della console e pertanto non potrà scegliere il lavoro per visualizzarne i dettagli. Affinché i dettagli includano informazioni su un identificatore di dati personalizzato utilizzato dal processo, all'utente deve inoltre essere consentito di eseguire l'`macie2:BatchGetCustomDataIdentifiers`azione per l'identificatore di dati personalizzato.
## Esempio: consentire agli utenti di rivedere le proprie autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Esempio: consenti agli utenti di creare processi di rilevamento di dati sensibili
Questo esempio mostra come è possibile creare una politica che consenta a un utente di creare processi di rilevamento di dati sensibili.
Nell'esempio, la prima istruzione concede `macie2:CreateClassificationJob` le autorizzazioni all'utente. Queste autorizzazioni consentono all'utente di creare lavori. La dichiarazione concede anche le `macie2:DescribeClassificationJob` autorizzazioni. Queste autorizzazioni consentono all'utente di accedere ai dettagli dei lavori esistenti. Sebbene queste autorizzazioni non siano necessarie per creare lavori, l'accesso a questi dettagli può aiutare l'utente a creare lavori con impostazioni di configurazione uniche.
La seconda istruzione dell'esempio consente all'utente di creare, configurare e rivedere i lavori utilizzando la console Amazon Macie. Le `macie2:ListClassificationJobs` autorizzazioni consentono all'utente di visualizzare i lavori esistenti nella pagina **Lavori** della console. Tutte le altre autorizzazioni contenute nell'istruzione consentono all'utente di configurare e creare un lavoro utilizzando le pagine **Crea lavoro** sulla console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndReviewJobs",
"Effect": "Allow",
"Action": [
"macie2:CreateClassificationJob",
"macie2:DescribeClassificationJob"
],
"Resource": "arn:aws:macie2:*:*:classification-job/*"
},
{
"Sid": "CreateAndReviewJobsOnConsole",
"Effect": "Allow",
"Action": [
"macie2:ListClassificationJobs",
"macie2:ListAllowLists",
"macie2:ListCustomDataIdentifiers",
"macie2:ListManagedDataIdentifiers",
"macie2:SearchResources",
"macie2:DescribeBuckets"
],
"Resource": "*"
}
]
}
```
------
## Esempio: consentire agli utenti di gestire un processo di rilevamento di dati sensibili
Questo esempio mostra come è possibile creare una politica che consenta a un utente di accedere ai dettagli di un particolare processo di rilevamento di dati sensibili, il lavoro il cui ID è`3ce05dbb7ec5505def334104bexample`. L'esempio consente inoltre all'utente di modificare lo stato del job, se necessario.
La prima istruzione dell'esempio concede `macie2:DescribeClassificationJob` e `macie2:UpdateClassificationJob` autorizzazioni all'utente. Queste autorizzazioni consentono all'utente di recuperare rispettivamente i dettagli del lavoro e modificarne lo stato. La seconda istruzione concede `macie2:ListClassificationJobs` le autorizzazioni all'utente, il che consente all'utente di accedere al lavoro utilizzando la pagina **Lavori** sulla console Amazon Macie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageOneJob",
"Effect": "Allow",
"Action": [
"macie2:DescribeClassificationJob",
"macie2:UpdateClassificationJob"
],
"Resource": "arn:aws:macie2:*:*:classification-job/3ce05dbb7ec5505def334104bexample"
},
{
"Sid": "ListJobsOnConsole",
"Effect": "Allow",
"Action": "macie2:ListClassificationJobs",
"Resource": "*"
}
]
}
```
------
Puoi anche consentire all'utente di accedere ai dati di registrazione (*eventi di registro*) che Macie pubblica su Amazon CloudWatch Logs per il lavoro. A tale scopo, puoi aggiungere istruzioni che concedono le autorizzazioni per eseguire azioni CloudWatch Logs (`logs`) sul gruppo di log e sullo stream per il processo. Esempio:
```
{
"Sid": "AccessLogGroupForMacieJobs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:aws/macie/classificationjobs"
},
{
"Sid": "AccessLogEventsForOneMacieJob",
"Effect": "Allow",
"Action": "logs:GetLogEvents",
"Resource": [
"arn:aws:logs:*:*:log-group:aws/macie/classificationjobs/*",
"arn:aws:logs:*:*:log-group:aws/macie/classificationjobs:log-stream:3ce05dbb7ec5505def334104bexample"
]
}
```
Per informazioni sulla gestione dell'accesso ai CloudWatch log, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs nella *Amazon CloudWatch CloudWatch Logs*](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) User Guide.
## Esempio: consenti agli utenti di esaminare i risultati
Questo esempio mostra come è possibile creare una politica che consenta a un utente di accedere ai dati dei risultati.
In questo esempio, le `macie2:GetFindingStatistics` autorizzazioni `macie2:GetFindings` and consentono all'utente di recuperare i dati utilizzando l'API Amazon Macie o la console Amazon Macie. Le `macie2:ListFindings` autorizzazioni consentono all'utente di recuperare e rivedere i dati utilizzando la dashboard di **riepilogo** e le pagine **Findings** sulla console Amazon Macie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
}
]
}
```
------
Puoi anche consentire all'utente di creare e gestire regole di filtro e regole di soppressione per i risultati. A tale scopo, è possibile includere un'istruzione che conceda le seguenti autorizzazioni:`macie2:CreateFindingsFilter`,`macie2:GetFindingsFilter`, `macie2:UpdateFindingsFilter` e. `macie2:DeleteFindingsFilter` Per consentire all'utente di gestire le regole utilizzando la console Amazon Macie, includi anche `macie2:ListFindingsFilters` le autorizzazioni nella policy. Esempio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
},
{
"Sid": "ManageRules",
"Effect": "Allow",
"Action": [
"macie2:GetFindingsFilter",
"macie2:UpdateFindingsFilter",
"macie2:CreateFindingsFilter",
"macie2:DeleteFindingsFilter"
],
"Resource": "arn:aws:macie2:*:*:findings-filter/*"
},
{
"Sid": "ListRulesOnConsole",
"Effect": "Allow",
"Action": "macie2:ListFindingsFilters",
"Resource": "*"
}
]
}
```
------
## Esempio: consenti agli utenti di esaminare gli identificatori di dati personalizzati in base ai tag
Nelle politiche basate sull'identità, puoi utilizzare le condizioni per controllare l'accesso alle risorse di Amazon Macie in base ai tag. Questo esempio mostra come creare una policy che consenta a un utente di esaminare gli identificatori di dati personalizzati utilizzando la console Amazon Macie o l'API Amazon Macie. Tuttavia, l'autorizzazione viene concessa solo se il valore del `Owner` tag è il nome utente dell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewCustomDataIdentifiersIfOwner",
"Effect": "Allow",
"Action": "macie2:GetCustomDataIdentifier",
"Resource": "arn:aws:macie2:*:*:custom-data-identifier/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
},
{
"Sid": "ListCustomDataIdentifiersOnConsoleIfOwner",
"Effect": "Allow",
"Action": "macie2:ListCustomDataIdentifiers",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
In questo esempio, se un utente con il nome utente `richard-roe` tenta di esaminare i dettagli di un identificatore di dati personalizzato, l'identificatore di dati personalizzato deve essere contrassegnato con `Owner=richard-roe` o. `owner=richard-roe` In caso contrario, a questo utente viene negato l'accesso. La chiave del tag condition `Owner` corrisponde a entrambi `Owner` e `owner` perché i nomi delle chiavi di condizione non fanno distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente IAM*.
# AWS politiche gestite per Macie
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Amazon Macie fornisce diverse policy AWS gestite: la `AmazonMacieFullAccess` policy, la `AmazonMacieReadOnlyAccess` policy e la `AmazonMacieServiceRolePolicy` policy.
**Topics**
+ [Policy AmazonMacieFullAccess](#security-iam-awsmanpol-AmazonMacieFullAccess)
+ [Policy AmazonMacieReadOnlyAccess](#security-iam-awsmanpol-AmazonMacieReadOnlyAccess)
+ [Policy AmazonMacieServiceRolePolicy](#security-iam-awsmanpol-AmazonMacieServiceRolePolicy)
+ [Aggiornamenti alle politiche AWS gestite per Macie](#security-iam-awsmanpol-updates)
## AWS politica gestita: AmazonMacieFullAccess
Puoi collegare la policy `AmazonMacieFullAccess` anche alle tue entità IAM.
Questa policy concede autorizzazioni amministrative complete che consentono a un'identità IAM (*principale*) di creare il ruolo [collegato al servizio Amazon Macie](service-linked-roles.md) ed eseguire tutte le azioni di lettura e scrittura per Amazon Macie. Le autorizzazioni includono funzioni mutanti come creazione, aggiornamento ed eliminazione. Se questa politica è associata a un'entità, quest'ultima può creare, recuperare e accedere in altro modo a tutte le risorse, i dati e le impostazioni di Macie per il proprio account.
Questa politica deve essere associata a un'entità prima che quest'ultima possa abilitare Macie per il proprio account. Una persona principale deve essere autorizzata a creare il ruolo collegato al servizio Macie per abilitare Macie per il proprio account.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `macie2`— Consente ai mandanti di eseguire tutte le azioni di lettura e scrittura per Amazon Macie.
+ `iam`— Consente ai dirigenti di creare ruoli collegati ai servizi. L'`Resource`elemento specifica il ruolo collegato al servizio per Macie. L'`Condition`elemento utilizza la [chiave di `iam:AWSServiceName` condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html) e l'[operatore di `StringLike` condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) per limitare le autorizzazioni al ruolo collegato al servizio per Macie.
+ `pricing`— Consente ai mandanti di recuperare i dati sui prezzi da loro. Account AWS Gestione dei costi e fatturazione AWS Macie utilizza questi dati per calcolare e visualizzare i costi stimati quando i responsabili creano e configurano lavori di rilevamento di dati sensibili.
Per esaminare le autorizzazioni relative a questa politica, consulta [AmazonMacieFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieFullAccess.html)la *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AmazonMacieReadOnlyAccess
Puoi collegare la policy `AmazonMacieReadOnlyAccess` anche alle tue entità IAM.
Questa policy concede autorizzazioni di sola lettura che consentono a un'identità IAM (*principale*) di eseguire tutte le azioni di lettura per Amazon Macie. Le autorizzazioni non includono funzioni mutanti come la creazione, l'aggiornamento o l'eliminazione. Se questa policy è associata a un'entità, quest'ultima può recuperare ma non accedere in altro modo a tutte le risorse, i dati e le impostazioni di Macie per il proprio account.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
`macie2`— Consente ai mandanti di eseguire tutte le azioni di lettura per Amazon Macie.
Per esaminare le autorizzazioni relative a questa politica, consulta [AmazonMacieReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieReadOnlyAccess.html)la *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AmazonMacieServiceRolePolicy
Non è possibile allegare la policy `AmazonMacieServiceRolePolicy` alle entità IAM.
Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon Macie di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Macie](service-linked-roles.md).
Per esaminare le autorizzazioni relative a questa politica, consulta la *AWS Managed* Policy [AmazonMacieServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieServiceRolePolicy.html)Reference Guide.
## Aggiornamenti alle politiche AWS gestite per Macie
La tabella seguente fornisce dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Macie da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sugli aggiornamenti delle politiche, iscriviti al feed RSS nella pagina della cronologia dei documenti di [Macie](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonMacieReadOnlyAccess](#security-iam-awsmanpol-AmazonMacieReadOnlyAccess)— Aggiunta una nuova politica | Macie ha aggiunto una nuova politica, la `AmazonMacieReadOnlyAccess` politica. Questa politica concede autorizzazioni di sola lettura che consentono ai responsabili di recuperare tutte le risorse, i dati e le impostazioni di Macie per il proprio account. | 15 giugno 2023 |
| [AmazonMacieFullAccess](#security-iam-awsmanpol-AmazonMacieFullAccess)— Aggiornamento di una politica esistente | Nella `AmazonMacieFullAccess` policy, Macie ha aggiornato l'Amazon Resource Name (ARN) del ruolo Macie collegato al servizio (). `aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie` | 30 giugno 2022 |
| [AmazonMacieServiceRolePolicy](service-linked-roles.md#slr-permissions)— Ha aggiornato una policy esistente | Macie ha rimosso azioni e risorse per Amazon Macie Classic dalla `AmazonMacieServiceRolePolicy` policy. Amazon Macie Classic non è più disponibile e non è più disponibile. Più specificamente, Macie ha rimosso tutte le azioni. AWS CloudTrail Macie ha inoltre rimosso tutte le azioni di Amazon S3 per le seguenti risorse`arn:aws:s3:::awsmacie-*`:`arn:aws:s3:::awsmacietrail-*`, e. `arn:aws:s3:::*-awsmacietrail-*` | 20 maggio 2022 |
| [AmazonMacieFullAccess](#security-iam-awsmanpol-AmazonMacieFullAccess)— Ha aggiornato una politica esistente | Macie ha aggiunto un'azione Gestione dei costi e fatturazione AWS (`pricing`) alla `AmazonMacieFullAccess` policy. Questa azione consente ai mandanti di recuperare i dati sui prezzi del proprio account. Macie utilizza questi dati per calcolare e visualizzare i costi stimati quando i responsabili creano e configurano lavori di rilevamento di dati sensibili. Macie ha inoltre rimosso le azioni di Amazon Macie Classic `macie` () dalla `AmazonMacieFullAccess` policy. | 7 marzo 2022 |
| [AmazonMacieServiceRolePolicy](service-linked-roles.md#slr-permissions)— Ha aggiornato una politica esistente | Macie ha aggiunto le azioni di Amazon CloudWatch Logs alla `AmazonMacieServiceRolePolicy` policy. Queste azioni consentono a Macie di pubblicare eventi di registro su CloudWatch Logs per lavori di rilevamento di dati sensibili. | 13 aprile 2021 |
| Macie ha iniziato a tenere traccia delle modifiche | Macie ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 13 aprile 2021 |
# Utilizzo di ruoli collegati ai servizi per Macie
Amazon Macie utilizza un ruolo collegato al [servizio AWS Identity and Access Management (IAM) denominato](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts). `AWSServiceRoleForAmazonMacie` Questo ruolo collegato al servizio è un ruolo IAM collegato direttamente a Macie. È predefinito da Macie e include tutte le autorizzazioni necessarie a Macie per chiamare altri Servizi AWS utenti e monitorare le risorse per tuo conto. AWS Macie utilizza questo ruolo collegato al servizio in tutti i luoghi in cui Macie è disponibile. Regioni AWS
Un ruolo collegato al servizio semplifica la configurazione di Macie perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Macie definisce le autorizzazioni di questo ruolo collegato al servizio e, se non diversamente definito, solo Macie può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruoli collegati ai servizi**. Scegli un **Sì** con un link per consultare la documentazione del ruolo collegato al servizio per quel servizio.
**Topics**
+ [Autorizzazioni di ruolo collegate al servizio per Macie](#slr-permissions)
+ [Creazione del ruolo Macie collegato al servizio](#create-slr)
+ [Modifica del ruolo Macie collegato al servizio](#edit-slr)
+ [Eliminazione del ruolo Macie collegato al servizio](#delete-slr)
+ [Supportato Regioni AWS](#slr-regions)
## Autorizzazioni di ruolo collegate al servizio per Macie
Amazon Macie utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForAmazonMacie` Questo ruolo collegato al servizio si fida che il servizio assuma il `macie.amazonaws.com` ruolo.
La politica di autorizzazione per il ruolo, che è denominato`AmazonMacieServiceRolePolicy`, consente a Macie di eseguire attività come le seguenti sulle risorse specificate:
+ Utilizzare le operazioni di Amazon S3 per recuperare informazioni su bucket e oggetti S3.
+ Usa le azioni di Amazon S3 per recuperare oggetti S3.
+ Utilizza AWS Organizations le azioni per recuperare informazioni sugli account associati.
+ Usa le azioni di Amazon CloudWatch Logs per registrare gli eventi per i lavori di rilevamento di dati sensibili.
Per esaminare le autorizzazioni relative a questa politica, consulta [AmazonMacieServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieServiceRolePolicy.html)la *AWS Managed Policy Reference Guide.*
Per dettagli sugli aggiornamenti a questa politica, consulta[Aggiornamenti alle politiche AWS gestite per Macie](security-iam-awsmanpol.md#security-iam-awsmanpol-updates). Per avvisi automatici sulle modifiche a questa politica, iscriviti al feed RSS nella pagina della cronologia dei [documenti di Macie](doc-history.md).
È necessario configurare le autorizzazioni per un'entità IAM (come un utente o un ruolo) per consentire all'entità di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato al servizio per Macie
Non è necessario creare manualmente il ruolo `AWSServiceRoleForAmazonMacie` collegato al servizio per Amazon Macie. Quando abiliti Macie per il tuo account Account AWS, Macie crea automaticamente il ruolo collegato al servizio per te.
Se elimini il ruolo Macie collegato al servizio e poi devi crearlo di nuovo, puoi utilizzare la stessa procedura per ricreare il ruolo nel tuo account. Quando abiliti nuovamente Macie, Macie crea nuovamente il ruolo collegato al servizio per te.
## Modifica del ruolo collegato al servizio per Macie
Amazon Macie non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonMacie` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. *Per ulteriori informazioni, consulta [Aggiornamento di un ruolo collegato ai servizi nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) per l'utente IAM.*
## Eliminazione del ruolo collegato al servizio per Macie
È possibile eliminare un ruolo collegato al servizio solo dopo aver eliminato le relative risorse. Questa procedura protegge le risorse poiché impedisce la rimozione involontaria dell’autorizzazione ad accedere alle risorse.
Se non hai più bisogno di utilizzare Amazon Macie, ti consigliamo di eliminare manualmente il ruolo collegato al `AWSServiceRoleForAmazonMacie` servizio. Quando disabiliti Macie, Macie non elimina il ruolo per te.
Prima di eliminare il ruolo, devi disabilitare Macie in ogni posizione in Regione AWS cui lo hai abilitato. È inoltre necessario pulire manualmente le risorse per il ruolo. Per eliminare il ruolo, puoi utilizzare la console IAM AWS CLI, o l' AWS API. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l'utente IAM*.
**Nota**
Se Macie utilizza il `AWSServiceRoleForAmazonMacie` ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e poi riprova a eseguire l'operazione.
Se elimini il ruolo `AWSServiceRoleForAmazonMacie` collegato al servizio e devi crearlo di nuovo, puoi crearlo di nuovo abilitando Macie per il tuo account. Quando abiliti nuovamente Macie, Macie crea nuovamente il ruolo collegato al servizio per te.
## Supportato Regioni AWS per il ruolo Macie collegato al servizio
Amazon Macie supporta l'utilizzo del ruolo `AWSServiceRoleForAmazonMacie` collegato al servizio in tutti i paesi in Regioni AWS cui Macie è disponibile. Per un elenco delle regioni in cui Macie è attualmente disponibile, consulta gli [endpoint e le quote di Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) nel. *Riferimenti generali di AWS*
# Risoluzione dei problemi di gestione delle identità e degli accessi per Macie
Le seguenti informazioni possono aiutarti a diagnosticare e risolvere problemi comuni che potresti riscontrare quando lavori con Amazon Macie AWS Identity and Access Management e (IAM).
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Macie](#security_iam_troubleshoot-no-permissions)
+ [Voglio consentire a persone esterne a me Account AWS di accedere alle mie risorse Macie](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Macie
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `macie2:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: macie2:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `macie2:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me Account AWS di accedere alle mie risorse Macie
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Macie supporta queste funzionalità, consulta. [Come funziona Macie con AWS Identity and Access Management](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Convalida della conformità per Macie
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta [Servizi AWS Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza a Macie
L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali. Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
Oltre all'infrastruttura AWS globale, Amazon Macie offre diverse funzionalità per supportare le tue esigenze di resilienza e backup dei dati. Ad esempio, quando esegui un processo di rilevamento di dati sensibili o Macie esegue un rilevamento automatico di dati sensibili, Macie crea automaticamente un record di analisi per ogni oggetto Amazon Simple Storage Service (Amazon S3) incluso nell'ambito dell'analisi. Questi record, denominati *risultati di scoperta di dati sensibili*, registrano dettagli sull'analisi che Macie esegue su singoli oggetti S3. Ciò include oggetti in cui Macie non rileva dati sensibili e oggetti che Macie non può analizzare a causa di errori o problemi. Macie archivia questi risultati in un bucket S3 specificato dall'utente. Per ulteriori informazioni, consulta [Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili](discovery-results-repository-s3.md).
Macie pubblica anche i risultati relativi alle politiche e ai dati sensibili su Amazon sotto EventBridge forma di eventi. Ciò include nuove scoperte e aggiornamenti ai risultati delle politiche esistenti. (Non include i risultati che vengono archiviati automaticamente utilizzando le regole di soppressione). Utilizzando EventBridge, puoi inviare i dati dei risultati alla tua piattaforma di storage preferita e archiviarli per tutto il tempo che desideri. A seconda delle impostazioni di pubblicazione scelte, Macie può anche pubblicare i risultati delle policy e dei dati sensibili su AWS Security Hub CSPM. Per ulteriori informazioni, consulta [Monitoraggio ed elaborazione dei risultati di Macie](findings-monitor.md).
Hai anche la possibilità di utilizzare le operazioni dell'API Macie per recuperare i risultati e altri tipi di dati in modo programmatico. È quindi possibile elaborare e inviare i dati alla piattaforma di archiviazione preferita o a un altro servizio, applicazione o sistema. Per informazioni sulle operazioni API che potresti utilizzare a tale scopo, consulta [Amazon Macie API](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html) Reference.
# Sicurezza dell'infrastruttura in Macie
In quanto servizio gestito, Amazon Macie è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere a Macie attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Puoi chiamare queste operazioni API da una qualsiasi posizione di rete. Tuttavia, se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e Macie creando un endpoint di interfaccia. Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink/), una tecnologia che consente di accedere privatamente a Macie senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Creiamo un'interfaccia di rete endpoint in ogni sottorete abilitata per un endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che possono fungere da punto di ingresso per il traffico destinato a Macie. Per ulteriori informazioni, consulta la sezione [Accesso a Servizi AWS tramite AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) nella *Guida di AWS PrivateLink *.
# Accedere a Macie con un endpoint di interfaccia ()AWS PrivateLink
Puoi utilizzarlo AWS PrivateLink per creare una connessione privata tra il tuo cloud privato virtuale (VPC) e Amazon Macie. Puoi accedere a Macie come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere a Macie.
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato a Macie.
Per ulteriori informazioni, consulta la sezione [Accesso a Servizi AWS tramite AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) nella *Guida di AWS PrivateLink *.
**Topics**
+ [Considerazioni sugli endpoint dell'interfaccia Macie](#vpc-endpoint-considerations)
+ [Creazione di un endpoint di interfaccia per Macie](#vpc-endpoint-create)
+ [Creazione di una policy sugli endpoint per Macie](#vpc-endpoint-policy)
## Considerazioni sugli endpoint dell'interfaccia Macie
Amazon Macie supporta gli endpoint di interfaccia in tutti i paesi in Regioni AWS cui è attualmente disponibile. Per un elenco di queste regioni, consulta gli [endpoint e le quote di Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) nel. *Riferimenti generali di AWS* Macie supporta le chiamate a tutte le sue operazioni API tramite endpoint di interfaccia.
Se crei un endpoint di interfaccia per Macie, valuta la possibilità di fare lo stesso per altri dispositivi Servizi AWS che si integrano con Macie e con AWS PrivateLink, ad esempio, Amazon e. EventBridge AWS Security Hub CSPM Macie e questi servizi possono quindi utilizzare gli endpoint dell'interfaccia per l'integrazione. Ad esempio, se crei un endpoint di interfaccia per Macie e un endpoint di interfaccia per Security Hub CSPM, Macie può utilizzare il suo endpoint di interfaccia quando pubblica i risultati su Security Hub CSPM. Security Hub CSPM può utilizzare il suo endpoint di interfaccia quando riceve i risultati. *Per informazioni sui servizi supportati, consulta la sezione [Servizi AWS dedicata all'integrazione AWS PrivateLink nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html).AWS PrivateLink *
## Creazione di un endpoint di interfaccia per Macie
Puoi creare un endpoint di interfaccia per Amazon Macie utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida di AWS PrivateLink *.
Quando crei un endpoint di interfaccia per Macie, usa il seguente nome di servizio:
`com.amazonaws.region.macie2 `
*region*Dov'è il codice regionale applicabile. Regione AWS
Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API a Macie utilizzando il nome DNS regionale predefinito, ad esempio `macie2.us-east-1.amazonaws.com` per la regione Stati Uniti orientali (Virginia settentrionale).
## Creazione di una policy per gli endpoint per Macie
Una *policy per gli endpoint* è una risorsa AWS Identity and Access Management (IAM) che puoi collegare a un endpoint di interfaccia. La policy predefinita per gli endpoint consente l'accesso completo ad Amazon Macie tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito a Macie dal tuo VPC, collega una policy personalizzata per gli endpoint all'endpoint dell'interfaccia.
Una policy di endpoint specifica le informazioni riportate di seguito:
+ I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).
+ Le azioni che possono essere eseguite.
+ Le risorse in cui è possibile eseguire le operazioni.
Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato. Per ulteriori informazioni, consulta [Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
**Esempio: policy degli endpoint VPC per le azioni di Macie**
Di seguito è riportato un esempio di policy personalizzata per gli endpoint per Macie. Se colleghi questa policy all'endpoint dell'interfaccia, concede l'accesso alle azioni Macie elencate per tutti i principali su tutte le risorse. Consente agli utenti che si connettono a Macie tramite il VPC di accedere ai dati dei risultati utilizzando l'API Amazon Macie.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
}
]
}
```
Per consentire inoltre agli utenti di accedere ai dati dei risultati o eseguire altre azioni utilizzando la console Amazon Macie, la policy dovrebbe anche concedere l'accesso all'`macie2:GetMacieSession`azione, ad esempio:
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"macie2:GetMacieSession",
"macie2:GetFindings",
"macie2:GetFindingStatistics",
"macie2:ListFindings"
],
"Resource": "*"
}
]
}
```