Considerazioni sugli endpoint dell'interfaccia Macie Creazione di un endpoint di interfaccia per Macie Creazione di una policy sugli endpoint per Macie

Accedere a Macie con un endpoint di interfaccia ()AWS PrivateLink

Puoi utilizzarlo AWS PrivateLink per creare una connessione privata tra il tuo cloud privato virtuale (VPC) e Amazon Macie. Puoi accedere a Macie come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere a Macie.

Stabilisci questa connessione privata creando un endpoint di interfaccia attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato a Macie.

Per ulteriori informazioni, consulta la sezione Accesso a Servizi AWS tramite AWS PrivateLink nella Guida di AWS PrivateLink .

Argomenti

Considerazioni sugli endpoint dell'interfaccia Macie
Creazione di un endpoint di interfaccia per Macie
Creazione di una policy sugli endpoint per Macie

Considerazioni sugli endpoint dell'interfaccia Macie

Amazon Macie supporta gli endpoint di interfaccia in tutti i paesi in Regioni AWS cui è attualmente disponibile. Per un elenco di queste regioni, consulta gli endpoint e le quote di Amazon Macie nel. Riferimenti generali di AWS Macie supporta le chiamate a tutte le sue operazioni API tramite endpoint di interfaccia.

Se crei un endpoint di interfaccia per Macie, valuta la possibilità di fare lo stesso per altri dispositivi Servizi AWS che si integrano con Macie e con AWS PrivateLink, ad esempio, Amazon e. EventBridge AWS Security Hub Macie e questi servizi possono quindi utilizzare gli endpoint dell'interfaccia per l'integrazione. Ad esempio, se crei un endpoint di interfaccia per Macie e un endpoint di interfaccia per Security Hub, Macie può utilizzare il suo endpoint di interfaccia quando pubblica i risultati su Security Hub. Security Hub può utilizzare il suo endpoint di interfaccia quando riceve i risultati. Per informazioni sui servizi supportati, consulta Servizi AWS la sezione dedicata all'integrazione con AWS PrivateLink nella AWS PrivateLink Guida.

Creazione di un endpoint di interfaccia per Macie

Puoi creare un endpoint di interfaccia per Amazon Macie utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione Creazione di un endpoint VPC nella Guida di AWS PrivateLink .

Quando crei un endpoint di interfaccia per Macie, usa il seguente nome di servizio:

com.amazonaws.region.macie2

regionDov'è il codice regionale applicabile. Regione AWS

Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API a Macie utilizzando il nome DNS regionale predefinito, ad esempio macie2.us-east-1.amazonaws.com per la regione Stati Uniti orientali (Virginia settentrionale).

Creazione di una policy per gli endpoint per Macie

Una policy per gli endpoint è una risorsa AWS Identity and Access Management (IAM) che puoi collegare a un endpoint di interfaccia. La policy predefinita per gli endpoint consente l'accesso completo ad Amazon Macie tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito a Macie dal tuo VPC, collega una policy endpoint personalizzata all'endpoint dell'interfaccia.

Una policy di endpoint specifica le informazioni riportate di seguito:

I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).
Le azioni che possono essere eseguite.
Le risorse in cui è possibile eseguire le operazioni.

Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato. Per ulteriori informazioni, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint nella Guida.AWS PrivateLink

Esempio: policy degli endpoint VPC per le azioni di Macie

Di seguito è riportato un esempio di policy personalizzata per gli endpoint per Macie. Se colleghi questa policy all'endpoint dell'interfaccia, concede l'accesso alle azioni Macie elencate per tutti i principali su tutte le risorse. Consente agli utenti che si connettono a Macie tramite il VPC di accedere ai dati dei risultati utilizzando l'API Amazon Macie.


{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

Per consentire inoltre agli utenti di accedere ai dati dei risultati o eseguire altre azioni utilizzando la console Amazon Macie, la policy dovrebbe anche concedere l'accesso all'macie2:GetMacieSessionazione, ad esempio:


{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza dell'infrastruttura

Registrazione delle chiamate API di AWS CloudTrail con