인터페이스 엔드포인트(AWS PrivateLink)를 통해 Macie 액세스 - Amazon Macie
Macie 인터페이스 엔드포인트에 대한 고려 사항Macie용 인터페이스 엔드포인트 생성Macie에 대한 엔드포인트 정책 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인터페이스 엔드포인트(AWS PrivateLink)를 통해 Macie 액세스

AWS PrivateLink 를 사용하여 Virtual Private Cloud(VPC)와 Amazon Macie 간에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 Macie에 액세스할 수 있습니다. VPC의 인스턴스는 Macie에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.

AWS PrivateLink에서 제공되는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. Macie로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

자세한 내용은AWS PrivateLink 가이드의 AWS PrivateLink를 통해 AWS 서비스 에 액세스를 참조하세요.

Macie 인터페이스 엔드포인트에 대한 고려 사항

Amazon Macie는 현재 사용 가능한 모든에서 인터페이스 엔드포인트 AWS 리전 를 지원합니다. 이러한 리전 목록은의 Amazon Macie 엔드포인트 및 할당량을 참조하세요AWS 일반 참조. Macie는 인터페이스 엔드포인트를 통해 모든 API 작업을 호출할 수 있도록 지원합니다.

Macie용 인터페이스 엔드포인트를 생성하는 경우 Amazon EventBridge 및와 AWS PrivateLink같이 Macie 및와 통합 AWS 서비스 되는 다른 에도 동일한 작업을 수행하는 것이 좋습니다 AWS Security Hub. 그런 다음 Macie와 해당 서비스는 통합에 인터페이스 엔드포인트를 사용할 수 있습니다. 예를 들어 Macie용 인터페이스 엔드포인트와 Security Hub용 인터페이스 엔드포인트를 생성하는 경우 Macie는 조사 결과를 Security Hub에 게시할 때 인터페이스 엔드포인트를 사용할 수 있습니다. Security Hub는 조사 결과를 수신할 때 인터페이스 엔드포인트를 사용할 수 있습니다. 지원되는 서비스에 대한 자세한 내용은 AWS PrivateLink 가이드AWS 서비스 와 통합되는 AWS PrivateLink 섹션을 참조하세요.

Macie용 인터페이스 엔드포인트 생성

Amazon VPC 콘솔 또는 ()를 사용하여 Amazon Macie용 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. AWS Command Line Interface 자세한 정보는 AWS PrivateLink 가이드VPC 엔드포인트 생성을 참조하세요.

Macie용 인터페이스 엔드포인트를 생성할 때 다음 서비스 이름을 사용합니다.

com.amazonaws.region.macie2

여기서 region은 해당 AWS 리전의 리전 코드입니다.

인터페이스 엔드포인트에 프라이빗 DNS를 활성화하면 예를 들어 미국 동부(버지니아 북부) 리전의 기본 리전 DNS 이름을 사용하여 Maciemacie2.us-east-1.amazonaws.com에 API 요청을 할 수 있습니다.

Macie에 대한 엔드포인트 정책 생성

엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 AWS Identity and Access Management (IAM) 리소스입니다. 기본 엔드포인트 정책은 인터페이스 엔드포인트를 통해 Amazon Macie에 대한 전체 액세스를 허용합니다. VPC에서 Macie에 허용되는 액세스를 제어하려면 인터페이스 엔드포인트에 사용자 지정 엔드포인트 정책을 연결합니다.

엔드포인트 정책은 다음 정보를 지정합니다.

  • 작업을 수행할 수 있는 보안 주체 (AWS 계정, IAM 사용자, IAM 역할)

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다. 자세한 정보는 AWS PrivateLink 가이드엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.

예: Macie 작업에 대한 VPC 엔드포인트 정책

다음은 Macie에 대한 사용자 지정 엔드포인트 정책의 예입니다. 이 정책을 인터페이스 엔드포인트에 연결하면 모든 리소스의 모든 보안 주체에 대해 나열된 Macie 작업에 대한 액세스 권한이 부여됩니다. 이를 통해 VPC를 통해 Macie에 연결하는 사용자는 Amazon Macie API를 사용하여 조사 결과 데이터에 액세스할 수 있습니다.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

또한 사용자가 Amazon Macie 콘솔을 사용하여 조사 결과 데이터에 액세스하거나 다른 작업을 수행할 수 있도록 허용하려면 정책에서 macie2:GetMacieSession 작업에 대한 액세스 권한도 부여해야 합니다. 예를 들면 다음과 같습니다.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}