Considerações sobre os endpoints da interface Macie Criando um endpoint de interface para o Macie Criando uma política de endpoint para Macie

Acessar o Macie com um endpoint de interface (AWS PrivateLink)

Você pode usar AWS PrivateLink para criar uma conexão privada entre sua nuvem privada virtual (VPC) e o Amazon Macie. Você pode acessar o Macie como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para acessar o Macie.

Estabeleça essa conectividade privada criando um endpoint de interface, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Macie.

Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink .

Tópicos

Considerações sobre os endpoints da interface Macie
Criando um endpoint de interface para o Macie
Criando uma política de endpoint para Macie

Considerações sobre os endpoints da interface Macie

O Amazon Macie oferece suporte a endpoints de interface em todos os Regiões da AWS lugares em que está disponível atualmente. Para obter uma lista dessas regiões, consulte os endpoints e cotas do Amazon Macie no. Referência geral da AWS O Macie oferece suporte para fazer chamadas para todas as suas operações de API por meio de endpoints de interface.

Se você criar um endpoint de interface para o Macie, considere fazer o mesmo com outros Serviços da AWS que se integram com o Macie e com AWS PrivateLink, como Amazon e. EventBridge AWS Security Hub O Macie e esses serviços podem então usar os endpoints da interface para a integração. Por exemplo, se você criar um endpoint de interface para o Macie e um endpoint de interface para o Security Hub, o Macie poderá usar seu endpoint de interface ao publicar descobertas no Security Hub. O Security Hub pode usar seu endpoint de interface ao receber as descobertas. Para obter informações sobre os serviços compatíveis, consulte Serviços da AWS essa integração com AWS PrivateLink o AWS PrivateLink Guia.

Criando um endpoint de interface para o Macie

Você pode criar um endpoint de interface para o Amazon Macie usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte Create a VPC endpoint (Criar um endpoint da VPC) no Guia do AWS PrivateLink .

Ao criar um endpoint de interface para o Macie, use o seguinte nome de serviço:

com.amazonaws.region.macie2

Onde region está o código da região aplicável Região da AWS.

Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API ao Macie usando seu nome DNS regional padrão, por exemplo, macie2.us-east-1.amazonaws.com para a região Leste dos EUA (Norte da Virgínia).

Criando uma política de endpoint para Macie

Uma política de endpoint é um recurso AWS Identity and Access Management (IAM) que você pode anexar a um endpoint de interface. A política de endpoint padrão permite acesso total ao Amazon Macie por meio do endpoint da interface. Para controlar o acesso permitido ao Macie a partir de sua VPC, anexe uma política de endpoint personalizada ao endpoint da interface.

Uma política de endpoint especifica as seguintes informações:

As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).
As ações que podem ser realizadas.
Os recursos nos quais as ações podem ser executadas.

É uma política separada para controlar o acesso do endpoint ao serviço especificado. Para obter mais informações, consulte Controlar o acesso aos endpoints da VPC usando políticas de endpoint no Guia AWS PrivateLink .

Exemplo: política de VPC endpoint para ações do Macie

Veja a seguir um exemplo de uma política de endpoint personalizada para o Macie. Se você anexar essa política ao seu endpoint de interface, ela concederá acesso às ações listadas do Macie para todos os diretores em todos os recursos. Ele permite que os usuários se conectem ao Macie por meio da VPC acessem os dados das descobertas usando a API do Amazon Macie.


{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

Para também permitir que os usuários acessem dados de descobertas ou realizem outras ações usando o console do Amazon Macie, a política também deve conceder acesso à macie2:GetMacieSession ação, por exemplo:


{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Segurança da infraestrutura

Registro de chamadas de API do AWS CloudTrail com