通过接口端点访问 Macie (AWS PrivateLink) - Amazon Macie
Macie 接口端点的注意事项为 Macie 创建接口端点为 Macie 创建终端节点策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过接口端点访问 Macie (AWS PrivateLink)

您可以使用 AWS PrivateLink 在您的虚拟私有云 (VPC) 和 Amazon Macie 之间创建私有连接。您可以像在 VPC 中一样访问 Macie,无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可访问 Macie。

您可以通过创建由 AWS PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,用作发往 Macie 的流量的入口点。

有关更多信息,请参阅《AWS PrivateLink 指南》中的通过 AWS PrivateLink访问 AWS 服务

Macie 接口端点的注意事项

Amazon Macie 在目前可用的所有 AWS 区域 地方都支持接口终端节点。有关这些区域的列表,请参阅中的 Amazon Macie 终端节点和配额AWS 一般参考Macie 支持通过接口端点调用其所有 API 操作。

如果您为 Macie 创建接口终端节点,请考虑对其他 AWS 服务 与 Macie 和与之集成的终端节点执行同样的操作 AWS PrivateLink,例如 Ama EventBridge zon 和。 AWS Security Hub CSPM然后,Macie 和这些服务可以使用接口端点进行集成。例如,如果您为 Macie 创建接口终端节点,为 Security Hub 创建接口终端节点,则 Macie 可以在将发现结果发布到 Security Hub 时使用其接口端点。Security Hub 在收到调查结果时可以使用其接口端点。有关支持的服务的信息,请参阅AWS 服务 AWS PrivateLink 指南 AWS PrivateLink与之集成的服务。

为 Macie 创建接口端点

您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface ()AWS CLI为 Amazon Macie 创建接口终端节点。有关更多信息,请参阅 AWS PrivateLink 指南中的创建 VPC 端点

为 Macie 创建接口端点时,请使用以下服务名称:

com.amazonaws.region.macie2

region用的地区代码在哪里 AWS 区域。

如果您为接口终端节点启用私有 DNS,则可以使用其默认区域 DNS 名称向 Macie 发出 API 请求,macie2.us-east-1.amazonaws.com例如美国东部(弗吉尼亚北部)区域。

为 Macie 创建终端节点策略

端节点策略是您可以附加到接口终端节点的 AWS Identity and Access Management (IAM) 资源。默认终端节点策略允许通过接口终端节点对 Amazon Macie 进行完全访问。要控制允许从 VPC 访问 Macie 的权限,请将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息:

  • 可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

这是一个单独的策略,用于控制从端点中对指定服务进行的访问。有关更多信息,请参阅 AWS PrivateLink 指南中的使用端点策略控制对 VPC 端点的访问权限

示例:适用于 Macie 操作的 VPC 终端节点策略

以下是 Macie 的自定义终端节点策略示例。如果您将此策略附加到您的接口终端节点,则它会向所有资源的所有委托人授予访问列出的 Macie 操作的权限。它允许通过 VPC 连接到 Macie 的用户使用亚马逊 Macie API 访问调查结果数据。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

为了还允许用户使用 Amazon Macie 控制台访问调查结果数据或执行其他操作,该策略还应授予访问该macie2:GetMacieSession操作的权限,例如:

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}