通过接口端点访问 Macie (AWS PrivateLink) - Amazon Macie
Macie 接口端点的注意事项为 Macie 创建接口端点为 Macie 创建终端节点策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过接口端点访问 Macie (AWS PrivateLink)

您可以使用 AWS PrivateLink 在您的虚拟私有云 (VPC) 和 Amazon Macie 之间创建私有连接。您可以像在 VPC 中一样访问 Macie,无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可访问 Macie。

您可以通过创建由 AWS PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,用作发往 Macie 的流量的入口点。

有关更多信息,请参阅《AWS PrivateLink 指南》中的通过 AWS PrivateLink访问 AWS 服务

Macie 接口端点的注意事项

Amazon Macie 在目前可用的所有 AWS 区域 地方都支持接口终端节点。有关这些区域的列表,请参阅中的 Amazon Macie 终端节点和配额AWS 一般参考Macie 支持通过接口端点调用其所有 API 操作。

如果您为 Macie 创建接口终端节点,请考虑对其他 AWS 服务 与 Macie 和与之集成的终端节点执行同样的操作 AWS PrivateLink,例如 Ama EventBridge zon 和。 AWS Security Hub然后,Macie 和这些服务可以使用接口端点进行集成。例如,如果您为 Macie 创建接口终端节点,为 Security Hub 创建接口终端节点,则 Macie 可以在将发现结果发布到 Security Hub 时使用其接口端点。Security Hub 在收到调查结果时可以使用其接口端点。有关支持的服务的信息,请参阅AWS 服务 AWS PrivateLink 指南 AWS PrivateLink与之集成的服务。

为 Macie 创建接口端点

您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface ()AWS CLI为 Amazon Macie 创建接口终端节点。有关更多信息,请参阅 AWS PrivateLink 指南中的创建 VPC 端点

为 Macie 创建接口端点时,请使用以下服务名称:

com.amazonaws.region.macie2

region用的地区代码在哪里 AWS 区域。

如果您为接口终端节点启用私有 DNS,则可以使用其默认区域 DNS 名称向 Macie 发出 API 请求,macie2.us-east-1.amazonaws.com例如美国东部(弗吉尼亚北部)区域。

为 Macie 创建终端节点策略

端节点策略是您可以附加到接口终端节点的 AWS Identity and Access Management (IAM) 资源。默认终端节点策略允许通过接口终端节点对 Amazon Macie 进行完全访问。要控制允许从 VPC 访问 Macie 的权限,请将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息:

  • 可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

这是一个单独的策略,用于控制从端点中对指定服务进行的访问。有关更多信息,请参阅 AWS PrivateLink 指南中的使用端点策略控制对 VPC 端点的访问权限

示例:适用于 Macie 操作的 VPC 终端节点策略

以下是 Macie 的自定义终端节点策略示例。如果您将此策略附加到您的接口终端节点,则它会向所有资源的所有委托人授予访问列出的 Macie 操作的权限。它允许通过 VPC 连接到 Macie 的用户使用亚马逊 Macie API 访问调查结果数据。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

为了还允许用户使用 Amazon Macie 控制台访问调查结果数据或执行其他操作,该策略还应授予访问该macie2:GetMacieSession操作的权限,例如:

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}