本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过接口端点访问 Macie (AWS PrivateLink)
<a name="vpc-interface-endpoints-macie"></a>

您可以使用 AWS PrivateLink 在您的虚拟私有云 (VPC) 和 Amazon Macie 之间创建私有连接。您可以像在 VPC 中一样访问 Macie，无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可访问 Macie。

您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口，用作发往 Macie 的流量的入口点。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[通过 AWS PrivateLink访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。

**Topics**
+ [Macie 接口端点的注意事项](#vpc-endpoint-considerations)
+ [为 Macie 创建接口端点](#vpc-endpoint-create)
+ [为 Macie 创建终端节点策略](#vpc-endpoint-policy)

## Macie 接口端点的注意事项
<a name="vpc-endpoint-considerations"></a>

Amazon Macie 在目前可用的所有 AWS 区域 地方都支持接口终端节点。有关这些区域的列表，请参阅中的 [Amazon Macie 终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。*AWS 一般参考*Macie 支持通过接口端点调用其所有 API 操作。

如果您为 Macie 创建接口终端节点，请考虑对其他 AWS 服务 与 Macie 和与之集成的终端节点执行同样的操作 AWS PrivateLink，例如 Ama EventBridge zon 和。 AWS Security Hub CSPM然后，Macie 和这些服务可以使用接口端点进行集成。例如，如果您为 Macie 创建接口终端节点，为 Security Hub CSPM 创建接口终端节点，则 Macie 可以在向 Security Hub CSPM 发布发现结果时使用其接口端点。Security Hub CSPM 在收到调查结果时可以使用其接口端点。有关支持的服务的信息，请参阅AWS 服务 *AWS PrivateLink 指南 AWS PrivateLink*中[与之集成的](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)服务。



## 为 Macie 创建接口端点
<a name="vpc-endpoint-create"></a>

您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface ()AWS CLI为 Amazon Macie 创建接口终端节点。有关更多信息，请参阅 *AWS PrivateLink 指南*中的[创建 VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

为 Macie 创建接口端点时，请使用以下服务名称：

`com.amazonaws.region.macie2 `

适*region*用的地区代码在哪里 AWS 区域。

如果您为接口终端节点启用私有 DNS，则可以使用其默认区域 DNS 名称向 Macie 发出 API 请求，`macie2.us-east-1.amazonaws.com`例如美国东部（弗吉尼亚北部）区域。

## 为 Macie 创建终端节点策略
<a name="vpc-endpoint-policy"></a>

终*端节点策略*是您可以附加到接口终端节点的 AWS Identity and Access Management (IAM) 资源。默认终端节点策略允许通过接口终端节点对 Amazon Macie 进行完全访问。要控制允许从 VPC 访问 Macie 的权限，请将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息：
+ 可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

这是一个单独的策略，用于控制从端点中对指定服务进行的访问。有关更多信息，请参阅 *AWS PrivateLink 指南*中的[使用端点策略控制对 VPC 端点的访问权限](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

**示例：适用于 Macie 操作的 VPC 终端节点策略**  
以下是 Macie 的自定义终端节点策略示例。如果您将此策略附加到您的接口终端节点，则它会向所有资源的所有委托人授予访问列出的 Macie 操作的权限。它允许通过 VPC 连接到 Macie 的用户使用亚马逊 Macie API 访问调查结果数据。

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}
```

为了还允许用户使用 Amazon Macie 控制台访问调查结果数据或执行其他操作，该策略还应授予访问该`macie2:GetMacieSession`操作的权限，例如：

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}
```