使用界面端點存取 Macie (AWS PrivateLink) - Amazon Macie
Macie 介面端點的考量事項建立 Macie 的介面端點為 Macie 建立端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用界面端點存取 Macie (AWS PrivateLink)

您可以使用 在虛擬私有雲端 (VPC) 和 Amazon Macie 之間AWS PrivateLink建立私有連線。您可以像在 VPC 中一樣存取 Macie,無需使用網際網路閘道、NAT 裝置、VPN 連接或Direct Connect連線。VPC 中的執行個體不需要公有 IP 地址即可存取 Macie。

您可以建立由AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可做為目的地為 Macie 之流量的進入點。

如需詳細資訊,請參閱《AWS PrivateLink指南》中的「透過AWS PrivateLink存取AWS 服務」。

Macie 介面端點的考量事項

Amazon Macie 在AWS 區域目前可用的所有 中支援介面端點。如需這些區域的清單,請參閱 中的 Amazon Macie 端點和配額AWS 一般參考。Macie 支援透過介面端點呼叫其所有 API 操作。

如果您為 Macie 建立介面端點,請考慮對與 Macie 和 整合AWS 服務的其他 執行相同的操作AWS PrivateLink,例如 Amazon EventBridge 和AWS Security Hub CSPM。Macie 和這些服務接著可以使用介面端點進行整合。例如,如果您為 Macie 建立介面端點,並為 Security Hub CSPM 建立介面端點,則 Macie 可以在將問題清單發佈至 Security Hub CSPM 時使用其介面端點。Security Hub CSPM 可以在收到問題清單時使用其界面端點。如需支援服務的詳細資訊,請參閱《 AWS PrivateLink指南》中的AWS 服務與 整合AWS PrivateLink的 。

建立 Macie 的介面端點

您可以使用 Amazon VPC 主控台或 () 為 Amazon Macie 建立介面端點AWS CLI。AWS Command Line Interface如需詳細資訊,請參閱《AWS PrivateLink指南》中的建立 VPC 端點

當您為 Macie 建立介面端點時,請使用下列服務名稱:

com.amazonaws.region.macie2

其中 region 是適用 的區域碼AWS 區域。

如果您為介面端點啟用私有 DNS,您可以使用其預設的區域 DNS 名稱向 Macie 提出 API 請求,例如macie2.us-east-1.amazonaws.com,美國東部 (維吉尼亞北部) 區域。

為 Macie 建立端點政策

端點政策是您可以連接到介面端點的AWS Identity and Access Management(IAM) 資源。預設端點政策允許透過介面端點完整存取 Amazon Macie。若要控制允許 Macie 從 VPC 存取的存取權,請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊:

  • 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

這個另行區分的政策會控制從端點到所指定之服務的存取。如需詳細資訊,請參閱《AWS PrivateLink指南》中的使用端點政策控制 VPC 端點的存取

範例:Macie 動作的 VPC 端點政策

以下是 Macie 自訂端點政策的範例。如果您將此政策連接到介面端點,則會授予所有資源上所有主體所列出的 Macie 動作的存取權。它允許使用者透過 VPC 連線至 Macie,以使用 Amazon Macie API 存取調查結果資料。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

若要允許使用者使用 Amazon Macie 主控台存取問題清單資料或執行其他動作,政策也應授予動作的存取權macie2:GetMacieSession,例如:

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}