使用界面端點存取 Macie (AWS PrivateLink) - Amazon Macie
Macie 介面端點的考量事項建立 Macie 的介面端點為 Macie 建立端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用界面端點存取 Macie (AWS PrivateLink)

您可以使用 在虛擬私有雲端 (VPC) 和 Amazon Macie 之間 AWS PrivateLink 建立私有連線。您可以像在 VPC 中一樣存取 Macie,無需使用網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 Macie。

您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可做為目的地為 Macie 之流量的進入點。

如需詳細資訊,請參閱「AWS PrivateLink 指南」中的透過 AWS PrivateLink存取 AWS 服務

Macie 介面端點的考量事項

Amazon Macie 在 AWS 區域 目前可用的所有 中支援介面端點。如需這些區域的清單,請參閱《》中的 Amazon Macie 端點和配額AWS 一般參考。Macie 支援透過介面端點呼叫其所有 API 操作。

如果您為 Macie 建立介面端點,請考慮對與 Macie 和 整合 AWS 服務 的其他 執行相同的操作 AWS PrivateLink,例如 Amazon EventBridge 和 AWS Security Hub。Macie 和這些服務接著可以使用介面端點進行整合。例如,如果您為 Macie 建立界面端點,並為 Security Hub 建立界面端點,則 Macie 可以在將問題清單發佈至 Security Hub 時使用其界面端點。Security Hub 在收到問題清單時可以使用其界面端點。如需支援服務的詳細資訊,請參閱《 AWS PrivateLink 指南》中的AWS 服務 與 整合 AWS PrivateLink的 。

建立 Macie 的介面端點

您可以使用 Amazon VPC 主控台或 () 來建立 Amazon Macie 的介面端點AWS CLI。 AWS Command Line Interface 如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立 VPC 端點

當您為 Macie 建立介面端點時,請使用下列服務名稱:

com.amazonaws.region.macie2

其中 region 是適用 的區域碼 AWS 區域。

如果您為介面端點啟用私有 DNS,您可以使用其預設的區域 DNS 名稱向 Macie 提出 API 請求,例如macie2.us-east-1.amazonaws.com,美國東部 (維吉尼亞北部) 區域。

為 Macie 建立端點政策

端點政策是您可以連接到介面端點的 AWS Identity and Access Management (IAM) 資源。預設端點政策允許透過介面端點完整存取 Amazon Macie。若要控制允許 Macie 從 VPC 存取的存取權,請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊:

  • 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

這個另行區分的政策會控制從端點到所指定之服務的存取。如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的使用端點政策控制對 VPC 端點的存取

範例:Macie 動作的 VPC 端點政策

以下是 Macie 自訂端點政策的範例。如果您將此政策連接到介面端點,則會授予所有資源上所有委託人的所列 Macie 動作的存取權。它允許使用者透過 VPC 連線至 Macie,以使用 Amazon Macie API 存取調查結果資料。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}

若要允許使用者使用 Amazon Macie 主控台存取問題清單資料或執行其他動作,政策也應授予動作的存取權macie2:GetMacieSession,例如:

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "macie2:GetMacieSession",
            "macie2:GetFindings",
            "macie2:GetFindingStatistics",
            "macie2:ListFindings"
         ],
         "Resource": "*"
      }
   ]
}