Wie behebe ich den Fehler „putClassificationExportConfiguration“ in Amazon Macie?

Lesedauer: 3 Minute
0

Ich habe Amazon Macie aktiviert und versucht, ein Amazon Simple Storage Service (Amazon S3)-Repository für Ergebnisse der Erkennung sensibler Daten zu konfigurieren. Es wurde jedoch ein Fehler ähnlich dem folgenden gemeldet: „putClassificationExportConfiguration: Der Vorgang kann nicht ausgeführt werden, da Sie nicht berechtigt sind, auf den S3-Bucket, den KMS-Schlüssel oder beides zuzugreifen.“

Kurzbeschreibung

Diese Fehlermeldung bedeutet, dass es Probleme mit der Berechtigungskonfiguration bei Macie gibt.

Lösung

Überprüfen Sie die Berechtigungen für den Amazon S3-Bucket, den AWS Key Management Service (AWS KMS)-Schlüssel und die AWS Identity and Access Management (IAM)-Richtlinie.

IAM-Berechtigungen

1.    Öffnen Sie die IAM-Konsole und wählen Sie dann Benutzer aus.

2.    Wählen Sie den Benutzernamen und dann die Registerkarte Berechtigungen.

3.    Stellen Sie sicher, dass der Benutzer die folgenden API-Aktionen ausführen darf:

MACIE2: PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases

Weitere Informationen finden Sie unter Überprüfen Sie Ihre Berechtigungen.

Amazon-S3-Berechtigungen

Stellen Sie sicher, dass die Amazon-S3-Bucket-Richtlinie über Berechtigungen verfügt, die den folgenden ähneln:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Deny non-HTTPS access",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    },
    {
      "Sid": "Deny incorrect encryption header. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>"
        }
      }
    },
    {
      "Sid": "Deny unencrypted object uploads. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "Allow Macie to upload objects to the bucket",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*"
    },
    {
      "Sid": "Allow Macie to use the getBucketLocation operation",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::<BUCKET>"
    }
  ]
}

AWS-KMS-Berechtigungen

Stellen Sie sicher, dass die AWS-KMS-Schlüsselrichtlinie über Berechtigungen verfügt, die den folgenden ähneln:

{
  "Sid": "Allow Macie to use the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "macie.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Encrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "111122223333"
    },
    "ArnLike": {
      "aws:SourceArn": [
        "arn:aws:macie2:Region:111122223333:export-configuration:*",
        "arn:aws:macie2:Region:111122223333:classification-job/*"
      ]
    }
  }
}

Weitere Informationen finden Sie unter Problembehandlung bei Fehlern.

Hinweis: Es empfiehlt sich, die geringste Berechtigung nur für die zur Ausführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Weitere Informationen finden Sie unter Geringste Berechtigung gewähren.


Zugehörige Informationen

Erste Schritte mit Amazon Macie

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren