Come posso risolvere l'errore "putClassificationExportConfiguration" in Amazon Macie?
Ho abilitato Amazon Macie e ho provato a configurare un repository Amazon Simple Storage Service (Amazon S3) per risultati di rilevamento di dati sensibili. Ho ricevuto un errore simile al seguente: "putClassificationExportConfiguration: The operation can't be performed because you're not authorized to access the S3 bucket, the KMS key, or both." ("putClassificationExportConfiguration: l'operazione non può essere eseguita perché non hai l'autorizzazione ad accedere al bucket S3, alla chiave KMS o a entrambi.")
Breve descrizione
Questo messaggio di errore indica che esistono problemi di configurazione nelle autorizzazioni di Macie.
Risoluzione
Controlla le autorizzazioni per il bucket Amazon S3, la chiave del Servizio di gestione delle chiavi AWS (AWS KMS) e la policy AWS Identity and Access Management (IAM).
Autorizzazioni IAM
1. Apri la console IAM, quindi scegli Users (Utenti).
2. Scegli lo User name (Nome utente), quindi scegli la scheda Permissions (Autorizzazioni).
3. Verifica che l'utente sia autorizzato a eseguire le seguenti operazioni API:
macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases
Per ulteriori informazioni, consulta la sezione Verificare le autorizzazioni.
Autorizzazioni Amazon S3
Assicurati che la policy del bucket di Amazon S3 disponga di autorizzazioni simili alle seguenti:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } }, { "Sid": "Deny incorrect encryption header. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>" } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Allow Macie to upload objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*" }, { "Sid": "Allow Macie to use the getBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::<BUCKET>" } ] }
Autorizzazioni AWS KMS
Assicurati che la policy della chiave AWS KMS disponga di autorizzazioni simili alle seguenti:
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }
Per ulteriori informazioni, consulta la sezione Risoluzione dei problemi relativi agli errori.
Nota: è consigliabile concedere il privilegio minimo solo per le autorizzazioni necessarie per eseguire un'attività. Per ulteriori informazioni, consulta la sezione Concessione del privilegio minimo.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 3 mesi fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata un anno fa