Amazon Macie의 "putClassificationExportConfiguration" 오류를 해결하려면 어떻게 해야 합니까?

2분 분량

Amazon Macie를 활성화하고 민감한 데이터 검색 결과에 대한 Amazon Simple Storage Service(S3) 리포지토리를 구성하려고 했습니다. 하지만 다음과 유사한 오류가 발생했습니다. "putClassificationExportConfiguration: S3 버킷, KMS 키 또는 둘 다에 액세스할 권한이 없기 때문에 작업을 수행할 수 없습니다."

간략한 설명

이 오류 메시a지는 Macie에 권한 구성 문제가 있음을 나타냅니다.

해결 방법

Amazon S3 버킷, AWS Key Management Service(AWS KMS) 키 및 AWS Identity and Access Management(IAM) 정책에 대한 권한을 확인합니다.

IAM 권한

1. IAM 콘솔을 연 다음 사용자를 선택합니다.

2. 사용자 이름을 선택한 다음 권한 탭을 선택합니다.

3. 사용자가 다음 API 작업을 수행하는 것을 허용하는지 확인합니다.

macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases

자세한 내용은 권한 확인을 참조하세요.

Amazon S3 권한

Amazon S3 버킷 정책에 다음과 유사한 권한이 있는지 확인합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Deny non-HTTPS access",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    },
    {
      "Sid": "Deny incorrect encryption header. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>"
        }
      }
    },
    {
      "Sid": "Deny unencrypted object uploads. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "Allow Macie to upload objects to the bucket",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*"
    },
    {
      "Sid": "Allow Macie to use the getBucketLocation operation",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::<BUCKET>"
    }
  ]
}

AWS KMS 권한

AWS KMS 키 정책에 다음과 유사한 권한이 있는지 확인합니다.

{
  "Sid": "Allow Macie to use the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "macie.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Encrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "111122223333"
    },
    "ArnLike": {
      "aws:SourceArn": [
        "arn:aws:macie2:Region:111122223333:export-configuration:*",
        "arn:aws:macie2:Region:111122223333:classification-job/*"
      ]
    }
  }
}

자세한 내용은 오류 문제 해결을 참조하세요.

참고: 이는 태스크 수행에 필요한 최소한의 권한만 부여하는 모범 사례입니다. 자세한 내용은 최소 권한 부여를 참조하세요.