Como resolvo o erro "putClassificationExportConfiguration" no Amazon Macie?

3 minuto de leitura
0

Habilitei o Amazon Macie e tentei configurar um repositório do Amazon Simple Storage Service (Amazon S3) para resultados de descoberta de dados confidenciais. Porém, recebi um erro semelhante ao seguinte: "putClassificationExportConfiguration: a operação não pode ser executada porque você não está autorizado a acessar o bucket do S3, a chave do KMS ou ambos."

Descrição breve

Essa mensagem de erro significa que há problemas de configuração de permissão com o Macie.

Resolução

Verifique as permissões para o bucket do Amazon S3, a chave do AWS Key Management Service (AWS KMS) e a política do AWS Identity and Access Management (IAM).

Permissões do IAM

1.    Abra o console do IAM e escolha Usuários.

2.    Escolha o nome do usuário e, em seguida, escolha a guia Permissões.

3.    Verifique se o usuário tem permissão para executar as seguintes ações de API:

macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases

Para obter mais informações, consulte Verificar suas permissões.

Permissões do Amazon S3

Certifique-se de que a política de bucket do Amazon S3 tenha permissões semelhantes às seguintes:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Deny non-HTTPS access",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    },
    {
      "Sid": "Deny incorrect encryption header. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>"
        }
      }
    },
    {
      "Sid": "Deny unencrypted object uploads. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "Allow Macie to upload objects to the bucket",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*"
    },
    {
      "Sid": "Allow Macie to use the getBucketLocation operation",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::<BUCKET>"
    }
  ]
}

Permissões do AWS KMS

Certifique-se de que a política de chaves do AWS KMS tenha permissões semelhantes às seguintes:

{
  "Sid": "Allow Macie to use the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "macie.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Encrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "111122223333"
    },
    "ArnLike": {
      "aws:SourceArn": [
        "arn:aws:macie2:Region:111122223333:export-configuration:*",
        "arn:aws:macie2:Region:111122223333:classification-job/*"
      ]
    }
  }
}

Para obter mais informações, consulte Solução de problemas de erros.

Observação: é uma prática recomendada conceder o privilégio mínimo somente para as permissões necessárias para executar uma tarefa. Para obter mais informações, consulte Conceder o privilégio mínimo.


Informações relacionadas

Conceitos básicos do Amazon Macie

AWS OFICIAL
AWS OFICIALAtualizada há 2 anos