Como resolvo o erro "putClassificationExportConfiguration" no Amazon Macie?
Habilitei o Amazon Macie e tentei configurar um repositório do Amazon Simple Storage Service (Amazon S3) para resultados de descoberta de dados confidenciais. Porém, recebi um erro semelhante ao seguinte: "putClassificationExportConfiguration: a operação não pode ser executada porque você não está autorizado a acessar o bucket do S3, a chave do KMS ou ambos."
Descrição breve
Essa mensagem de erro significa que há problemas de configuração de permissão com o Macie.
Resolução
Verifique as permissões para o bucket do Amazon S3, a chave do AWS Key Management Service (AWS KMS) e a política do AWS Identity and Access Management (IAM).
Permissões do IAM
1. Abra o console do IAM e escolha Usuários.
2. Escolha o nome do usuário e, em seguida, escolha a guia Permissões.
3. Verifique se o usuário tem permissão para executar as seguintes ações de API:
macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObject kms:ListAliases
Para obter mais informações, consulte Verificar suas permissões.
Permissões do Amazon S3
Certifique-se de que a política de bucket do Amazon S3 tenha permissões semelhantes às seguintes:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } }, { "Sid": "Deny incorrect encryption header. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>" } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Allow Macie to upload objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::<BUCKET>/*" }, { "Sid": "Allow Macie to use the getBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::<BUCKET>" } ] }
Permissões do AWS KMS
Certifique-se de que a política de chaves do AWS KMS tenha permissões semelhantes às seguintes:
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }
Para obter mais informações, consulte Solução de problemas de erros.
Observação: é uma prática recomendada conceder o privilégio mínimo somente para as permissões necessárias para executar uma tarefa. Para obter mais informações, consulte Conceder o privilégio mínimo.
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há 9 meses
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos