Comment puis-je résoudre l'erreur « putClassificationExportConfiguration » dans Amazon Macie ?

Dernière mise à jour : 02/06/2022

J'ai activé Amazon Macie et j'ai essayé de configurer un référentiel Amazon Simple Storage Service (Amazon S3) pour les résultats de découverte de données sensibles. Toutefois, un message d'erreur de ce type s'affiche :

« putClassificationExportConfiguration : L'opération ne peut pas être effectuée car vous n'êtes pas autorisé à accéder au compartiment S3, à la clé KMS ou aux deux. »

Brève description

Ce message d'erreur signifie qu'il existe des problèmes de configuration des autorisations avec Macie.

Résolution

Vérifiez les autorisations pour le compartiment Amazon S3, la clé AWS Key Management Service (AWS KMS) et la politique AWS Identity and Access Management (IAM).

Autorisations IAM

1.    Ouvrez la console IAM, puis choisissez Utilisateurs.

2.    Choisissez le nom d'utilisateur, puis cliquez sur l'onglet Autorisations.

3.    Vérifiez que l'utilisateur est autorisé à effectuer les actions d'API suivantes :

macie2:PutClassificationExportConfiguration s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets s3:PutBucketAcl s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutObjectkms:ListsAliases

Pour plus d'informations, consultez la section Vérifier vos autorisations.

Autorisations Amazon S3

Assurez-vous que la stratégie de compartiment Amazon S3 dispose d'autorisations similaires aux suivantes :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Deny non-HTTPS access",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    },
    {
      "Sid": "Deny incorrect encryption header. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption-aws-kms-key-id": "<ARN OF KMS KEY>"
        }
      }
    },
    {
      "Sid": "Deny unencrypted object uploads. This is optional",
      "Effect": "Deny",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "Allow Macie to upload objects to the bucket",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::<BUCKET>/*"
    },
    {
      "Sid": "Allow Macie to use the getBucketLocation operation",
      "Effect": "Allow",
      "Principal": {
        "Service": "macie.amazonaws.com"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::<BUCKET>"
    }
  ]
}

Autorisations AWS KMS

Assurez-vous que la stratégie de clé AWS KMS possède des autorisations similaires aux suivantes :

{
  "Sid": "Allow Macie to use the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "macie.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Encrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "111122223333"
    },
    "ArnLike": {
      "aws:SourceArn": [
        "arn:aws:macie2:Region:111122223333:export-configuration:*",
        "arn:aws:macie2:Region:111122223333:classification-job/*"
      ]
    }
  }
}

Pour plus d'informations, consultez la rubrique Résolution des erreur.

Remarque : il est recommandé d'accorder le privilège le plus faible pour fournir uniquement les autorisations requises pour réaliser une tâche. Pour plus d'informations, consultez la section Accorder le privilège le plus faible.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?