AWSのコンソールでMacieの設定を行なって、「30日以内に、検出結果保存用のBucketを設定して下さい」と促され、ウィザードに沿って作業を行なったものの、最後の最後で
putClassificationExportConfiguration: The operation can't be performed because you're not authorized to access the S3 bucket, the KMS key, or both.
のエラーになり、困惑したものの無事解決しました
公式にも下のように案内があるのですが、
Amazon Macie の「putClassificationExportConfiguration」エラーを解決するにはどうすればよいですか?
指定したKMSキーのポリシーの任意の箇所に下を追加すればエラーにならず、設定出来ました
policy.json
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "[AWSアカウントID]"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:[リージョン]:[AWSアカウントID]:export-configuration:*",
"arn:aws:macie2:[リージョン]:[AWSアカウントID]:classification-job/*"
]
}
}
}