Speichern und Aufbewahren von Erkennungsergebnissen sensibler Daten mit Amazon Macie - Amazon Macie
ÜbersichtSchritt 1: Überprüfen Sie Ihre BerechtigungenSchritt 2: Konfigurieren Sie ein AWS KMS keySchritt 3: Wählen Sie einen S3-Bucket

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Speichern und Aufbewahren von Erkennungsergebnissen sensibler Daten mit Amazon Macie

Wenn Sie einen Discovery-Job für sensible Daten ausführen oder Amazon Macie eine automatisierte Erkennung sensibler Daten durchführt, erstellt Macie einen Analysedatensatz für jedes Amazon Simple Storage Service (Amazon S3) -Objekt, das im Umfang der Analyse enthalten ist. Diese Datensätze, die als Erkennungsergebnisse sensibler Daten bezeichnet werden, protokollieren Details zu der Analyse, die Macie an einzelnen S3-Objekten durchführt. Dazu gehören Objekte, in denen Macie keine sensiblen Daten erkennt und die daher keine Ergebnisse liefern, sowie Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann. Wenn Macie sensible Daten in einem Objekt entdeckt, enthält der Datensatz Daten aus dem entsprechenden Ergebnis sowie zusätzliche Informationen. Die Ergebnisse der Entdeckung sensibler Daten liefern Ihnen Analyseaufzeichnungen, die für Prüfungen oder Untersuchungen zum Datenschutz hilfreich sein können.

Macie speichert Ihre Ergebnisse der Entdeckung sensibler Daten nur 90 Tage lang. Um auf Ihre Ergebnisse zuzugreifen und sie langfristig zu speichern und aufzubewahren, konfigurieren Sie Macie so, dass die Ergebnisse mit einem AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt und in einem S3-Bucket gespeichert werden. Der Bucket kann als definitives, langfristiges Repository für all Ihre Erkennungsergebnisse sensibler Daten dienen. Anschließend können Sie optional auf die Ergebnisse in diesem Repository zugreifen und diese abfragen.

In diesem Thema erfahren Sie, wie Sie mithilfe von ein Repository für Ihre Discovery-Ergebnisse für sensible Daten konfigurieren. AWS Management Console Die Konfiguration ist eine Kombination aus einem, der AWS KMS key die Ergebnisse verschlüsselt, einem S3-Bucket für allgemeine Zwecke, in dem die Ergebnisse gespeichert werden, und Macie-Einstellungen, die angeben, welcher Schlüssel und welcher Bucket verwendet werden sollen. Wenn Sie es vorziehen, die Macie-Einstellungen programmgesteuert zu konfigurieren, können Sie den PutClassificationExportConfigurationBetrieb des Amazon Macie verwenden. API

Wenn Sie die Einstellungen in Macie konfigurieren, gelten Ihre Auswahlmöglichkeiten nur für den aktuellen. AWS-Region Wenn Sie der Macie-Administrator einer Organisation sind, gelten Ihre Auswahlmöglichkeiten nur für Ihr Konto. Sie gelten nicht für verknüpfte Mitgliedskonten. Wenn Sie die automatische Erkennung vertraulicher Daten aktivieren oder Aufgaben zur Erkennung vertraulicher Daten ausführen, um Daten für Mitgliedskonten zu analysieren, speichert Macie die Ergebnisse der Erkennung sensibler Daten im Repository für Ihr Administratorkonto.

Wenn Sie Macie in mehreren Fällen verwenden AWS-Regionen, konfigurieren Sie die Repository-Einstellungen für jede Region, in der Sie Macie verwenden. Sie können optional die Ergebnisse der Erkennung sensibler Daten für mehrere Regionen im selben S3-Bucket speichern. Beachten Sie jedoch die folgenden Anforderungen:

  • Um die Ergebnisse für eine Region zu speichern, die standardmäßig AWS aktiviert ist AWS-Konten, z. B. für die Region USA Ost (Nord-Virginia), müssen Sie einen Bucket in einer Region auswählen, die standardmäßig aktiviert ist. Die Ergebnisse können nicht in einem Bucket in einer Opt-in-Region gespeichert werden (Region, die standardmäßig deaktiviert ist).

  • Um die Ergebnisse für eine Opt-in-Region zu speichern, z. B. die Region Naher Osten (Bahrain), müssen Sie einen Bucket in derselben Region oder eine Region auswählen, die standardmäßig aktiviert ist. Die Ergebnisse können nicht in einem Bucket in einer anderen Opt-in-Region gespeichert werden.

Informationen darüber, ob eine Region standardmäßig aktiviert ist, finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Regionen und Endpunkte. Überlegen Sie sich zusätzlich zu den oben genannten Anforderungen auch, ob Sie Stichproben sensibler Daten abrufen möchten, die Macie als Einzelbefunde ausgibt. Um Stichproben vertraulicher Daten von einem betroffenen S3-Objekt abzurufen, müssen alle folgenden Ressourcen und Daten in derselben Region gespeichert sein: das betroffene Objekt, der entsprechende Befund und das entsprechende Ergebnis der Erkennung sensibler Daten.

Übersicht

Amazon Macie erstellt automatisch ein Erkennungsergebnis für sensible Daten für jedes Amazon S3 S3-Objekt, das analysiert wird oder zu analysieren versucht, wenn Sie einen Discovery-Job für sensible Daten ausführen oder wenn es eine automatische Erkennung sensibler Daten durchführt. Dies umfasst:

  • Objekte, in denen Macie sensible Daten erkennt und die daher auch zu Ergebnissen sensibler Daten führen.

  • Objekte, in denen Macie keine sensiblen Daten erkennt und daher keine Ergebnisse zu sensiblen Daten liefert.

  • Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann, z. B. aufgrund von Berechtigungseinstellungen oder der Verwendung eines nicht unterstützten Datei- oder Speicherformats.

Wenn Macie sensible Daten in einem S3-Objekt entdeckt, umfasst das Ergebnis der Erkennung sensibler Daten auch Daten aus der entsprechenden Entdeckung vertraulicher Daten. Es bietet auch zusätzliche Informationen, z. B. den Standort von bis zu 1.000 Vorkommen jedes Typs vertraulicher Daten, die Macie in dem Objekt gefunden hat. Beispielsweise:

  • Die Spalten- und Zeilennummer für eine Zelle oder ein Feld in einer Microsoft Excel-Arbeitsmappe, CSV -Datei oder TSV -Datei

  • Der Pfad zu einem Feld oder einer Matrix in einer JSON JSON Lines-Datei

  • Die Zeilennummer für eine Zeile in einer nicht-binären Textdatei, bei der es sich nicht um eineCSV,JSON, JSON Lines- oder TSV Datei handelt, z. B. eineHTML,, oder -Datei TXT XML

  • Die Seitennummer für eine Seite in einer Datei im Adobe Portable Document Format () PDF

  • Der Datensatzindex und der Pfad zu einem Feld in einem Datensatz in einem Apache Avro-Objektcontainer oder einer Apache Parquet-Datei

Handelt es sich bei dem betroffenen S3-Objekt um eine Archivdatei, z. B. eine .tar- oder .zip-Datei, liefert das Ergebnis der Erkennung sensibler Daten auch detaillierte Standortdaten für das Vorkommen sensibler Daten in einzelnen Dateien, die Macie aus dem Archiv extrahiert hat. Macie nimmt diese Informationen nicht in die Ergebnisse sensibler Daten für Archivdateien auf. Um Standortdaten zu melden, verwenden die Ergebnisse der Erkennung sensibler Daten ein standardisiertes JSON Schema.

Ein Ermittlungsergebnis vertraulicher Daten beinhaltet nicht die sensiblen Daten, die Macie gefunden hat. Stattdessen erhalten Sie einen Analysedatensatz, der für Audits oder Ermittlungen hilfreich sein kann.

Macie speichert Ihre Ergebnisse der Entdeckung sensibler Daten 90 Tage lang. Sie können nicht direkt über die Amazon Macie-Konsole oder mit der Amazon API Macie darauf zugreifen. Folgen Sie stattdessen den Schritten in diesem Thema, um Macie so zu konfigurieren, AWS KMS key dass Ihre Ergebnisse mit einem von Ihnen angegebenen verschlüsselt werden, und speichern Sie die Ergebnisse in einem ebenfalls von Ihnen angegebenen S3-Allzweck-Bucket. Macie schreibt dann die Ergebnisse in JSON Lines-Dateien (.jsonl), fügt die Dateien dem Bucket als GNU Zip-Dateien (.gz) hinzu und verschlüsselt die Daten mithilfe von -Verschlüsselung. SSE KMS Seit dem 8. November 2023 signiert Macie die resultierenden S3-Objekte auch mit einem Hash-basierten Nachrichtenauthentifizierungscode (). HMAC AWS KMS key

Nachdem Sie Macie so konfiguriert haben, dass Ihre Ergebnisse der Erkennung sensibler Daten in einem S3-Bucket gespeichert werden, kann der Bucket als definitives, langfristiges Repository für die Ergebnisse dienen. Anschließend können Sie optional auf die Ergebnisse in diesem Repository zugreifen und diese abfragen.

Tipps

Ein detailliertes, anschauliches Beispiel dafür, wie Sie die Ergebnisse der Erkennung sensibler Daten abfragen und verwenden können, um potenzielle Datensicherheitsrisiken zu analysieren und zu melden, finden Sie im folgenden Blogbeitrag auf dem AWS Security Blog: How to query and visualize macie sensitive data discovery results with Amazon Athena and Amazon. QuickSight

Beispiele für Amazon Athena Athena-Abfragen, mit denen Sie Erkennungsergebnisse sensibler Daten analysieren können, finden Sie im Amazon Macie Results Analytics-Repository unter. GitHub Dieses Repository enthält auch Anweisungen zur Konfiguration von Athena zum Abrufen und Entschlüsseln Ihrer Ergebnisse sowie Skripten zum Erstellen von Tabellen für die Ergebnisse.

Schritt 1: Überprüfen Sie Ihre Berechtigungen

Bevor Sie ein Repository für Ihre Discovery-Ergebnisse vertraulicher Daten konfigurieren, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen zum Verschlüsseln und Speichern der Ergebnisse verfügen. Um Ihre Berechtigungen zu überprüfen, verwenden Sie AWS Identity and Access Management (IAM), um die IAM Richtlinien zu überprüfen, die mit Ihrer IAM Identität verknüpft sind. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von Aktionen, die Sie ausführen dürfen müssen, um das Repository zu konfigurieren.

Amazon Macie

Stellen Sie für Macie sicher, dass Sie die folgende Aktion ausführen dürfen:

macie2:PutClassificationExportConfiguration

Mit dieser Aktion können Sie die Repository-Einstellungen in Macie hinzufügen oder ändern.

Amazon S3

Stellen Sie für Amazon S3 sicher, dass Sie die folgenden Aktionen ausführen dürfen:

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

Mit diesen Aktionen können Sie auf einen S3-Allzweck-Bucket zugreifen und ihn konfigurieren, der als Repository dienen kann.

AWS KMS

Um die Amazon Macie Macie-Konsole zum Hinzufügen oder Ändern der Repository-Einstellungen zu verwenden, stellen Sie außerdem sicher, dass Sie die folgenden AWS KMS Aktionen ausführen dürfen:

  • kms:DescribeKey

  • kms:ListAliases

Diese Aktionen ermöglichen es Ihnen, Informationen über das AWS KMS keys für Ihr Konto abzurufen und anzuzeigen. Sie können dann einen dieser Schlüssel auswählen, um Ihre Erkennungsergebnisse vertraulicher Daten zu verschlüsseln.

Wenn Sie vorhaben, einen neuen AWS KMS key zu erstellen, um die Daten zu verschlüsseln, müssen Sie auch die folgenden Aktionen ausführen dürfen: kms:CreateKeykms:GetKeyPolicy, und. kms:PutKeyPolicy

Wenn Sie die erforderlichen Aktionen nicht ausführen dürfen, bitten Sie Ihren AWS Administrator um Unterstützung, bevor Sie mit dem nächsten Schritt fortfahren.

Schritt 2: Konfigurieren Sie ein AWS KMS key

Nachdem Sie Ihre Berechtigungen überprüft haben, legen AWS KMS key Sie fest, welche Methode Macie zur Verschlüsselung Ihrer Erkennungsergebnisse vertraulicher Daten verwenden soll. Bei dem Schlüssel muss es sich um einen vom Kunden verwalteten, symmetrischen KMS Verschlüsselungsschlüssel handeln, der in derselben Weise aktiviert ist AWS-Region wie der S3-Bucket, in dem Sie die Ergebnisse speichern möchten.

Der Schlüssel kann ein vorhandener Schlüssel AWS KMS key aus Ihrem eigenen Konto oder ein vorhandener AWS KMS key Schlüssel sein, den ein anderes Konto besitzt. Wenn Sie einen neuen KMS Schlüssel verwenden möchten, erstellen Sie den Schlüssel, bevor Sie fortfahren. Wenn Sie einen vorhandenen Schlüssel verwenden möchten, der einem anderen Konto gehört, rufen Sie den Amazon-Ressourcennamen (ARN) des Schlüssels ab. Sie müssen diesen eingeben, ARN wenn Sie die Repository-Einstellungen in Macie konfigurieren. Informationen zum Erstellen und Überprüfen der Einstellungen für KMS Schlüssel finden Sie unter Schlüssel verwalten im AWS Key Management Service Entwicklerhandbuch.

Anmerkung

Der Schlüssel kann sich AWS KMS key in einem externen Schlüsselspeicher befinden. Der Schlüssel ist dann jedoch möglicherweise langsamer und weniger zuverlässig als ein Schlüssel, der vollständig intern verwaltet wird AWS KMS. Sie können dieses Risiko verringern, indem Sie Ihre Ermittlungsergebnisse für sensible Daten in einem S3-Bucket speichern, der so konfiguriert ist, dass der Schlüssel als S3-Bucket-Key verwendet wird. Dadurch wird die Anzahl der AWS KMS Anfragen reduziert, die gestellt werden müssen, um Ihre Erkennungsergebnisse vertraulicher Daten zu verschlüsseln.

Informationen zur Verwendung von KMS Schlüsseln in externen Schlüsselspeichern finden Sie im AWS Key Management Service Entwicklerhandbuch unter Externe Schlüsselspeicher. Informationen zur Verwendung von S3-Bucket Keys finden Sie unter Reduzieren der Kosten von SSE — KMS mit Amazon S3 S3-Bucket Keys im Amazon Simple Storage Service-Benutzerhandbuch.

Nachdem Sie festgelegt haben, welchen KMS Schlüssel Macie verwenden soll, erteilen Sie Macie die Erlaubnis, den Schlüssel zu verwenden. Andernfalls kann Macie Ihre Ergebnisse nicht verschlüsseln oder im Repository speichern. Um Macie die Erlaubnis zur Verwendung des Schlüssels zu erteilen, aktualisieren Sie die Schlüsselrichtlinie für den Schlüssel. Ausführliche Informationen zu wichtigen Richtlinien und zur Verwaltung des Zugriffs auf KMS Schlüssel finden Sie unter Wichtige Richtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

So aktualisieren Sie die wichtigsten Richtlinien

  1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie den Schlüssel aus, den Macie zur Verschlüsselung Ihrer Erkennungsergebnisse vertraulicher Daten verwenden soll.

  4. Wählen Sie auf der Registerkarte Schlüsselrichtlinie die Option Bearbeiten aus.

  5. Kopieren Sie die folgende Anweisung in Ihre Zwischenablage und fügen Sie sie dann der Richtlinie hinzu:

    {
    "Sid": "Allow Macie to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "macie.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Encrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
         },
         "ArnLike": {
             "aws:SourceArn": [
                 "arn:aws:macie2:Region:111122223333:export-configuration:*",
                 "arn:aws:macie2:Region:111122223333:classification-job/*"
             ]
         }
    }
}
    Anmerkung

    Stellen Sie beim Hinzufügen der Anweisung zur Richtlinie sicher, dass die Syntax gültig ist. Richtlinien verwenden das JSON Format. Das bedeutet, dass Sie vor oder nach der Anweisung auch ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen. Wenn Sie die Anweisung als letzte Anweisung hinzufügen, fügen Sie hinter der schließenden geschweiften Klammer für die vorherige Anweisung ein Komma hinzu. Wenn Sie sie als erste Anweisung oder zwischen zwei vorhandenen Anweisungen hinzufügen, fügen Sie hinter der schließenden geschweiften Klammer für die Anweisung ein Komma ein.

  6. Aktualisieren Sie die Anweisung mit den richtigen Werten für Ihre Umgebung:

    • Ersetzen Sie in den Condition Feldern die Platzhalterwerte, wobei:

      • 111122223333 ist die Konto-ID für Ihren AWS-Konto.

      • Region ist die, AWS-Region in der Sie Macie verwenden und Sie möchten, dass Macie den Schlüssel verwendet.

        Wenn Sie Macie in mehreren Regionen verwenden und Macie erlauben möchten, den Schlüssel in weiteren Regionen zu verwenden, fügen Sie aws:SourceArn Bedingungen für jede weitere Region hinzu. Beispielsweise:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        Alternativ können Sie Macie erlauben, den Schlüssel in allen Regionen zu verwenden. Ersetzen Sie dazu den Platzhalterwert durch das Platzhalterzeichen (*). Beispielsweise:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • Wenn Sie Macie in einer Opt-in-Region verwenden, fügen Sie dem Wert für das Feld den entsprechenden Regionalcode hinzu. Service Wenn Sie beispielsweise Macie in der Region Naher Osten (Bahrain) verwenden, die den Regionalcode me-south-1 hat, ersetzen Sie es durch. macie.amazonaws.com macie.me-south-1.amazonaws.com Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, sowie den Regionalcode für jede Region finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz

    Beachten Sie, dass die Condition Felder zwei IAM globale Bedingungsschlüssel verwenden:

    • aws: SourceAccount — Diese Bedingung ermöglicht es Macie, die angegebenen Aktionen nur für Ihr Konto auszuführen. Insbesondere bestimmt sie, welches Konto die angegebenen Aktionen für die in der aws:SourceArn Bedingung angegebenen Ressourcen und Aktionen ausführen kann.

      Damit Macie die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie dieser Bedingung die Konto-ID für jedes weitere Konto hinzu. Beispielsweise:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws: SourceArn — Diese Bedingung verhindert, dass andere AWS -Services die angegebenen Aktionen ausführen. Es verhindert auch, dass Macie den Schlüssel verwendet, während sie andere Aktionen für Ihr Konto ausführt. Mit anderen Worten, es ermöglicht Macie, S3-Objekte nur dann mit dem Schlüssel zu verschlüsseln, wenn: es sich bei den Objekten um Erkennungsergebnisse für vertrauliche Daten handelt und die Ergebnisse sich auf automatisierte Erkennungsaufträge für vertrauliche Daten oder für Aufträge zur Erkennung sensibler Daten beziehen, die vom angegebenen Konto in der angegebenen Region erstellt wurden.

      Damit Macie die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie ARNs für jedes weitere Konto diese Bedingung hinzu. Beispielsweise:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    Die in den aws:SourceArn Bedingungen aws:SourceAccount und angegebenen Konten müssen übereinstimmen.

    Diese Bedingungen verhindern, dass Macie bei Transaktionen mit AWS KMS Macie als verwirrter Stellvertreter eingesetzt wird. Wir empfehlen es zwar nicht, aber Sie können diese Bedingungen aus der Erklärung entfernen.

  7. Wenn Sie mit dem Hinzufügen und Aktualisieren der Erklärung fertig sind, wählen Sie Änderungen speichern.

Schritt 3: Wählen Sie einen S3-Bucket

Nachdem Sie Ihre Berechtigungen überprüft und konfiguriert haben AWS KMS key, können Sie angeben, welchen S3-Bucket Sie als Repository für Ihre Discovery-Ergebnisse für sensible Daten verwenden möchten. Sie haben hierfür zwei Möglichkeiten:

  • Verwenden Sie einen neuen S3-Bucket, den Macie erstellt — Wenn Sie diese Option wählen, erstellt Macie automatisch einen neuen S3-Bucket für allgemeine Zwecke im aktuellen Bucket AWS-Region für Ihre Discovery-Ergebnisse. Macie wendet auch eine Bucket-Richtlinie auf den Bucket an. Die Richtlinie ermöglicht es Macie, Objekte zum Bucket hinzuzufügen. Es erfordert auch, AWS KMS key dass die Objekte mit der von Ihnen angegebenen Verschlüsselung verschlüsselt werden, und zwar mithilfe von SSE - KMS Verschlüsselung. Um die Richtlinie zu überprüfen, wählen Sie in der Amazon Macie Macie-Konsole die Option Richtlinie anzeigen, nachdem Sie einen Namen für den Bucket und den zu verwendenden KMS Schlüssel angegeben haben.

  • Verwenden Sie einen vorhandenen S3-Bucket, den Sie erstellen — Wenn Sie Ihre Discovery-Ergebnisse lieber in einem bestimmten von Ihnen erstellten S3-Bucket speichern möchten, erstellen Sie den Bucket, bevor Sie fortfahren. Bei dem Bucket muss es sich um einen Allzweck-Bucket handeln. Darüber hinaus müssen die Einstellungen und Richtlinien des Buckets es Macie ermöglichen, dem Bucket Objekte hinzuzufügen. In diesem Thema wird erklärt, welche Einstellungen überprüft werden müssen und wie die Richtlinie aktualisiert wird. Es enthält auch Beispiele für die Anweisungen, die der Richtlinie hinzugefügt werden können.

Die folgenden Abschnitte enthalten Anweisungen für jede Option. Wählen Sie den Abschnitt für die gewünschte Option aus.

Wenn Sie lieber einen neuen S3-Bucket verwenden möchten, den Macie für Sie erstellt, besteht der letzte Schritt darin, die Repository-Einstellungen in Macie zu konfigurieren.

Um die Repository-Einstellungen in Macie zu konfigurieren

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Discovery-Ergebnisse aus.

  3. Wählen Sie unter Repository für Erkennungsergebnisse vertraulicher Daten die Option Bucket erstellen aus.

  4. Geben Sie im Feld Bucket erstellen einen Namen für den Bucket ein.

    Der Name muss über alle S3-Buckets eindeutig sein. Darüber hinaus darf der Name nur aus Kleinbuchstaben, Zahlen, Punkten (.) und Bindestrichen (-) bestehen. Weitere Benennungsanforderungen finden Sie unter Regeln zur Benennung von Buckets im Amazon Simple Storage Service-Benutzerhandbuch.

  5. Erweitern Sie den Abschnitt Advanced (Erweitert).

  6. (Optional) Um ein Präfix anzugeben, das im Pfad zu einem Speicherort im Bucket verwendet werden soll, geben Sie das Präfix in das Feld Datenermittlungsergebnispräfix ein.

    Wenn Sie einen Wert eingeben, aktualisiert Macie das Beispiel unter dem Feld, um den Pfad zum Bucket-Speicherort anzuzeigen, an dem Ihre Discovery-Ergebnisse gespeichert werden.

  7. Wählen Sie für Gesamten öffentlichen Zugriff blockieren die Option Ja aus, um alle Einstellungen zum Sperren des öffentlichen Zugriffs für den Bucket zu aktivieren.

    Informationen zu diesen Einstellungen finden Sie unter Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher im Amazon Simple Storage Service-Benutzerhandbuch.

  8. Geben Sie unter Verschlüsselungseinstellungen AWS KMS key die Einstellungen an, die Macie zur Verschlüsselung der Ergebnisse verwenden soll:

    • Um einen Schlüssel aus Ihrem eigenen Konto zu verwenden, wählen Sie Wählen Sie einen Schlüssel aus Ihrem Konto aus. Wählen Sie dann in der AWS KMS keyListe den Schlüssel aus, den Sie verwenden möchten. In der Liste werden vom Kunden verwaltete, symmetrische KMS Verschlüsselungsschlüssel für Ihr Konto angezeigt.

    • Um einen Schlüssel zu verwenden, der einem anderen Konto gehört, wählen Sie Geben Sie den eines Schlüssels ARN von einem anderen Konto ein. Geben Sie dann in das AWS KMS key ARNFeld den Amazon-Ressourcennamen (ARN) des zu verwendenden Schlüssels ein, z. B. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. Wenn Sie mit der Eingabe der Einstellungen fertig sind, wählen Sie Speichern.

    Macie testet die Einstellungen, um sicherzustellen, dass sie korrekt sind. Wenn Einstellungen falsch sind, zeigt Macie eine Fehlermeldung an, um Ihnen bei der Behebung des Problems zu helfen.

Nachdem Sie die Repository-Einstellungen gespeichert haben, fügt Macie dem Repository vorhandene Ermittlungsergebnisse der letzten 90 Tage hinzu. Macie beginnt auch, dem Repository neue Ermittlungsergebnisse hinzuzufügen.

Wenn Sie es vorziehen, Ihre Erkennungsergebnisse vertraulicher Daten in einem bestimmten S3-Bucket zu speichern, den Sie erstellen, erstellen und konfigurieren Sie den Bucket, bevor Sie die Einstellungen in Macie konfigurieren. Beachten Sie beim Erstellen des Buckets die folgenden Anforderungen:

  • Der Bucket muss ein Allzweck-Bucket sein. Es kann kein Verzeichnis-Bucket sein.

  • Wenn Sie die Objektsperre für den Bucket aktivieren, müssen Sie die standardmäßige Aufbewahrungseinstellung für diese Funktion deaktivieren. Andernfalls kann Macie Ihre Discovery-Ergebnisse nicht zum Bucket hinzufügen. Informationen zu dieser Einstellung finden Sie unter Verwenden von S3 Object Lock im Amazon Simple Storage Service-Benutzerhandbuch.

  • Um Ihre Ermittlungsergebnisse für eine Region zu speichern, für die standardmäßig aktiviert ist AWS-Konten, z. B. die Region USA Ost (Nord-Virginia), muss sich der Bucket in einer Region befinden, die standardmäßig aktiviert ist. Die Ergebnisse können nicht in einem Bucket in einer Opt-in-Region gespeichert werden (Region, die standardmäßig deaktiviert ist).

  • Um Ihre Discovery-Ergebnisse für eine Opt-in-Region wie die Region Naher Osten (Bahrain) zu speichern, muss sich der Bucket in derselben Region oder in einer Region befinden, die standardmäßig aktiviert ist. Die Ergebnisse können nicht in einem Bucket in einer anderen Opt-in-Region gespeichert werden.

Informationen darüber, ob eine Region standardmäßig aktiviert ist, finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Regionen und Endpunkte.

Nachdem Sie den Bucket erstellt haben, aktualisieren Sie die Richtlinie des Buckets, sodass Macie Informationen über den Bucket abrufen und Objekte zum Bucket hinzufügen kann. Anschließend können Sie die Einstellungen in Macie konfigurieren.

Um die Bucket-Richtlinie für den Bucket zu aktualisieren

  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie den Bucket aus, in dem Sie Ihre Discovery-Ergebnisse speichern möchten.

  3. Wählen Sie die Registerkarte Berechtigungen.

  4. Wählen Sie im Abschnitt Bucket-Richtlinie die Option Bearbeiten aus.

  5. Kopieren Sie die folgende Beispielrichtlinie in Ihre Zwischenablage:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Macie to use the GetBucketLocation operation",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::myBucketName",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Allow Macie to add objects to the bucket",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption headers. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::myBucketName/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  6. Fügen Sie die Beispielrichtlinie in den Bucket-Policy-Editor auf der Amazon S3 S3-Konsole ein.

  7. Aktualisieren Sie die Beispielrichtlinie mit den richtigen Werten für Ihre Umgebung:

    • In der optionalen Anweisung, die falsche Verschlüsselungsheader ablehnt:

      • Ersetzen myBucketName mit dem Namen des Buckets.

      • Im StringNotEquals Zustand ersetzen arn:aws:kms:Region:111122223333:key/KMSKeyId mit dem Amazon-Ressourcennamen (ARN) AWS KMS key , der für die Verschlüsselung Ihrer Ermittlungsergebnisse verwendet werden soll.

    • Ersetzen Sie in allen anderen Anweisungen die Platzhalterwerte, wobei:

      • myBucketName ist der Name des Buckets.

      • 111122223333 ist die Konto-ID für Ihre AWS-Konto.

      • Region ist die, AWS-Region in der Sie Macie verwenden und möchten, dass Macie Erkennungsergebnisse zum Bucket hinzufügt.

        Wenn Sie Macie in mehreren Regionen verwenden und Macie erlauben möchten, Ergebnisse für weitere Regionen zum Bucket hinzuzufügen, fügen Sie aws:SourceArn Bedingungen für jede weitere Region hinzu. Beispielsweise:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        Alternativ können Sie Macie erlauben, dem Bucket Ergebnisse für alle Regionen hinzuzufügen, in denen Sie Macie verwenden. Ersetzen Sie dazu den Platzhalterwert durch das Platzhalterzeichen (*). Beispielsweise:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • Wenn Sie Macie in einer Opt-in-Region verwenden, fügen Sie dem Wert für das Service Feld in jeder Anweisung, die den Macie-Service Principal angibt, den entsprechenden Regionalcode hinzu. Wenn Sie beispielsweise Macie in der Region Naher Osten (Bahrain) verwenden, die den Regionalcode me-south-1 hat, macie.amazonaws.com ersetzen Sie ihn macie.me-south-1.amazonaws.com in jeder zutreffenden Anweisung durch. Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, sowie den Regionalcode für jede Region finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz

    Beachten Sie, dass die Beispielrichtlinie Anweisungen enthält, die es Macie ermöglichen, zu bestimmen, in welcher Region sich der Bucket befindet (GetBucketLocation), und Objekte zum Bucket hinzuzufügen (). PutObject Diese Anweisungen definieren Bedingungen, die zwei IAM globale Bedingungsschlüssel verwenden:

    • aws: SourceAccount — Diese Bedingung ermöglicht es Macie, nur für Ihr Konto Ergebnisse der Erkennung sensibler Daten zum Bucket hinzuzufügen. Dadurch wird Macie daran gehindert, Erkennungsergebnisse für andere Konten zum Bucket hinzuzufügen. Genauer gesagt gibt die Bedingung an, welches Konto den Bucket für die in der aws:SourceArn Bedingung angegebenen Ressourcen und Aktionen verwenden kann.

      Um Ergebnisse für zusätzliche Konten im Bucket zu speichern, fügen Sie dieser Bedingung die Konto-ID für jedes weitere Konto hinzu. Beispielsweise:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws: SourceArn — Diese Bedingung schränkt den Zugriff auf den Bucket basierend auf der Quelle der Objekte ein, die dem Bucket hinzugefügt werden. Sie verhindert, dass andere AWS -Services Objekte zum Bucket hinzufügen. Es verhindert auch, dass Macie Objekte zum Bucket hinzufügt und gleichzeitig andere Aktionen für Ihr Konto ausführt. Genauer gesagt erlaubt die Bedingung Macie, Objekte nur dann zum Bucket hinzuzufügen, wenn es sich bei den Objekten um Erkennungsergebnisse vertraulicher Daten handelt und die Ergebnisse sich auf automatisierte Erkennungsaufträge für vertrauliche Daten oder Aufträge zur Erkennung sensibler Daten beziehen, die vom angegebenen Konto in der angegebenen Region erstellt wurden.

      Damit Macie die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie diese ARNs Bedingung für jedes weitere Konto hinzu. Beispielsweise:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    Die in den aws:SourceArn Bedingungen aws:SourceAccount und angegebenen Konten müssen übereinstimmen.

    Beide Bedingungen verhindern, dass Macie bei Transaktionen mit Amazon S3 als verwirrter Stellvertreter eingesetzt wird. Wir raten zwar davon ab, aber Sie können diese Bedingungen aus der Bucket-Richtlinie entfernen.

  8. Wenn Sie mit der Aktualisierung der Bucket-Richtlinie fertig sind, wählen Sie Änderungen speichern aus.

Sie können jetzt die Repository-Einstellungen in Macie konfigurieren.

Um die Repository-Einstellungen in Macie zu konfigurieren

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Discovery-Ergebnisse aus.

  3. Wählen Sie unter Repository für Erkennungsergebnisse vertraulicher Daten die Option Existierender Bucket aus.

  4. Wählen Sie unter Wählen Sie einen Bucket aus den Bucket aus, in dem Sie Ihre Discovery-Ergebnisse speichern möchten.

  5. (Optional) Um ein Präfix anzugeben, das im Pfad zu einem Speicherort im Bucket verwendet werden soll, erweitern Sie den Abschnitt Erweitert. Geben Sie dann unter Präfix für das Ergebnis der Datenermittlung das zu verwendende Präfix ein.

    Wenn Sie einen Wert eingeben, aktualisiert Macie das Beispiel unter dem Feld und zeigt den Pfad zum Bucket-Speicherort an, an dem Ihre Discovery-Ergebnisse gespeichert werden.

  6. Geben Sie unter Verschlüsselungseinstellungen die Einstellungen an AWS KMS key , die Macie zum Verschlüsseln der Ergebnisse verwenden soll:

    • Um einen Schlüssel aus Ihrem eigenen Konto zu verwenden, wählen Sie Wählen Sie einen Schlüssel aus Ihrem Konto aus. Wählen Sie dann in der AWS KMS keyListe den Schlüssel aus, den Sie verwenden möchten. In der Liste werden vom Kunden verwaltete, symmetrische KMS Verschlüsselungsschlüssel für Ihr Konto angezeigt.

    • Um einen Schlüssel zu verwenden, der einem anderen Konto gehört, wählen Sie Geben Sie den eines Schlüssels ARN von einem anderen Konto ein. Geben Sie dann in das AWS KMS key ARNFeld den Namen ARN des Schlüssels ein, den Sie verwenden möchten, z. B. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. Wenn Sie mit der Eingabe der Einstellungen fertig sind, wählen Sie Speichern.

    Macie testet die Einstellungen, um sicherzustellen, dass sie korrekt sind. Wenn Einstellungen falsch sind, zeigt Macie eine Fehlermeldung an, um Ihnen bei der Behebung des Problems zu helfen.

Nachdem Sie die Repository-Einstellungen gespeichert haben, fügt Macie dem Repository vorhandene Ermittlungsergebnisse der letzten 90 Tage hinzu. Macie beginnt auch, dem Repository neue Ermittlungsergebnisse hinzuzufügen.

Anmerkung

Wenn Sie anschließend die Präfixeinstellung für das Datenermittlungsergebnis ändern, aktualisieren Sie auch die Bucket-Richtlinie in Amazon S3. Richtlinienanweisungen, die den vorherigen Pfad angeben, müssen den neuen Pfad angeben. Andernfalls darf Macie Ihre Discovery-Ergebnisse nicht zum Bucket hinzufügen.

Tipp

Um die Kosten für serverseitige Verschlüsselung zu reduzieren, konfigurieren Sie den S3-Bucket auch so, AWS KMS key dass er einen S3-Bucket-Key verwendet, und geben Sie den an, den Sie für die Verschlüsselung Ihrer Erkennungsergebnisse sensibler Daten konfiguriert haben. Durch die Verwendung eines S3-Bucket-Keys wird die Anzahl der Aufrufe reduziert AWS KMS, wodurch die AWS KMS Anforderungskosten gesenkt werden können. Wenn sich der KMS Schlüssel in einem externen Schlüsselspeicher befindet, kann die Verwendung eines S3-Bucket-Keys auch die Leistungseinbußen bei der Verwendung des Schlüssels minimieren. Weitere Informationen finden Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 S3-Bucket Keys im Amazon Simple Storage Service-Benutzerhandbuch.