Creación de una lista de permitidos - Amazon Macie

Creación de una lista de permitidos

En Amazon Macie, una lista de permitidos define un texto específico o un patrón de texto que debe ignorar Macie al inspeccionar objetos de Amazon Simple Storage Service (Amazon S3) en busca de datos confidenciales. Si un texto coincide con una entrada o un patrón de una lista de permitidos, Macie no informa del texto en los resultados de datos confidenciales, estadísticas y otros tipos de resultados. Este es el caso incluso aunque el texto coincida con los criterios de un identificador de datos administrado o un identificador de datos personalizado.

Puede crear los siguientes tipos de listas de permitidos en Macie.

Texto predefinido

Use este tipo de lista para especificar palabras, frases y otros tipos de secuencias de caracteres específicas que no son confidenciales, no es probable que cambien y que no se adhieren a un patrón común necesariamente. Algunos ejemplos son los nombres de los representantes públicos de su organización, números de teléfono determinados y datos de muestra específicos que su organización utilice para las pruebas. Si usa este tipo de lista, Macie ignora el texto que coincida exactamente con una entrada de la lista.

Para este tipo de lista, se crea un archivo de texto sin formato delimitado por líneas en el que se muestra el texto específico que se debe ignorar. A continuación, se ignora el archivo en un bucket de S3 y se configuran los ajustes para que Macie acceda a la lista del bucket. A continuación, puede crear y configurar trabajos de detección de datos confidenciales para usar la lista o añadir la lista a la configuración automatizada de detección de datos confidenciales. Cuando cada trabajo comienza a ejecutarse o se inicia el siguiente ciclo de análisis de detección automatizada, Macie recupera la última versión de la lista de Amazon S3. Luego, Macie usa esa versión de la lista cuando inspecciona los objetos de S3 en busca de datos confidenciales. Si Macie encuentra texto que coincida exactamente con una entrada de la lista, Macie no informa de la aparición del texto como datos confidenciales.

Expresión regular

Use este tipo de lista para especificar una expresión regular (regex) que defina el patrón de texto que se va a ignorar. Algunos ejemplos son los números de teléfono públicos de su organización, las direcciones de correo electrónico del dominio de su organización y los datos de muestra modelados que su organización utilice para las pruebas. Si usa este tipo de lista, Macie ignora el texto que coincida completamente con el patrón de expresión regular definido por la lista.

Para este tipo de lista, debe crear una expresión regular que defina un patrón común para el texto que no es confidencial, pero que varía o es probable que cambie. A diferencia de una lista de texto predefinido, se crea y almacena la expresión regular y el resto de la configuración de la lista en Macie. A continuación, puede crear y configurar trabajos de detección de datos confidenciales para usar la lista o añadir la lista a la configuración automatizada de detección de datos confidenciales. Cuando se ejecutan esos trabajos o Macie realiza una detección automatizada, Macie utiliza la última versión de la expresión regular de la lista para analizar los datos. Si Macie encuentra texto que coincida exactamente con el patrón definido por la lista, Macie no informa de la aparición del texto como datos confidenciales.

Para ver los requisitos detallados, las recomendaciones y los ejemplos de cada tipo, consulte Requisitos y opciones de configuración para listas de permitidos.

Puede crear hasta 10 listas de permitidos en cada Región de AWS compatible: hasta cinco listas de permitidos que especifiquen texto predefinido y hasta cinco listas de permisos que especifiquen expresiones regulares. Puede crear y utilizar listas de permitidos en todas las Regiones de AWS en las que Macie esté disponible actualmente, excepto en la región de Asia-Pacífico (Osaka).

Creación de una lista de permitidos

La forma de crear una lista de permitidos depende del tipo de lista que quiera crear: un archivo en el que se enumere el texto predefinido que ignorar o una expresión regular que defina un patrón de texto que ignorar. Las siguientes secciones proporcionan instrucciones para cada tipo. Elija la sección para el tipo de lista que desee crear.

Antes de crear este tipo de lista de permitidos en Macie, haga lo siguiente:

  1. Con un editor de texto, cree un archivo de texto sin formato delimitado por líneas que enumere el texto específico que desee ignorar, por ejemplo, un archivo .txt, .text o .plain. Para obtener más información, consulte Requisitos de sintaxis.

  2. Cargue el archivo en un bucket de uso general de S3 y anote el nombre del bucket y del objeto. Deberá introducir estos nombres cuando haga los ajustes en Macie.

  3. Asegúrese de que la configuración del bucket y el objeto de S3 les permita a Macie y a usted recuperar la lista del bucket. Para obtener más información, consulte Requisitos de almacenamiento.

  4. Si cifró el objeto de S3, asegúrese de que también esté cifrado con una clave que pueda usted y Macie puedan usar. Para obtener más información, consulte Requisitos de cifrado y descifrado.

Tras completar estos pasos, estará listo para hacer los ajustes de la lista en Macie. Puede hacer los ajustes mediante la consola de Amazon Macie o la API de Amazon Macie.

Console

Para hacer los ajustes para una lista de permitidos mediante la consola de Amazon Macie, siga los pasos siguientes.

Para hacer los ajustes de la lista de permitidos en Macie

  1. Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/.

  2. En el panel de navegación, en Configuración, seleccione Listas de permitidos.

  3. En la página Listas de permitidos, seleccione Crear.

  4. En Seleccione un tipo de lista, elija Texto predefinido.

  5. En Configuración de lista, utilice las siguientes opciones para introducir ajustes adicionales para la lista de permitidos:

    • En Nombre, ingrese el nombre de la lista. El nombre puede contener hasta 128 caracteres.

    • En Descripción, escriba una breve descripción de la lista. La descripción puede contener hasta 512 caracteres.

    • Para Nombre del bucket de S3, introduzca el nombre del bucket que almacena la lista.

      En Amazon S3, puede encontrar este valor en el campo Nombre de las propiedades del bucket. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.

    • Para Nombre del objeto de S3, introduzca el nombre del objeto de S3 que almacena la lista.

      En Amazon S3, puede encontrar este valor en el campo Clave de las propiedades del objeto. Si el nombre contiene una ruta, asegúrese de incluir la ruta completa al introducir el nombre, por ejemplo allowlists/macie/mylist.txt. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.

  6. (Opcional) En Etiquetas, seleccione Añadir etiqueta y, a continuación, introduzca hasta 50 etiquetas para asignarlas a la lista de permitidos.

    Una Etiqueta es una etiqueta que se define y se asigna a determinados tipos de recursos de AWS. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte Etiquetado de recursos de Macie.

  7. Cuando haya terminado, elija Crear.

Macie comprueba la configuración de la lista. Macie también comprueba que puede recuperar la lista de Amazon S3 y analizar su contenido. Si se ha producido un error, Macie muestra un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Opciones y requisitos para las listas de texto predefinidas. Tras corregir los errores, puede guardar la configuración de la lista.

API

Para crear una lista de permitidos mediante programación, utilice la operación CreateFindingsFilter de la API de Amazon Macie y especifique los valores adecuados para los parámetros necesarios.

Para el parámetro criteria, utilice un objeto s3WordsList para especificar el nombre del bucket de S3 (bucketName) y el nombre del objeto de S3 (objectKey) que almacena la lista. Para determinar el nombre del bucket, consulte el campo Name de Amazon S3. Para determinar el nombre del objeto, consulte el campo Key de Amazon S3. Tenga en cuenta que estos valores distinguen entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales cuando especifique estos nombres.

Para configurar los ajustes mediante la AWS CLI, ejecute el comando create-allow-list y especifique los valores adecuados para los parámetros necesarios. Los siguientes ejemplos muestran cómo configurar los ajustes de una lista de permitidos almacenada en un bucket de S3 denominado amzn-s3-demo-bucket. El nombre del objeto de S3 que almacena la lista es allowlists/macie/mylist.txt.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de continuación de línea de barra invertida (\) para mejorar la legibilidad.

$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.

C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

Al enviar la solicitud, Macie comprueba la configuración de la lista. Macie también comprueba que puede recuperar la lista de Amazon S3 y analizar su contenido. Si se produce un error, su solicitud fallará y Macie devolverá un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Opciones y requisitos para las listas de texto predefinidas.

Si Macie puede recuperar y analizar la lista, la solicitud se realizará correctamente y verá un resultado similar al siguiente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

Donde arn es el nombre de recurso de Amazon (ARN) de la lista de permitidos que se creó y id es el identificador único de la lista.

Una vez guardada la configuración de la lista, puede crear y configurar trabajos de detección de datos confidenciales para utilizarla, o bien añadir la lista a su configuración para la detección de datos confidenciales automatizada. Cada vez que esos trabajos comienzan a ejecutarse o se inicia un ciclo de análisis de detección automatizada, Macie recupera la última versión de la lista de Amazon S3. Luego, Macie usa esa versión de la lista cuando analiza los datos.

Cuando crea una lista de permitidos que especifica una expresión regular (regex), define la expresión regular y todos los demás ajustes de la lista directamente en Macie. Para la expresión regular, Macie admite un subconjunto de la sintaxis de patrones de expresiones regulares proporcionado por la biblioteca de expresiones regulares compatibles con Perl (PCRE). Para obtener más información, consulte Soporte y recomendaciones sobre la sintaxis.

Puede crear este tipo de lista mediante la consola de Amazon Macie o la API de Amazon Macie.

Console

Siga estos pasos para crear una lista de permitidos mediante la consola de Amazon Macie.

Creación de una lista de permitidos mediante la consola

  1. Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/.

  2. En el panel de navegación, en Configuración, seleccione Listas de permitidos.

  3. En la página Listas de permitidos, seleccione Crear.

  4. En Seleccione un tipo de lista, elija Expresión regular.

  5. En Configuración de lista, utilice las siguientes opciones para introducir ajustes adicionales para la lista de permitidos:

    • En Nombre, ingrese el nombre de la lista. El nombre puede contener hasta 128 caracteres.

    • En Descripción, escriba una breve descripción de la lista. La descripción puede contener hasta 512 caracteres.

    • Para la Expresión regular, ingrese la expresión regular que define el patrón de texto que se debe omitir. La expresión regular puede contener hasta 512 caracteres.

  6. (Opcional) Para Evaluar, introduzca hasta 1000 caracteres en el cuadro Datos de muestra y, a continuación, elija Probar para comprobar la expresión regular. Macie evalúa los datos de muestra e informa del número de apariciones del texto que coincide con la expresión regular. Puede repetir este paso tantas veces como desee para refinar y optimizar la expresión regular.

    nota

    Le recomendamos que pruebe y refine la expresión regular con varios conjuntos de datos de muestra. Si crea una expresión regular demasiado general, Macie podría ignorar las apariciones de texto que considere confidenciales. Si la expresión regular es demasiado específica, Macie podría ignorar las apariciones de texto que no considere confidenciales.

  7. (Opcional) En Etiquetas, seleccione Añadir etiqueta y, a continuación, introduzca hasta 50 etiquetas para asignarlas a la lista de permitidos.

    Una Etiqueta es una etiqueta que se define y se asigna a determinados tipos de recursos de AWS. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte Etiquetado de recursos de Macie.

  8. Cuando haya terminado, elija Create (Crear).

Macie comprueba la configuración de la lista. Macie también prueba la expresión regular para comprobar que puede compilar la expresión. Si se ha producido un error, Macie muestra un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Opciones y requisitos de las expresiones regulares. Tras corregir los errores, puede guardar la lista de permitidos.

API

Antes de crear este tipo de lista de permitidos en Macie, le recomendamos que pruebe y refine la expresión regular con varios conjuntos de datos de muestra. Si crea una expresión regular demasiado general, Macie podría ignorar las apariciones de texto que considere confidenciales. Si la expresión regular es demasiado específica, Macie podría ignorar las apariciones de texto que no considere confidenciales.

Para probar una expresión con Macie, puede utilizar la operación TestCustomDataIdentifier de la API de Amazon Macie o, para AWS CLI, ejecutar el comando test-custom-data-identifier. Macie usa el mismo código subyacente para compilar expresiones con el fin de permitir listas e identificadores de datos personalizados. Si prueba una expresión de este modo, asegúrese de especificar valores únicamente para los parámetros regex y sampleText. De lo contrario, verá resultados inexactos.

Cuando esté listo para crear este tipo de lista de permitidos, utilice la operación createAllowList de la API de Amazon Macie y especifique los valores adecuados para los parámetros necesarios. Para el parámetro criteria, utilice el campo regex para especificar la expresión regular que define el patrón de texto que se debe omitir. La expresión puede contener hasta 512 caracteres.

Para creare este tipo de lista mediante el AWS CLI, ejecute el comando create-allow-list y especifique los valores adecuados para los parámetros necesarios. En los siguientes ejemplos se crea una lista de permitidos denominada my_allow_list. La expresión regular está diseñada para ignorar todas las direcciones de correo electrónico que un identificador de datos personalizado podría detectar para el dominio example.com.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de continuación de línea de barra invertida (\) para mejorar la legibilidad.

$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.

C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

Al enviar la solicitud, Macie comprueba la configuración de la lista. Macie también prueba la expresión regular para comprobar que puede compilar la expresión. Si se produce un error, la solicitud fallará y Macie devolverá un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Opciones y requisitos de las expresiones regulares.

Si Macie puede compilar la expresión, la solicitud se realizará correctamente y verá un resultado similar al siguiente:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

Donde arn es el nombre de recurso de Amazon (ARN) de la lista de permitidos que se creó y id es el identificador único de la lista.

Tras guardar la lista, puede crear y configurar trabajos de detección de datos confidenciales para utilizarla o añadirla a su configuración de detección de datos confidenciales automatizada. Cuando se ejecutan esos trabajos o Macie realiza una detección automatizada, Macie utiliza la última versión de la expresión regular de la lista para analizar los datos.