Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descubriendo datos confidenciales con Macie
Con Amazon Macie, puede automatizar la detección, el registro y la notificación de información confidencial en su conjunto de datos de Amazon Simple Storage Service (Amazon S3). Puede hacerlo de dos maneras: configurando Macie para que realice la detección automática de datos confidenciales y creando y ejecutando tareas de descubrimiento de datos confidenciales.
- Detección automatizada de datos confidenciales
-
La detección de datos confidenciales proporciona una amplia visibilidad de dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon S3. Con esta opción, Macie evalúa su inventario de buckets de S3 a diario y utiliza técnicas de muestreo para identificar y seleccionar objetos de S3 representativos de sus buckets. A continuación, Macie recupera y analiza los objetos seleccionados, inspeccionándolos en busca de datos confidenciales. Para obtener más información, consulte Realización de la detección automatizada de datos confidenciales.
- Trabajos de detección de datos confidenciales
-
Los trabajos de detección de datos confidenciales proporcionan un análisis más profundo y específico. Con esta opción, usted define la amplitud y la profundidad del análisis: bucket de S3 específicos que seleccione o buckets que coincidan con criterios específicos. También puede ajustar el ámbito del análisis eligiendo opciones, como los criterios personalizados que se derivan de las propiedades de los objetos de S3. Además, puede configurar un trabajo para que se ejecute solo una vez para el análisis y la evaluación bajo demanda, o de forma periódica para el análisis, la evaluación y la supervisión periódicos. Para obtener más información, consulte Ejecución de trabajos de detección de datos confidenciales.
Con cualquiera de las dos opciones, la detección de datos confidenciales automatizada o los trabajos de detección de datos confidenciales, puede analizar objetos de S3 mediante identificadores de datos administrados que proporciona Macie, identificadores de datos personalizados que usted defina o una combinación de ambos. También puede ajustar el análisis mediante el uso de listas de permitidos.
- Identificadores de datos administrados
-
Los identificadores de datos gestionados son criterios y técnicas integrados que están diseñados para detectar tipos específicos de datos confidenciales, por ejemplo, números de tarjetas de crédito, AWS claves de acceso secretas o números de pasaporte para determinados países o regiones. Pueden detectar una lista amplia y creciente de tipos de datos confidenciales en muchos países y regiones, que incluye varios tipos de datos de credenciales, información financiera e información de identificación personal (PII). Para obtener más información, consulte Uso de identificadores de datos administrados.
- Identificadores de datos personalizados
-
Un identificador de datos personalizados es un conjunto de criterios personalizados que se definen para detectar información confidencial. Cada identificador de datos personalizados especifíca una expresión regular (regex) que define un patrón de texto para que coincida y, opcionalmente, secuencias de caracteres y una regla de proximidad que perfeccionen los resultados. Puede utilizarlos para detectar datos confidenciales que reflejen sus escenarios particulares, propiedad intelectual o datos patentados, por ejemplo, números de cuentas de empleados IDs o clientes o clasificaciones internas de datos. Para obtener más información, consulte Creación de identificadores de datos personalizados.
- Listas de permitidos
-
En Macie, permita que las listas especifiquen el texto y los patrones de texto que deben ignorarse en los objetos de S3, normalmente excepciones a los datos confidenciales en sus escenarios o entornos específicos, por ejemplo, nombres públicos o números de teléfono de su organización, o datos de muestra que su organización utiliza para realizar pruebas. Si Macie encuentra texto que coincide con una entrada o un patrón en una lista de permitidos, Macie no informa de la aparición del texto, incluso si el texto coincide con los criterios de un identificador de datos gestionado o personalizado. Para obtener más información, consulte Definición de excepciones de datos confidenciales con las listas de permitidos.
Cuando Macie analiza un objeto de S3, recupera la última versión del objeto de Amazon S3 y, a continuación, inspecciona el contenido del objeto en busca de datos confidenciales. Macie puede analizar un objeto si se cumple lo siguiente:
-
El objeto utiliza un formato de archivo o almacenamiento compatible y se almacena en un depósito de uso general de S3 con una clase de almacenamiento compatible. Para obtener más información, consulte Clases y formatos de almacenamiento compatibles.
-
Si el objeto está cifrado, asegúrese de que también esté cifrado con una clave que Macie pueda usar. Para obtener más información, consulte Análisis de objetos S3 cifrados.
-
Si el objeto está almacenado en un bucket que tiene una política de bucket restrictiva, la política permite a Macie acceder a los objetos del bucket. Para obtener más información, consulte Permitir a Macie el acceso a buckets y objetos de S3.
Para ayudarle a cumplir y mantener el cumplimiento de sus requisitos de seguridad y privacidad de datos, Macie crea registros de los datos confidenciales que encuentra y de los análisis que realiza: tanto los resultados de datos confidenciales como los resultados de la detección de datos confidenciales. Un resultado de datos confidenciales es un informe detallado de los datos confidenciales que Macie encontró en un objeto de S3. Un resultado de detección de datos confidenciales es un registro de los detalles sobre el análisis de un objeto. Cada tipo de registro sigue un esquema estandarizado, que puede ayudarle a consultarlos, supervisarlos y procesarlos mediante el uso de otras aplicaciones, servicios y sistemas, según sea necesario.
sugerencia
Aunque Macie está optimizado para Amazon S3, puede usarlo para detectar datos confidenciales en recursos que actualmente almacena en otros lugares. Para ello, puede mover los datos a Amazon S3 de forma temporal o permanente. Por ejemplo, exporte instantáneas Amazon Relational Database Service o Amazon Aurora a Amazon S3 en formato Apache Parquet. O exporte una tabla de Amazon DynamoDB a Amazon S3. A continuación, puede crear un trabajo para analizar los datos en Amazon S3.
Temas
- Uso de identificadores de datos administrados
- Creación de identificadores de datos personalizados
- Definición de excepciones de datos confidenciales con las listas de permitidos
- Realización de la detección automatizada de datos confidenciales
- Ejecución de trabajos de detección de datos confidenciales
- Análisis de objetos S3 cifrados
- Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales
- Clases y formatos de almacenamiento compatibles
