Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Detección de datos confidenciales con Macie
Con Amazon Macie, puede automatizar la detección, el registro y la notificación de información confidencial en su conjunto de datos de Amazon Simple Storage Service (Amazon S3). Puede hacerlo de dos maneras: configurando Macie para que realice la detección de datos confidenciales automatizada y creando y ejecutando tareas de detección de datos confidenciales.
La detección de datos confidenciales proporciona una amplia visibilidad de dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon S3. Con esta opción, Macie evalúa su inventario de buckets de S3 a diario y utiliza técnicas de muestreo para identificar y seleccionar objetos de S3 representativos de sus buckets. A continuación, Macie recupera y analiza los objetos seleccionados, inspeccionándolos en busca de datos confidenciales. Para obtener más información, consulte [Realización de la detección de datos confidenciales automatizada](discovery-asdd.md).
Los trabajos de detección de datos confidenciales proporcionan un análisis más profundo y específico. Con esta opción, usted define la amplitud y la profundidad del análisis: bucket de S3 específicos que seleccione o buckets que coincidan con criterios específicos. También puede ajustar el ámbito del análisis eligiendo opciones, como los criterios personalizados que se derivan de las propiedades de los objetos de S3. Además, puede configurar un trabajo para que se ejecute solo una vez para el análisis y la evaluación bajo demanda, o de forma periódica para el análisis, la evaluación y la supervisión periódicos. Para obtener más información, consulte [Ejecución de trabajos de detección de datos confidenciales](discovery-jobs.md).
Con cualquiera de las opciones, el descubrimiento automatizado de datos confidenciales o los trabajos de descubrimiento de datos confidenciales, puede configurar Macie para que analice los objetos de S3 mediante los identificadores de datos gestionados que proporciona, los identificadores de datos personalizados que defina o una combinación de ambos. También puede ajustar el análisis con listas de permitidos. Al configurar los ajustes para la detección automática de datos confidenciales o un trabajo de descubrimiento de datos confidenciales, debe especificar cuáles usar:
+ **Identificadores de datos gestionados**: son criterios y técnicas integrados que están diseñados para detectar tipos específicos de datos confidenciales. Por ejemplo, pueden detectar números de tarjetas de crédito, claves de acceso AWS secretas y números de pasaporte de determinados países y regiones. Pueden detectar una lista amplia y creciente de tipos de datos confidenciales en muchos países y regiones. Esto incluye varios tipos de información de identificación personal (PII), información financiera y datos de credenciales. Para obtener más información, consulte [Uso de identificadores de datos administrados](managed-data-identifiers.md).
+ **Identificadores de datos personalizados**: son criterios personalizados que se definen para detectar datos confidenciales. Cada identificador de datos personalizados especifíca una expresión regular (*regex*) que define un patrón de texto para que coincida y, opcionalmente, secuencias de caracteres y una regla de proximidad que perfeccionen los resultados. Puede usarlos para detectar datos confidenciales que reflejen sus escenarios particulares, propiedad intelectual o datos patentados, por ejemplo, números de cuentas de empleados IDs o clientes o clasificaciones de datos internas. Para obtener más información, consulte [Creación de identificadores de datos personalizados](custom-data-identifiers.md).
+ **Listas de permisos**: especifican el texto y los patrones de texto que quieres que Macie ignore. Puede utilizarlos para especificar excepciones de datos confidenciales para sus escenarios o entornos particulares, por ejemplo, nombres públicos o números de teléfono de su organización, o datos de muestra que su organización utiliza para las pruebas. Si Macie encuentra texto que coincide con una entrada o un patrón en una lista de permitidos, Macie no informa de la aparición del texto. Este es el caso incluso aunque el texto coincida con los criterios de un identificador de datos administrado o personalizado. Para obtener más información, consulte [Definición de excepciones de datos confidenciales con las listas de permitidos](allow-lists.md).
Cuando Macie analiza un objeto de S3, recupera la última versión del objeto de Amazon S3 y, a continuación, inspecciona el contenido del objeto en busca de datos confidenciales. Macie puede analizar un objeto si se cumple lo siguiente:
+ El objeto utiliza un archivo o formato de almacenamiento admitido y se almacena en un bucket de uso general de S3 mediante una clase de almacenamiento compatible. Para obtener más información, consulte [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md).
+ Si el objeto está cifrado, asegúrese de que también esté cifrado con una clave que Macie pueda usar. Para obtener más información, consulte [Análisis de objetos de S3 cifrados](discovery-supported-encryption-types.md).
+ Si el objeto está almacenado en un bucket que tiene una política de bucket restrictiva, la política permite a Macie acceder a los objetos del bucket. Para obtener más información, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md).
Para ayudarle a cumplir y mantener el cumplimiento de sus requisitos de seguridad y privacidad de datos, Macie crea registros de los datos confidenciales que encuentra y de los análisis que realiza: tanto los *resultados de datos confidenciales* como los *resultados de la detección de datos confidenciales*. Un *resultado de datos confidenciales* es un informe detallado de los datos confidenciales que Macie encontró en un objeto de S3. Un *resultado de detección de datos confidenciales* es un registro de los detalles sobre el análisis de un objeto. Cada tipo de registro sigue un esquema estandarizado, que puede ayudarle a consultarlos, supervisarlos y procesarlos mediante el uso de otras aplicaciones, servicios y sistemas, según sea necesario.
**sugerencia**
Aunque Macie está optimizado para Amazon S3, puede usarlo para detectar datos confidenciales en recursos que actualmente almacena en otros lugares. Para ello, puede mover los datos a Amazon S3 de forma temporal o permanente. Por ejemplo, exporte instantáneas Amazon Relational Database Service o Amazon Aurora a Amazon S3 en formato Apache Parquet. O exporte una tabla de Amazon DynamoDB a Amazon S3. A continuación, puede crear un trabajo para analizar los datos en Amazon S3.
**Topics**
+ [Uso de identificadores de datos administrados](managed-data-identifiers.md)
+ [Creación de identificadores de datos personalizados](custom-data-identifiers.md)
+ [Definición de excepciones de datos confidenciales con las listas de permitidos](allow-lists.md)
+ [Realización de la detección de datos confidenciales automatizada](discovery-asdd.md)
+ [Ejecución de trabajos de detección de datos confidenciales](discovery-jobs.md)
+ [Análisis de objetos de S3 cifrados](discovery-supported-encryption-types.md)
+ [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md)
+ [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md)
# Uso de identificadores de datos administrados
Amazon Macie utiliza una combinación de criterios y técnicas, como machine learning y la coincidencia de patrones, para detectar datos confidenciales en objetos de Amazon Simple Storage Service (Amazon S3). Estos criterios y técnicas, que se denominan en su conjunto *identificadores de datos administrados*, pueden detectar una lista extensa y creciente de tipos de datos confidenciales en muchos países y regiones, incluidos varios tipos de credenciales, datos financieros, información médica personal (PHI) e información de identificación personal (PII). Cada identificador de datos gestionados está diseñado para detectar un tipo específico de datos confidenciales, por ejemplo, claves de acceso AWS secretas, números de tarjetas de crédito o números de pasaporte de un país o región en particular.
Macie puede detectar las siguientes categorías de datos confidenciales mediante identificadores de datos administrados:
+ Credenciales, para datos de credenciales, como claves privadas y claves de acceso AWS secretas.
+ Información financiera, para datos financieros como números de tarjetas de crédito y números de cuentas bancarias.
+ Información personal, para la PHI, como los números de seguro médico y de identificación médica, y la PII, como los números de identificación del carné de conducir y los números de pasaporte.
Dentro de cada categoría, Macie puede detectar varios tipos de datos confidenciales. En los temas de esta sección, se enumera y describe cada tipo y los requisitos pertinentes para detectarlos. Para cada tipo, también se indica el identificador único (ID) del identificador de datos administrados que está diseñado para detectar los datos. Al [crear una tarea de descubrimiento de datos confidenciales](discovery-jobs-create.md) o [configurar los ajustes para la detección automática de datos confidenciales](discovery-asdd-account-configure.md), puede utilizarlos IDs para especificar qué identificadores de datos gestionados desea que Macie utilice cuando analice los objetos de S3.
**Topics**
+ [Requisitos de palabras clave](managed-data-identifiers-keywords.md)
+ [Referencia rápida por tipo de datos confidenciales](mdis-reference-quick.md)
+ [Referencia detallada por categoría de datos confidenciales](mdis-reference.md)
Para obtener una lista de los identificadores de datos administrados que recomendamos para los trabajos, consulte [Identificadores de datos administrados recomendados para trabajos de detección de datos confidenciales](discovery-jobs-mdis-recommended.md). Para ver una lista de los identificadores de datos gestionados que recomendamos y que se utilizan de forma predeterminada para la detección automática de datos confidenciales, consulte [Configuración predeterminada para la detección de datos confidenciales automatizada](discovery-asdd-settings-defaults.md).
# Requisitos de palabras clave para los identificadores de datos administrados
Para detectar ciertos tipos de datos confidenciales mediante identificadores de datos administrados, Amazon Macie requiere que una palabra clave esté cerca de los datos. Si es así para un tipo concreto de datos, en los temas de referencia de esta sección se indican los requisitos de palabras clave específicos para esos datos.
Si una palabra clave debe estar cerca de un tipo de datos en particular, normalmente debe estar dentro de los 30 caracteres (ambos incluidos) de los datos. Los requisitos de proximidad adicionales varían en función del tipo de archivo o el formato de almacenamiento de un objeto de Amazon Simple Storage Service (Amazon S3).
**Datos columnares estructurados**
En el caso de los datos en columnas, una palabra clave debe formar parte del mismo valor o estar en el nombre de la columna o el campo que almacena un valor. Esto es así para los libros de trabajo de Microsoft Excel, los archivos CSV y los archivos TSV.
Por ejemplo, si el valor de un campo contiene tanto el *SSN* como un número de nueve dígitos que usa la sintaxis de un número de seguro social (SSN) de EE.UU., Macie puede detectar el SSN en el campo. Del mismo modo, si el nombre de una columna contiene el *SSN*, Macie puede detectar todos los SSN de la columna. Macie considera que los valores de esa columna están cerca de la palabra clave *SSN*.
**Datos estructurados basados en registros**
En el caso de los datos basados en registros, una palabra clave debe formar parte del mismo valor o estar en el nombre de un elemento de la ruta al campo o matriz que almacena un valor. Esto es así para los contenedores de objetos de Apache Avro, los archivos de Apache Parquet, los archivos JSON y los archivos JSON Lines.
Por ejemplo, si el valor de un campo contiene *credenciales* y una secuencia de caracteres que utiliza la sintaxis de una clave de acceso AWS secreta, Macie puede detectar la clave en el campo. Del mismo modo, si la ruta a un campo es`$.credentials.aws.key`, Macie puede detectar una clave de acceso AWS secreta en el campo. Macie considera que el valor del campo está cerca de las *credenciales* de la palabra clave.
**Datos no estructurados**
En el caso de los datos no estructurados, una palabra clave normalmente debe tener un máximo de 30 caracteres (inclusive) de los datos. No hay requisitos de proximidad adicionales. Esto es así para los archivos en formato de documento portátil de Adobe, los documentos de Microsoft Word, los mensajes de correo electrónico y los archivos de texto no binarios distintos de los archivos CSV, JSON, JSON Lines y TSV. Esto incluye todos los datos estructurados, como tablas o XML, de estos tipos de archivos.
Las palabras clave no distinguen entre mayúsculas y minúsculas. Además, si una palabra clave contiene un espacio, Macie busca automáticamente las variaciones de palabras clave que no contienen el espacio o que contienen un guion bajo (\$1) o un guion (-) en lugar del espacio. En ciertos casos, Macie también expande o abrevia una palabra clave para tener en cuenta las variaciones comunes de esa palabra clave.
Para ver una demostración de cómo las palabras clave proporcionan contexto y ayudan a Macie a detectar tipos específicos de datos confidenciales, vea el siguiente vídeo:
# Referencia rápida: identificadores de datos administrados por tipo
En Amazon Macie, un *identificador de datos gestionados* es un conjunto de criterios y técnicas integrados que están diseñados para detectar un tipo específico de datos confidenciales, por ejemplo, números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. Estos identificadores pueden detectar una lista extensa y creciente de tipos de datos confidenciales en muchos países y regiones, incluidos varios tipos de datos de credenciales, información financiera, información médica personal e información de identificación personal (PII).
En la siguiente tabla se enumeran todos los identificadores de datos administrados que Macie proporciona actualmente, organizados por tipo de datos confidenciales. Para cada tipo, se proporciona la siguiente información:
+ **Categoría de datos confidenciales**: especifica la categoría general de datos confidenciales que incluye el tipo: *Credenciales*, para datos de credenciales, como claves privadas; *Información financiera*, para datos financieros, como números de tarjetas de crédito y números de cuentas bancarias; *Información personal: PHI* para información de salud personal, como números de seguro médico e identificación médica; e *información personal: PII* para información de identificación personal, como números de identificación del carné de conducir y números de pasaporte
+ **ID de identificador datos administrados**: especifica el identificador único (ID) para uno o más identificadores de datos administrados que están diseñados para detectar los datos. Al crear una tarea de descubrimiento de datos confidenciales o configurar los ajustes para la detección automática de datos confidenciales, puede utilizarlos IDs para especificar qué identificadores de datos gestionados desea que Macie utilice cuando analice los datos. Para obtener una lista de los identificadores de datos administrados que recomendamos para los trabajos, consulte [Identificadores de datos administrados recomendados para trabajos de detección de datos confidenciales](discovery-jobs-mdis-recommended.md). Para ver una lista de los identificadores de datos administrados que recomendamos y para la detección automática de datos confidenciales, consulte [Configuración predeterminada para la detección de datos confidenciales automatizada](discovery-asdd-settings-defaults.md).
+ **Palabra clave obligatoria**: especifica si la detección requiere que una palabra clave esté cerca de los datos. Para obtener información sobre cómo Macie utiliza las palabras clave cuando analiza los datos, consulte[Requisitos de palabras clave](managed-data-identifiers-keywords.md).
+ **Países y regiones**: especifica para qué países y regiones están diseñados los identificadores de datos gestionados aplicables. *Si los identificadores de datos gestionados no están diseñados para países o regiones determinados, este valor es Cualquiera.*
Para revisar detalles adicionales sobre los identificadores de datos administrados para un tipo concreto de datos sensibles, elija el tipo.
| Tipos de datos confidenciales | Categoría de datos confidenciales | Identificador de datos administrados | Palabra clave necesaria | Países y regiones |
| --- | --- | --- | --- | --- |
| [AWS clave de acceso secreta](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | Credenciales | AWS\$1CREDENTIALS | Sí | Cualquiera |
| [Número de cuenta bancaria](mdis-reference-financial.md#mdis-reference-BAN) | Información financiera | BANK\$1ACCOUNT\$1NUMBER (tanto para Canadá como para EE. UU.) | Sí | Canadá, EE. UU. |
| [Número de cuenta bancaria básico (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | Información financiera | Según el país o región: FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | Sí | Alemania, España, Francia, Italia, Reino Unido |
| [Fecha de nacimiento](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | Información personal: PII | DATE\$1OF\$1BIRTH | Sí | Cualquiera |
| [Fecha de caducidad de la tarjeta](mdis-reference-financial.md#mdis-reference-CC-expiration) | Información financiera | CREDIT\$1CARD\$1EXPIRATION | Sí | Cualquiera |
| [Datos de banda magnética de tarjetas de crédito](mdis-reference-financial.md#mdis-reference-CC-stripe) | Información financiera | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | Sí | Cualquiera |
| [Número de tarjeta de crédito](mdis-reference-financial.md#mdis-reference-CC-number) | Información financiera | CREDIT\$1CARD\$1NUMBER (para números de tarjetas de crédito próximos a una palabra clave), CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (para números de tarjetas de crédito que no estén cerca de una palabra clave) | Varía | Cualquiera |
| [Código de verificación de tarjeta de crédito](mdis-reference-financial.md#mdis-reference-CC-verification-code) | Información financiera | CREDIT\$1CARD\$1SECURITY\$1CODE | Sí | Cualquiera |
| [Número de identificación del permiso de conducir](mdis-reference-pii.md#mdis-reference-DL-num) | Información personal: PII | Según el país o región: AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | Sí | Australia, Austria, Bélgica, Bulgaria, Canadá, Croacia, Chipre, República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, India, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumanía, Eslovaquia, Eslovenia, España, Suecia, Reino Unido, Estados Unidos |
| [Número de registro de la Administración para el Control de Drogas (DEA)](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | Información personal: PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | Sí | EE. UU. |
| [Número de registro electoral](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | Información personal: PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | Sí | Reino Unido |
| [Nombre completo](mdis-reference-pii.md#mdis-reference-full-name) | Información personal: PII | NAME | No | Cualquiera, si el nombre utiliza un juego de caracteres latinos |
| [Coordenadas del sistema de posicionamiento global (GPS)](mdis-reference-pii.md#mdis-reference-GPS) | Información personal: PII | LATITUDE\$1LONGITUDE | Sí | Cualquiera, si las coordenadas están cerca de una palabra clave en inglés |
| [Clave de API de Google Cloud](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | Credenciales | GCP\$1API\$1KEY | Sí | Cualquiera |
| [Número de reclamación del seguro médico (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | Información personal: PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | Sí | EE. UU. |
| [Número de seguro médico o identificación médica](mdis-reference-phi.md#mdis-reference-HI-ID) | Información personal: PHI | Según el país o región: CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | Sí | Canadá, UE, Estados Unidos, Finlandia, Francia, Reino Unido |
| [Código del sistema de codificación de procedimientos comunes de atención médica (HCPCS)](mdis-reference-phi.md#mdis-reference-HCPCS) | Información personal: PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | Sí | EE. UU. |
| [Encabezado de autorización básica de HTTP](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | Credenciales | HTTP\$1BASIC\$1AUTH\$1HEADER | No | Cualquiera |
| [Cookie HTTP](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | Información personal: PII | HTTP\$1COOKIE | No | Cualquiera |
| [Número de cuenta bancaria internacional (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | Información financiera | Según el país o región: ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (para las Islas Vírgenes Británicas) | No | Albania, Andorra, Bosnia-Herzegovina, Brasil, Bulgaria, Costa Rica, Croacia, Chipre, República Checa, Dinamarca, República Dominicana, Egipto, Estonia, Islas Feroe, Finlandia, Francia, Georgia, Alemania, Grecia, Groenlandia, Hungría, Islandia, Irlanda, Italia, Jordania, Kosovo, Kosovo, Liechtenstein, Lituania, Malta, Mauritania, Mauricio, Mónaco, Montenegro, Países Bajos, Macedonia del Norte, Polonia, Portugal, San Marino, Senegal, Serbia, Eslovaquia, Eslovenia, España, Suecia, Suiza, Timor-Leste, Túnez, Türkiye, Reino Unido, Ucrania, Árabe Unido Emiratos, Islas Vírgenes Británicas |
| [Token web JSON (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | Credenciales | JSON\$1WEB\$1TOKEN | No | Cualquiera |
| [Dirección postal](mdis-reference-pii.md#mdis-reference-mailing-address) | Información personal: PII | ADDRESS, BRAZIL\$1CEP\$1CODE (para el Código de Endereçamento Postal de Brasil) | Varía | Alemania, Australia, Brasil, Canadá, Francia, Italia, España, Estados Unidos, Reino Unido |
| [Código nacional de medicamento (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | Información personal: PHI | USA\$1NATIONAL\$1DRUG\$1CODE | Sí | EE. UU. |
| [Número de identificación nacional](mdis-reference-pii.md#mdis-reference-national-id) | Información personal: PII | Según el país o región: ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | Sí | Argentina, Brasil, Chile, Colombia, Francia, Alemania, India, Italia, México, España |
| [Número de seguro nacional (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | Información personal: PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | Sí | Reino Unido |
| [Identificador nacional de proveedor (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | Información personal: PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | Sí | EE. UU. |
| [Clave privada de OpenSSH](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | Credenciales | OPENSSH\$1PRIVATE\$1KEY | No | Cualquiera |
| [Número de pasaporte](mdis-reference-pii.md#mdis-reference-passport-num) | Información personal: PII | Según el país o región: CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | Sí | Alemania, Canadá, España, Estados Unidos, Francia, Italia, Reino Unido |
| [Número de residencia permanente](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | Información personal: PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | Sí | Canadá |
| [Clave privada de PGP](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | Credenciales | PGP\$1PRIVATE\$1KEY | No | Cualquiera |
| [Número de teléfono](mdis-reference-pii.md#mdis-reference-phone-num) | Información personal: PII | Según el país o región: BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | Varía | Alemania, Brasil, Canadá, España, Estados Unidos, Francia, Italia, Reino Unido |
| [Clave privada del estándar de criptografía de clave pública (PKCS)](mdis-reference-credentials.md#mdis-reference-PKCS) | Credenciales | PKCS | No | Cualquiera |
| [Número de tarjeta de transporte público](mdis-reference-pii.md#mdis-reference-public-transport-num) | Información personal: PII | ARGENTINA\$1TARJETA\$1SUBE | Sí | Argentina |
| [Clave privada PuTTY](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | Credenciales | PUTTY\$1PRIVATE\$1KEY | No | Cualquiera |
| [Número de Seguro Social (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | Información personal: PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | Sí | Canadá |
| [Número de la Seguridad Social (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | Información personal: PII | Según el país o región: SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | Sí | España, Estados Unidos |
| [Clave de API de Stripe](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | Credenciales | STRIPE\$1CREDENTIALS | No | Cualquiera |
| [Número de identificación o referencia del contribuyente](mdis-reference-pii.md#mdis-reference-taxpayer-num) | Información personal: PII | Según el país o región: ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | Sí | Argentina, Australia, Brasil, Chile, Colombia, Francia, Alemania, India, Italia, México, España, Reino Unido, EE. UU. |
| [Identificador de dispositivo único (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | Información personal: PHI | MEDICAL\$1DEVICE\$1UDI | Sí | EE. UU. |
| [Número de identificación de vehículo (VIN)](mdis-reference-pii.md#mdis-reference-vin) | Información personal: PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | Sí | Cualquiera, si el VIN está cerca de una palabra clave en uno de los siguientes idiomas: inglés, francés, alemán, lituano, polaco, portugués, rumano o español |
# Referencia detallada: identificadores de datos administrados por categoría
En Amazon Macie, *los identificadores de datos administrados* son criterios y técnicas integradas diseñados para detectar tipos específicos de datos confidenciales. Pueden detectar una lista grande y creciente de tipos de datos confidenciales para muchos países y regiones, incluyendo múltiples tipos de datos de credenciales, información financiera e información personal. Cada identificador de datos administrado está diseñado para detectar un tipo específico de datos confidenciales, como por ejemplo, AWS clave de acceso secreta, números de tarjetas de crédito, claves de acceso secretas, números de tarjetas de crédito o de pasaporte de un país o región en particular.
Macie puede detectar las siguientes categorías de datos confidenciales mediante identificadores de datos administrados. Dentro de cada categoría, Macie puede detectar varios tipos de datos confidenciales. Los temas de esta sección enumeran y describen cada tipo y cualquier requisito relevante para detectar los datos. Puede examinar los temas por categoría:
+ [Credenciales](mdis-reference-credentials.md): para datos de credenciales, como claves privadas y claves de acceso AWS secretas.
+ [Información financiera](mdis-reference-financial.md): para datos financieros como números de tarjetas de crédito y números de cuentas bancarias.
+ [Información personal: PHI](mdis-reference-phi.md): para información de salud personal (PHI), como números de seguro médico e identificación médica.
+ [Información personal: PII](mdis-reference-pii.md): para información de identificación personal (PII), como los números de identificación del carné de conducir y los números de pasaporte.
O elija un tipo específico de datos confidenciales de la siguiente tabla. En la tabla se enumeran todos los identificadores de datos administrados que Macie proporciona actualmente, organizados por tipo de datos confidenciales. La tabla también resume los requisitos relevantes para detectar cada tipo.
| Tipos de datos confidenciales | Categoría de datos confidenciales | Identificador de datos administrados | Palabra clave necesaria | Países y regiones |
| --- | --- | --- | --- | --- |
| [AWS clave de acceso secreta](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | Credenciales | AWS\$1CREDENTIALS | Sí | Cualquiera |
| [Número de cuenta bancaria](mdis-reference-financial.md#mdis-reference-BAN) | Información financiera | BANK\$1ACCOUNT\$1NUMBER (tanto para Canadá como para EE. UU.) | Sí | Canadá, EE. UU. |
| [Número de cuenta bancaria básico (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | Información financiera | Según el país o región: FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | Sí | Alemania, España, Francia, Italia, Reino Unido |
| [Fecha de nacimiento](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | Información personal: PII | DATE\$1OF\$1BIRTH | Sí | Cualquiera |
| [Fecha de caducidad de la tarjeta](mdis-reference-financial.md#mdis-reference-CC-expiration) | Información financiera | CREDIT\$1CARD\$1EXPIRATION | Sí | Cualquiera |
| [Datos de banda magnética de tarjetas de crédito](mdis-reference-financial.md#mdis-reference-CC-stripe) | Información financiera | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | Sí | Cualquiera |
| [Número de tarjeta de crédito](mdis-reference-financial.md#mdis-reference-CC-number) | Información financiera | CREDIT\$1CARD\$1NUMBER (para números de tarjetas de crédito próximos a una palabra clave), CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (para números de tarjetas de crédito que no estén cerca de una palabra clave) | Varía | Cualquiera |
| [Código de verificación de tarjeta de crédito](mdis-reference-financial.md#mdis-reference-CC-verification-code) | Información financiera | CREDIT\$1CARD\$1SECURITY\$1CODE | Sí | Cualquiera |
| [Número de identificación del permiso de conducir](mdis-reference-pii.md#mdis-reference-DL-num) | Información personal: PII | Según el país o región: AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | Sí | Australia, Austria, Bélgica, Bulgaria, Canadá, Croacia, Chipre, República Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, India, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumanía, Eslovaquia, Eslovenia, España, Suecia, Reino Unido, Estados Unidos |
| [Número de registro de la Administración para el Control de Drogas (DEA)](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | Información personal: PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | Sí | EE. UU. |
| [Número de registro electoral](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | Información personal: PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | Sí | Reino Unido |
| [Nombre completo](mdis-reference-pii.md#mdis-reference-full-name) | Información personal: PII | NAME | No | Cualquiera, si el nombre utiliza un juego de caracteres latinos |
| [Coordenadas del sistema de posicionamiento global (GPS)](mdis-reference-pii.md#mdis-reference-GPS) | Información personal: PII | LATITUDE\$1LONGITUDE | Sí | Cualquiera, si las coordenadas están cerca de una palabra clave en inglés |
| [Clave de API de Google Cloud](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | Credenciales | GCP\$1API\$1KEY | Sí | Cualquiera |
| [Número de reclamación del seguro médico (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | Información personal: PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | Sí | EE. UU. |
| [Número de seguro médico o identificación médica](mdis-reference-phi.md#mdis-reference-HI-ID) | Información personal: PHI | Según el país o región: CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | Sí | Canadá, UE, Estados Unidos, Finlandia, Francia, Reino Unido |
| [Código del sistema de codificación de procedimientos comunes de atención médica (HCPCS)](mdis-reference-phi.md#mdis-reference-HCPCS) | Información personal: PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | Sí | EE. UU. |
| [Encabezado de autorización básica de HTTP](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | Credenciales | HTTP\$1BASIC\$1AUTH\$1HEADER | No | Cualquiera |
| [Cookie HTTP](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | Información personal: PII | HTTP\$1COOKIE | No | Cualquiera |
| [Número de cuenta bancaria internacional (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | Información financiera | Según el país o región: ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (para las Islas Vírgenes Británicas) | No | Albania, Andorra, Bosnia-Herzegovina, Brasil, Bulgaria, Costa Rica, Croacia, Chipre, República Checa, Dinamarca, República Dominicana, Egipto, Estonia, Islas Feroe, Finlandia, Francia, Georgia, Alemania, Grecia, Groenlandia, Hungría, Islandia, Irlanda, Italia, Jordania, Kosovo, Kosovo, Liechtenstein, Lituania, Malta, Mauritania, Mauricio, Mónaco, Montenegro, Países Bajos, Macedonia del Norte, Polonia, Portugal, San Marino, Senegal, Serbia, Eslovaquia, Eslovenia, España, Suecia, Suiza, Timor-Leste, Túnez, Türkiye, Reino Unido, Ucrania, Árabe Unido Emiratos, Islas Vírgenes Británicas |
| [Token web JSON (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | Credenciales | JSON\$1WEB\$1TOKEN | No | Cualquiera |
| [Dirección postal](mdis-reference-pii.md#mdis-reference-mailing-address) | Información personal: PII | ADDRESS, BRAZIL\$1CEP\$1CODE (para el Código de Endereçamento Postal de Brasil) | Varía | Alemania, Australia, Brasil, Canadá, Francia, Italia, España, Estados Unidos, Reino Unido |
| [Código nacional de medicamento (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | Información personal: PHI | USA\$1NATIONAL\$1DRUG\$1CODE | Sí | EE. UU. |
| [Número de identificación nacional](mdis-reference-pii.md#mdis-reference-national-id) | Información personal: PII | Según el país o región: ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | Sí | Argentina, Brasil, Chile, Colombia, Francia, Alemania, India, Italia, México, España |
| [Número de seguro nacional (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | Información personal: PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | Sí | Reino Unido |
| [Identificador nacional de proveedor (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | Información personal: PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | Sí | EE. UU. |
| [Clave privada de OpenSSH](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | Credenciales | OPENSSH\$1PRIVATE\$1KEY | No | Cualquiera |
| [Número de pasaporte](mdis-reference-pii.md#mdis-reference-passport-num) | Información personal: PII | Según el país o región: CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | Sí | Alemania, Canadá, España, Estados Unidos, Francia, Italia, Reino Unido |
| [Número de residencia permanente](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | Información personal: PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | Sí | Canadá |
| [Clave privada de PGP](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | Credenciales | PGP\$1PRIVATE\$1KEY | No | Cualquiera |
| [Número de teléfono](mdis-reference-pii.md#mdis-reference-phone-num) | Información personal: PII | Según el país o región: BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | Varía | Alemania, Brasil, Canadá, España, Estados Unidos, Francia, Italia, Reino Unido |
| [Clave privada del estándar de criptografía de clave pública (PKCS)](mdis-reference-credentials.md#mdis-reference-PKCS) | Credenciales | PKCS | No | Cualquiera |
| [Número de tarjeta de transporte público](mdis-reference-pii.md#mdis-reference-public-transport-num) | Información personal: PII | ARGENTINA\$1TARJETA\$1SUBE | Sí | Argentina |
| [Clave privada PuTTY](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | Credenciales | PUTTY\$1PRIVATE\$1KEY | No | Cualquiera |
| [Número de Seguro Social (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | Información personal: PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | Sí | Canadá |
| [Número de la Seguridad Social (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | Información personal: PII | Según el país o región: SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | Sí | España, Estados Unidos |
| [Clave de API de Stripe](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | Credenciales | STRIPE\$1CREDENTIALS | No | Cualquiera |
| [Número de identificación o referencia del contribuyente](mdis-reference-pii.md#mdis-reference-taxpayer-num) | Información personal: PII | Según el país o región: ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | Sí | Argentina, Australia, Brasil, Chile, Colombia, Francia, Alemania, India, Italia, México, España, Reino Unido, EE. UU. |
| [Identificador de dispositivo único (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | Información personal: PHI | MEDICAL\$1DEVICE\$1UDI | Sí | EE. UU. |
| [Número de identificación de vehículo (VIN)](mdis-reference-pii.md#mdis-reference-vin) | Información personal: PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | Sí | Cualquiera, si el VIN está cerca de una palabra clave en uno de los siguientes idiomas: inglés, francés, alemán, lituano, polaco, portugués, rumano o español |
# Identificadores de datos administrados para datos de credenciales
Amazon Macie puede detectar distintos tipos de datos de credenciales confidenciales mediante identificadores de datos administrados. Los temas de esta página especifican cada tipo y proporcionan información sobre el identificador de datos administrados que está diseñado para detectar los datos. Cada tema proporciona la siguiente información:
+ **ID de datos administrados**: especifica el identificador único (ID) del identificador de datos administrados que está diseñado para detectar los datos. Al [crear una tarea de detección de datos confidenciales](discovery-jobs-create.md) o [configurar los ajustes de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md), puede usar este ID para especificar si desea que Macie utilice el identificador de datos administrados cuando analice los datos.
+ **Países y regiones compatibles**: indica para qué países o regiones está diseñado el identificador de datos administrados aplicable. Si el identificador de datos gestionados no está diseñado para un país o región en particular, este valor es *Cualquiera*.
+ **Palabra clave obligatoria**: especifica si la detección requiere que una palabra clave esté cerca de los datos. Si se requiere una palabra clave, el tema también proporciona ejemplos de palabras clave obligatorias. Para obtener información sobre cómo Macie utiliza las palabras clave cuando analiza los datos, consulte[Requisitos de palabras clave](managed-data-identifiers-keywords.md).
+ **Comentarios**: proporciona todos los detalles relevantes que puedan afectar a la elección del identificador de datos gestionados o a la investigación de los informes de casos de datos confidenciales. Los detalles incluyen información como los estándares admitidos, los requisitos de sintaxis y las excepciones.
Los temas se enumeran en orden alfabético por tipo de datos confidenciales.
**Topics**
+ [AWS clave de acceso secreta](#mdis-reference-AWS-CREDENTIALS)
+ [Clave de API de Google Cloud](#mdis-reference-GCP-API-key)
+ [Encabezado de autorización básica de HTTP](#mdis-reference-HTTP_BASIC_AUTH_HEADER)
+ [Token web JSON (JWT)](#mdis-reference-JSON_WEB_TOKEN)
+ [Clave privada de OpenSSH](#mdis-reference-OPENSSH_PRIVATE_KEY)
+ [Clave privada de PGP](#mdis-reference-PGP_PRIVATE_KEY)
+ [Clave privada del estándar de criptografía de clave pública (PKCS)](#mdis-reference-PKCS)
+ [Clave privada PuTTY](#mdis-reference-PUTTY_PRIVATE_KEY)
+ [Clave de API de Stripe](#mdis-reference-Stripe_API_key)
## AWS clave de acceso secreta
**ID del Identificador de datos administrados:**AWS\$1CREDENTIALS
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *aws\$1secret\$1access\$1key, credentials, secret access key, secret key, set-awscredential*
**Comentarios:** Macie no informa de la aparición de las siguientes secuencias de caracteres, que se utilizan comúnmente como ejemplos ficticios: `je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY` y `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
## Clave de API de Google Cloud
**ID del Identificador de datos administrados:** GCP\$1API\$1KEY
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *G\$1PLACES\$1KEY, GCP api key, GCP key, google cloud key, google-api-key, google-cloud-apikeys, GOOGLEKEY, X-goog-api-key*
**Comentarios:** Macie solo puede detectar el componente de cadena (`keyString`) de una clave de API de Google Cloud. El soporte no incluye la detección del componente de ID o nombre para mostrar de una clave de API de Google Cloud.
## Encabezado de autorización básica de HTTP
**ID del Identificador de datos administrados:** HTTP\$1BASIC\$1AUTH\$1HEADER
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** la detección requiere un encabezado completo, que incluya el nombre del campo y la directiva del esquema de autenticación, tal como se especifica en el [RFC 7617](https://tools.ietf.org/html/rfc7617). Por ejemplo: `Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==` y `Proxy-Authorization: Basic dGVzdDoxMjPCow==`.
## Token web JSON (JWT)
**ID del Identificador de datos administrados:** JSON\$1WEB\$1TOKEN
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** Macie puede detectar los tokens web JSON (JWTs) que cumplen con los requisitos especificados en el [RFC 7519](https://tools.ietf.org/html/rfc7519) para las estructuras de firma web JSON (JWS). Los tokens pueden estar firmados o no firmados.
## Clave privada de OpenSSH
**ID del Identificador de datos administrados:** OPENSSH\$1PRIVATE\$1KEY
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** ninguno
## Clave privada de PGP
**ID del Identificador de datos administrados:** PGP\$1PRIVATE\$1KEY
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** ninguno
## Clave privada del estándar de criptografía de clave pública (PKCS)
**ID del Identificador de datos administrados:** PKCS
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** ninguno
## Clave privada PuTTY
**ID del Identificador de datos administrados:** PUTTY\$1PRIVATE\$1KEY
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** Macie puede detectar claves privadas PuTTY que utilicen los siguientes encabezados y secuencias de encabezados estándares: `PuTTY-User-Key-File`, `Encryption`, `Comment`, `Public-Lines`, `Private-Lines` y `Private-MAC`. Los valores de los encabezados pueden contener caracteres alfanuméricos, guiones (`‐`) y caracteres de nueva línea (`\n` o `\r`). Los valores `Public-Lines` y `Private-Lines` también pueden contener barras diagonales (`/`), signos de más (`+`) y signos de igual (`=`). Los valores `Private-MAC` también pueden contener signos de más (`+`). La compatibilidad no incluye la detección de claves privadas con valores de encabezado que contengan otros caracteres, como espacios o guiones bajos (`_`). La compatibilidad tampoco incluye la detección de claves privadas que incluyan encabezados personalizados.
## Clave de API de Stripe
**ID del Identificador de datos administrados:** STRIPE\$1CREDENTIALS
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** Macie no informa de la aparición de las siguientes secuencias de caracteres, que se utilizan comúnmente como ejemplos ficticios: `sk_test_4eC39HqLyjWDarjtT1zdp7dc` y `pk_test_TYooMQauvdEDq54NiTphI7jx`.
# Identificadores de datos administrados para información financiera
Obtenga información sobre los tipos de información financiera que Amazon Macie puede detectar mediante identificadores de datos administrados. Los temas de esta página enumeran cada tipo y proporcionan información sobre los identificadores de datos administrados que están diseñados para detectar los datos. Cada tema proporciona la siguiente información.
+ **ID de identificador datos administrados**: especifica el identificador único (ID) para uno o más identificadores de datos administrados que están diseñados para detectar los datos. Al [crear un trabajo de descubrimiento de datos confidenciales](discovery-jobs-create.md) o [configurar los ajustes para el descubrimiento automatizado de datos confidenciales](discovery-asdd-account-configure.md), puede usarlos IDs para especificar qué identificadores de datos gestionados quiere que Macie utilice cuando analice los datos.
+ **Países y regiones compatibles**: indica para qué países y regiones están diseñados los identificadores de datos gestionados aplicables. Si los identificadores de datos administrados no están diseñados para un país o región en particular, este valor es *Cualquiera*.
+ **Palabra clave obligatoria**: especifica si la detección requiere que una palabra clave esté cerca de los datos. Si se requiere una palabra clave, el tema también proporciona ejemplos de palabras clave obligatorias. Para obtener información sobre cómo Macie utiliza las palabras clave cuando analiza los datos, consulte[Requisitos de palabras clave](managed-data-identifiers-keywords.md).
+ **Comentarios**: proporciona todos los detalles relevantes que puedan afectar a la elección del identificador de datos gestionados o a la investigación de los informes de casos de datos confidenciales. Los detalles incluyen información como los estándares admitidos, los requisitos de sintaxis y las excepciones.
Los temas se enumeran en orden alfabético por tipo de datos confidenciales.
**Topics**
+ [Número de cuenta bancaria](#mdis-reference-BAN)
+ [Número de cuenta bancaria básico (BBAN)](#mdis-reference-BBAN)
+ [Fecha de caducidad de la tarjeta](#mdis-reference-CC-expiration)
+ [Datos de banda magnética de tarjetas de crédito](#mdis-reference-CC-stripe)
+ [Número de tarjeta de crédito](#mdis-reference-CC-number)
+ [Código de verificación de tarjeta de crédito](#mdis-reference-CC-verification-code)
+ [Número de cuenta bancaria internacional (IBAN)](#mdis-reference-IBAN)
## Número de cuenta bancaria
Macie puede detectar números de cuentas bancarias canadienses y estadounidenses que consten de secuencias de 9 a 17 dígitos y no contengan espacios.
**ID del Identificador de datos administrados:**BANK\$1ACCOUNT\$1NUMBER
**Regiones y países admitidos:** Canadá y EE. UU.
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *bank account, bank acct, checking account, checking acct, deposit account, deposit acct, savings account, savings acct, chequing account, chequing acct*
**Comentarios:** este identificador de datos gestionados está diseñado explícitamente para detectar los números de cuentas bancarias de Canadá y EE. UU. Estos países no utilizan los formatos de número de cuenta bancaria básico (BBAN) o número de cuenta bancaria internacional (IBAN) definidos por la norma internacional ISO para la numeración de cuentas bancarias, tal como se especifica en la [norma ISO 13616](https://www.iso.org/standard/81090.html). Para detectar los números de cuentas bancarias de otros países y regiones, utilice los identificadores de datos gestionados diseñados para esos formatos. Para obtener más información, consulte [Número de cuenta bancaria básico (BBAN)](#mdis-reference-BBAN) y [Número de cuenta bancaria internacional (IBAN)](#mdis-reference-IBAN).
## Número de cuenta bancaria básico (BBAN)
[Macie puede detectar números de cuentas bancarias básicos (BBANs) que se ajustan a la estructura BBAN definida en la norma internacional ISO para la numeración de cuentas bancarias, tal como se especifica en la norma ISO 13616.](https://www.iso.org/standard/81090.html) Esto incluye los BBANs que no contienen espacios o que utilizan separadores de espacios o guiones, por ejemplo,, y. `NWBK60161331926819` `NWBK 6016 1331 9268 19` `NWBK-6016-1331-9268-19`
**ID identificador de datos gestionados:** según el país o la región, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER
**Países y regiones compatibles:** Francia, Alemania, Italia, España y Reino Unido
**Palabra clave necesaria:** Sí. En la siguiente tabla se enumeran las palabras clave que Macie reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Francia | account code, account number, accountno\$1, accountnumber\$1, bban, code bancaire, compte bancaire, customer account id, customer account number, customer bank account id, iban, numéro de compte |
| Alemania | account code, account number, accountno\$1, accountnumber\$1, bankleitzahl, bban, customer account id, customer account number, customer bank account id, geheimzahl, iban, kartennummer, kontonummer, kreditkartennummer, sepa |
| Italia | account code, account number, accountno\$1, accountnumber\$1, bban, codice bancario, conto bancario, customer account id, customer account number, customer bank account id, iban, numero di conto |
| España | account code, account number, accountno\$1, accountnumber\$1, bban, código cuenta, código cuenta bancaria, cuenta cliente id, customer account ID, customer account number, customer bank account id, iban, número cuenta bancaria cliente, número cuenta cliente |
| UK | account code, account number, accountno\$1, accountnumber\$1, bban, customer account id, customer account number, customer bank account id, iban, sepa |
**Comentarios:** Estos identificadores de datos gestionados también pueden detectar números de cuentas bancarias internacionales (IBANs) que cumplen con la norma ISO 13616. Para obtener más información, consulte [Número de cuenta bancaria internacional (IBAN)](#mdis-reference-IBAN). El identificador de datos gestionados del Reino Unido (UK\$1BANK\$1ACCOUNT\$1NUMBER) también puede detectar los números de cuentas bancarias nacionales del Reino Unido, por ejemplo, `60-16-13 31926819`.
## Fecha de caducidad de la tarjeta
**ID del Identificador de datos administrados:**CREDIT\$1CARD\$1EXPIRATION
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *exp d, exp m, exp y, expiration, expiry*
**Comentarios:** Admite la mayoría de formatos de fecha, como todos los dígitos y combinaciones de dígitos y nombres de meses. Los componentes de fecha se pueden separar mediante barras (/) o guiones (‐) o palabras clave aplicables. Por ejemplo, Macie puede detectar fechas como `02/26`, `02/2026`, `Feb 2026`, `26-Feb` y `expY=2026, expM=02`.
## Datos de banda magnética de tarjetas de crédito
**ID del Identificador de datos administrados:**CREDIT\$1CARD\$1MAGNETIC\$1STRIPE
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *card data, iso7813, mag, magstripe, stripe, swipe*
**Comentarios:** la compatibilidad incluye las pistas 1 y 2.
## Número de tarjeta de crédito
**ID del identificador de datos gestionados:** CREDIT\$1CARD\$1NUMBER para números de tarjetas de crédito próximos a una palabra clave, CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) para números de tarjetas de crédito que no están próximos a una palabra clave
**Regiones y países admitidos:** cualquiera
**Palabra clave necesaria:** varía No se requieren palabras clave para el CREDIT\$1CARD\$1NUMBER de datos administrados. Las palabras clave incluyen: *account number, american express, amex, bank card, c card, card, cc \$1, ccn, check card, cred card, credit, credit card, credit cards, credit no, credit num, dankort, debit, debit card, debit no, debit num, diners club, discover, electron, japanese card bureau, jcb, mastercard, mc, pan, payment account number, payment card number, pcn, pmnt \$1, pmnt card, pmnt no, pmnt number, union pay, visa*. No se requieren palabras clave para el CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) de datos administrados.
**Comentarios:** La detección requiere que los datos sean una secuencia de 13 a 19 dígitos que siga la fórmula de cheques de Luhn y utilice un prefijo de número de tarjeta estándar para cualquiera de los siguientes tipos de tarjetas de crédito: American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB) UnionPay, Mastercard y Visa.
Macie no informa de la aparición de las siguientes secuencias, que los emisores de tarjetas de crédito se reservan para las pruebas públicas: `122000000000003`, `2222405343248877`, `2222990905257051`, `2223007648726984`, `2223577120017656`, `30569309025904`, `34343434343434`, `3528000700000000`, `3530111333300000`, `3566002020360505`, `36148900647913`, `36700102000000`, `371449635398431`, `378282246310005`, `378734493671000`, `38520000023237`, `4012888888881881`, `4111111111111111`, `4222222222222`, `4444333322221111`, `4462030000000000`, `4484070000000000`, `4911830000000`, `4917300800000000`, `4917610000000000`, `4917610000000000003`, `5019717010103742`, `5105105105105100`, `5111010030175156`, `5185540810000019`, `5200828282828210`, `5204230080000017`, `5204740009900014`, `5420923878724339`, `5454545454545454`, `5455330760000018`, `5506900490000436`, `5506900490000444`, `5506900510000234`, `5506920809243667`, `5506922400634930`, `5506927427317625`, `5553042241984105`, `5555553753048194`, `5555555555554444`, `5610591081018250`, `6011000990139424`, `6011000400000000`, `6011111111111117`, `630490017740292441`, `630495060000000000`, `6331101999990016`, `6759649826438453`, `6799990100000000019` y `76009244561`.
## Código de verificación de tarjeta de crédito
**ID del Identificador de datos administrados:**CREDIT\$1CARD\$1SECURITY\$1CODE
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *card id, card identification code, card identification number, card security code, card validation code, card validation number, card verification data, card verification value, cvc, cvc2, cvv, cvv2, elo verification code*
**Comentarios:** ninguno
## Número de cuenta bancaria internacional (IBAN)
Macie puede detectar números de cuentas bancarias internacionales (IBANs) que constan de hasta 34 caracteres alfanuméricos, incluidos elementos como el código de país. [Más específicamente, Macie puede detectar si IBANs cumplen con la norma internacional ISO para numerar cuentas bancarias, tal como se especifica en la norma ISO 13616.](https://www.iso.org/standard/81090.html) Esto incluye los IBANs que no contienen espacios o que utilizan separadores de espacios o guiones, por ejemplo,, y. `GB29NWBK60161331926819` `GB29 NWBK 6016 1331 9268 19` `GB29-NWBK-6016-1331-9268-19` La detección incluye comprobaciones de validación basadas en el esquema Modulus 97.
**ID de identificador de datos gestionados:** según el país o la región ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (en el caso de las Islas Vírgenes Británicas)
**Países y regiones compatibles:** Albania, Andorra, Bosnia-Herzegovina, Brasil, Bulgaria, Costa Rica, Croacia, Chipre, República Checa, Dinamarca, República Dominicana, Egipto, Estonia, Islas Feroe, Finlandia, Francia, Georgia, Alemania, Grecia, Groenlandia, Hungría, Islandia, Irlanda, Italia, Jordania, Kosovo, Kosovo, Liechtenstein, Lituania, Malta, Mauritania, Mauricio, Mónaco, Montenegro, Países Bajos, Macedonia del Norte, Polonia, Portugal, San Marino, Senegal, Serbia, Eslovaquia, Eslovenia, España, Suecia, Suiza, Timor-Leste, Túnez, Türkiye, Reino Unido, Ucrania, Árabe Unido Emiratos, Islas Vírgenes Británicas
**Palabra clave necesaria:** No
**Comentarios:** Los identificadores de datos gestionados de Francia, Alemania, Italia, España y el Reino Unido también pueden detectar números de cuentas bancarias básicos (BBANs) que se ajustan a la estructura BBAN definida por la norma ISO 13616, si la secuencia de caracteres está cerca de una palabra clave. Para obtener más información, consulte [Número de cuenta bancaria básico (BBAN)](#mdis-reference-BBAN).
# Identificadores de datos administrados de PHI
Amazon Macie puede detectar distintos tipos de información médica personal (PHI) confidencial mediante identificadores de datos administrados. Los temas de esta página especifican cada tipo y proporcionan información sobre el identificador de datos administrados que está diseñado para detectar los datos. Cada tema proporciona la siguiente información:
+ **ID de datos administrados**: especifica el identificador único (ID) del identificador de datos administrados que está diseñado para detectar los datos. Al [crear una tarea de detección de datos confidenciales](discovery-jobs-create.md) o [configurar los ajustes de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md), puede usar este ID para especificar si desea que Macie utilice el identificador de datos administrados cuando analice los datos.
+ **Países y regiones compatibles**: indica para qué países o regiones está diseñado el identificador de datos administrados aplicable. Si el identificador de datos gestionados no está diseñado para un país o región en particular, este valor es *Cualquiera*.
+ **Palabra clave obligatoria**: especifica si la detección requiere que una palabra clave esté cerca de los datos. Si se requiere una palabra clave, el tema también proporciona ejemplos de palabras clave obligatorias. Para obtener información sobre cómo Macie utiliza las palabras clave cuando analiza los datos, consulte[Requisitos de palabras clave](managed-data-identifiers-keywords.md).
+ **Comentarios**: proporciona todos los detalles relevantes que puedan afectar a la elección del identificador de datos gestionados o a la investigación de los informes de casos de datos confidenciales. Los detalles incluyen información como los estándares admitidos, los requisitos de sintaxis y las excepciones.
Los temas se enumeran en orden alfabético por tipo de datos confidenciales.
**Topics**
+ [Número de registro de la Administración para el Control de Drogas (DEA)](#mdis-reference-DEA-registration-num)
+ [Número de reclamación del seguro médico (HICN)](#mdis-reference-HICN)
+ [Número de seguro médico o identificación médica](#mdis-reference-HI-ID)
+ [Código del sistema de codificación de procedimientos comunes de atención médica (HCPCS)](#mdis-reference-HCPCS)
+ [Código nacional de medicamento (NDC)](#mdis-reference-NDC)
+ [Identificador nacional de proveedor (NPI)](#mdis-reference-NPI)
+ [Identificador de dispositivo único (UDI)](#mdis-reference-UDI)
## Número de registro de la Administración para el Control de Drogas (DEA)
**Identificador de datos administrados:** US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER
**Regiones y países admitidos:** EE. UU.
**Se requiere palabra clave:** Sí. Las palabras clave incluyen: *dea number, dea registration*
**Comentarios:** ninguno
## Número de reclamación del seguro médico (HICN)
**Identificador de datos administrados:** USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER
**Regiones y países admitidos:** EE. UU.
**Se requiere palabra clave:** Sí. Las palabras clave incluyen: *health insurance claim number, hic no, hic no., hic number, hic\$1, hicn, hicn\$1., hicno\$1*
**Comentarios:** ninguno
## Número de seguro médico o identificación médica
El soporte incluye números de tarjetas de seguro médico europeas para la UE y Finlandia, números de seguro médico para Francia, identificadores de beneficiarios de Medicare para los EE. UU., números del NS para el Reino Unido y de médicos personales para Canadá.
**ID identificador de datos gestionados:** según el país o la región, CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER
**Países y regiones compatibles:** Canadá, UE, Finlandia, Francia, Reino Unido y EE. UU.
**Se requiere palabra clave:** Sí. En la siguiente tabla se enumeran las palabras clave que Macie reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Canadá | canada healthcare number, msp number, personal healthcare number, phn, soins de santé |
| UE | assicurazione sanitaria numero, carta assicurazione numero, carte d’assurance maladie, carte européenne d'assurance maladie, ceam, ehic, ehic\$1, finlandehicnumber\$1, gesundheitskarte, hälsokort, health card, health card number, health insurance card, health insurance number, insurance card number, krankenversicherungskarte, krankenversicherungsnummer, medical account number, numero conto medico, numéro d’assurance maladie, numéro de carte d’assurance, numéro de compte medical, número de cuenta médica, número de seguro de salud, número de tarjeta de seguro, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomi ehic-numero, tarjeta de salud, terveyskortti, tessera sanitaria assicurazione numero, versicherungsnummer |
| Finlandia | ehic, ehic\$1, finland health insurance card, finlandehicnumber\$1, finska sjukförsäkringskort, hälsokort, health card, health card number, health insurance card, health insurance number, sairaanhoitokortin, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomen sairausvakuutuskortti, suomi ehic-numero, terveyskortti |
| Francia | carte d'assuré social, carte vitale, insurance card |
| UK | national health service, NHS |
| EE. UU. | mbi, medicare beneficiary |
**Comentarios:** ninguno
## Código del sistema de codificación de procedimientos comunes de atención médica (HCPCS)
**Identificador de datos administrados:** USA\$1HEALTHCARE\$1PROCEDURE\$1CODE
**Regiones y países admitidos:** EE. UU.
**Se requiere palabra clave:** Sí. Las palabras clave incluyen: *current procedural terminology, hcpcs, healthcare common procedure coding system*
**Comentarios:** ninguno
## Código nacional de medicamento (NDC)
**Identificador de datos administrados:** USA\$1NATIONAL\$1DRUG\$1CODE
**Regiones y países admitidos:** EE. UU.
**Se requiere palabra clave:** Sí. Las palabras clave incluyen: *national drug code, ndc*
**Comentarios:** ninguno
## Identificador nacional de proveedor (NPI)
**Identificador de datos administrados:** USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER
**Regiones y países admitidos:** EE. UU.
**Se requiere palabra clave:** Sí. Las palabras clave incluyen: *hipaa, n.p.i, national provider, npi*
**Comentarios:** ninguno
## Identificador de dispositivo único (UDI)
**Identificador de datos administrados:** MEDICAL\$1DEVICE\$1UDI
**Regiones y países admitidos:** EE. UU.
**Se requiere palabra clave:** Sí. Las palabras clave incluyen: *blood, blood bag, dev id, device id, device identifier, gs1, hibcc, iccbba, med, udi, unique device id, unique device identifier*
**Comentarios:** Macie puede detectar identificadores de dispositivos únicos (UDIs) que cumplen con los formatos aprobados por la Administración de Alimentos y Medicamentos de los EE. UU. Esto incluye los formatos estándar definidos por GS1 HIBCC e ICCBBA. El soporte ICCBA es para el estándar ISBT.
# Identificadores de datos administrados de PII
Amazon Macie puede detectar varios tipos de información de identificación personal (PII) e información confidencial mediante identificadores de datos administrados. Los temas de esta página enumeran cada tipo y proporcionan información sobre los identificadores de datos administrados que están diseñados para detectar los datos. Cada tema proporciona la siguiente información.
+ **ID de identificador datos administrados**: especifica el identificador único (ID) para uno o más identificadores de datos administrados que están diseñados para detectar los datos. Al [crear un trabajo de descubrimiento de datos confidenciales](discovery-jobs-create.md) o [configurar los ajustes para el descubrimiento automatizado de datos confidenciales](discovery-asdd-account-configure.md), puede usarlos IDs para especificar qué identificadores de datos gestionados quiere que Macie utilice cuando analice los datos.
+ **Países y regiones compatibles**: indica para qué países y regiones están diseñados los identificadores de datos gestionados aplicables. Si los identificadores de datos administrados no están diseñados para un país o región en particular, este valor es *Cualquiera*.
+ **Palabra clave obligatoria**: especifica si la detección requiere que una palabra clave esté cerca de los datos. Si se requiere una palabra clave, el tema también proporciona ejemplos de palabras clave obligatorias. Para obtener información sobre cómo Macie utiliza las palabras clave cuando analiza los datos, consulte[Requisitos de palabras clave](managed-data-identifiers-keywords.md).
+ **Comentarios**: proporciona todos los detalles relevantes que puedan afectar a la elección del identificador de datos gestionados o a la investigación de los informes de casos de datos confidenciales. Los detalles incluyen información como los estándares admitidos, los requisitos de sintaxis y las excepciones.
Los temas se enumeran en orden alfabético por tipo de datos confidenciales.
**Topics**
+ [Fecha de nacimiento](#mdis-reference-DATE_OF_BIRTH)
+ [Número de identificación del permiso de conducir](#mdis-reference-DL-num)
+ [Número de registro electoral](#mdis-reference-electoral-roll-num)
+ [Nombre completo](#mdis-reference-full-name)
+ [Coordenadas del sistema de posicionamiento global (GPS)](#mdis-reference-GPS)
+ [Cookie HTTP](#mdis-reference-HTTP_COOKIE)
+ [Dirección postal](#mdis-reference-mailing-address)
+ [Número de identificación nacional](#mdis-reference-national-id)
+ [Número de seguro nacional (NINO)](#mdis-reference-NINO)
+ [Número de pasaporte](#mdis-reference-passport-num)
+ [Número de residencia permanente](#mdis-reference-permanent-residence-num)
+ [Número de teléfono](#mdis-reference-phone-num)
+ [Número de tarjeta de transporte público](#mdis-reference-public-transport-num)
+ [Número de Seguro Social (SIN)](#mdis-reference-social-insurance-num)
+ [Número de la Seguridad Social (SSN)](#mdis-reference-social-security-num)
+ [Número de identificación o referencia del contribuyente](#mdis-reference-taxpayer-num)
+ [Número de identificación de vehículo (VIN)](#mdis-reference-vin)
## Fecha de nacimiento
**ID del Identificador de datos administrados:**DATE\$1OF\$1BIRTH
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *bday, b-day, birth date, birthday, date of birth, dob*
**Comentarios:** Admite la mayoría de formatos de fecha, como todos los dígitos y combinaciones de dígitos y nombres de meses. Los componentes de fecha se pueden separar mediante espacios, barras (/) o guiones (‐).
## Número de identificación del permiso de conducir
**ID identificador de datos gestionados:** según el país o la región, AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE
**Regiones y países admitidos:** Alemania, Australia, Austria, Bélgica, Bulgaria, Canadá, Chipre, Croacia, Dinamarca, EE. UU., Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, India, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumanía, Reino Unido, República Checa, Suecia
**Palabra clave necesaria:** Sí. En la siguiente tabla se enumeran las palabras clave que Macie reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Australia | dl\$1, dl:, dlno\$1, driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Austria | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| Bélgica | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| Bulgaria | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| Canadá | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| Croacia | vozačka dozvola |
| Chipre | άδεια οδήγησης |
| República Checa | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| Dinamarca | kørekort, kørekortnummer |
| Estonia | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| Finlandia | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| Francia | permis de conduire |
| Alemania | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| Grecia | δεια οδήγησης, adeia odigisis |
| Hungría | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| India | driver licence, driver licences, driver license, driver licenses, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, driving licence, driving license |
| Irlanda | ceadúnas tiomána |
| Italia | patente di guida, patente di guida numero, patente guida, patente guida numero |
| Letonia | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| Lituania | vairuotojo pažymėjimas |
| Luxemburgo | fahrerlaubnis, führerschäin |
| Malta | liċenzja tas-sewqan |
| Países Bajos | permis de conduire, rijbewijs, rijbewijsnummer |
| Polonia | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| Portugal | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| Rumanía | numărul permisului de conducere, permis de conducere |
| Eslovaquia | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| Eslovenia | vozniško dovoljenje |
| España | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| Suecia | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| Reino Unido | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| EE. UU. | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
**Comentarios:** ninguno
## Número de registro electoral
**ID del Identificador de datos administrados:**UK\$1ELECTORAL\$1ROLL\$1NUMBER
**Regiones y países admitidos:** Reino Unido
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *electoral \$1, electoral number, electoral roll \$1, electoral roll no., electoral roll number, electoralrollno*
**Comentarios:** ninguno
## Nombre completo
**ID del Identificador de datos administrados:**NAME
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** Macie solo puede detectar nombres completos. La compatibilidad se limita a los conjuntos de caracteres latinos.
## Coordenadas del sistema de posicionamiento global (GPS)
**ID del Identificador de datos administrados:**LATITUDE\$1LONGITUDE
**Regiones y países admitidos:** Cualquiera, si las coordenadas están cerca de una palabra clave en inglés
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *coordinate, coordinates, lat long, latitude longitude, position*
**Comentarios:** Macie puede detectar las coordenadas GPS si las coordenadas de latitud y longitud se almacenan como un par y están en formato de grados decimales (DD), por ejemplo `41.948614,-87.655311`. No es compatible con coordenadas en formato de grados y minutos decimales (DDM), como por ejemplo: `41°56.9168'N 87°39.3187'W`; o en formato de grados, minutos y segundos (DMS), como por ejemplo: `41°56'55.0104"N 87°39'19.1196"W`.
## Cookie HTTP
**ID del Identificador de datos administrados:**HTTP\$1COOKIE
**Regiones y países admitidos:** Cualquiera
**Palabra clave necesaria:** No
**Comentarios:** la detección requiere un encabezado `Cookie` o `Set-Cookie` completo. El encabezado puede incluir uno o más pares de nombre-valor, por ejemplo: `Set-Cookie: id=TWlrZQ` y `Cookie: session=3948; lang=en`.
## Dirección postal
**ID de identificador de datos administrados:** ADDRESS (para Alemania, Australia, Canadá, Francia, Italia, España, Estados Unidos y Reino Unido), BRAZIL\$1CEP\$1CODE (para el Código de Endereçamento Postal de Brasil)
**Países y regiones compatibles:** Alemania, Australia, Brasil, Canadá, Francia, Italia, España, Estados Unidos y Reino Unido
**Palabra clave necesaria:** varía No se requieren palabras clave para el ADDRESS de datos administrados. No se requieren palabras clave para el BRAZIL\$1CEP\$1CODE de datos administrados. Las palabras clave incluyen: *cep, código de endereçamento postal, codigo de endereçamento postal, código postal, codigo postal*
**Comentarios**: Aunque el identificador de datos administrados ADDRESS no requiere una palabra clave, para la detección es necesario que la dirección incluya el nombre de una ciudad o lugar y un código postal correspondiente en un país o región compatible. El identificador de datos administrados BRAZIL\$1CEP\$1CODE solo puede detectar la parte del Código de Endereçamento Postal (CEP) de una dirección.
## Número de identificación nacional
El soporte incluye: números Aadhaar para India; números de Cédula de Ciudadanía para Colombia; números de Clave Única de Registro de Población (CURP) para México; números del Codice Fiscale para Italia; números del Documento Nacional de Identidad (DNI) para Argentina y España; códigos del Instituto Nacional de Estadística y Estudios Económicos (INSEE) de Francia; números de carné de identidad nacional alemán; números del Registro Geral (RG) para Brasil; y, números de Rol Único Nacional (RUN) para Chile.
**ID identificador de datos gestionados:** según el país o la región, ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER
**Países y regiones compatibles:** Argentina, Brasil, Chile, Colombia, Francia, Alemania, India, Italia, México, España
**Se requiere palabra clave:** Sí. En la siguiente tabla se enumeran las palabras clave que Macie reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Argentina | dni, dni\$1, d.n.i., documento nacional de identidad |
| Brasil | registro geral, rg |
| Chile | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| Colombia | cédula de ciudadanía, documento de identificación |
| Francia | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| Alemania | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| India | aadhaar, aadhar, adhaar, uidai |
| Italia | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| México | clave personal identidad, clave única, clave única de registro de población, clavepersonalIdentidad, curp, registration code, registry code, personal identidad clave, population code |
| España | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
**Comentarios:** El identificador de datos gestionados para Chile (CHILE\$1RUT\$1NUMBER) está diseñado para detectar tanto los números del Rol Único Nacional (RUN) como los números del Rol Único Tributario (RUT). Para ninguno de los dos tipos de números, Macie no informa de las ocurrencias en las que todos los dígitos son ceros, por ejemplo`00000000-K`, porque suelen usarse como ejemplos.
Aunque los números de DNI de Argentina y España tienen sintaxis diferentes, existen similitudes entre ellos. Por lo tanto, Macie podría declarar un número de DNI para Argentina como un número de DNI para España, o al revés. Además, Macie no informa de la aparición de las siguientes secuencias de caracteres, que suelen utilizarse como ejemplos de números de DNI: y. `99999999` `99.999.999` Macie tampoco informa de las apariciones que consten únicamente de ceros, por ejemplo, y. `000000000` `00.000.000`
## Número de seguro nacional (NINO)
**ID del Identificador de datos administrados:**UK\$1NATIONAL\$1INSURANCE\$1NUMBER
**Regiones y países admitidos:** Reino Unido
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino*
**Comentarios:** ninguno
## Número de pasaporte
**ID identificador de datos gestionados:** según el país o la región, CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER
**Países y regiones compatibles:** Canadá, España, Estados Unidos, Francia, Italia, Reino Unido
**Palabra clave necesaria:** Sí. En la siguiente tabla se enumeran las palabras clave que Macie reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Canadá | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| Francia | numéro de passeport, passeport, passeport \$1, passeport n °, passeport non |
| Alemania | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| Italia | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| España | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| Reino Unido | passeport \$1, passeport n °, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| EE. UU. | passport, travel document |
**Comentarios:** ninguno
## Número de residencia permanente
**ID del Identificador de datos administrados:**CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER
**Regiones y países admitidos:** Canadá
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non*
**Comentarios:** ninguno
## Número de teléfono
**ID identificador de datos gestionados:** según el país o la región, BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER
**Países y regiones compatibles:** Brasil, Canadá, España, Estados Unidos, Francia, Italia, Reino Unido
**Palabra clave necesaria:** Varía Si una palabra clave está cerca de los datos, no es necesario que el número incluya un código de país. Las palabras clave incluyen: *cell, contact, fax, fax number, mobile, phone, phone number, tel, telephone, telephone number*. Brasil: las palabras clave también incluyen: *cel, celular, fone, móvel, número residencial, numero residencial, telefone*. Si una palabra clave no está cerca de los datos, el número debe incluir un código de país.
**Comentarios:** Para Estados Unidos, se admiten los números de teléfono gratuitos.
## Número de tarjeta de transporte público
**Identificador de datos administrados:** ARGENTINA\$1TARJETA\$1SUBE
**Países y regiones compatibles:** Argentina
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *sistema único de boleto electrónico, sube*
**Comentarios:** Macie puede detectar números de tarjetas de 16 dígitos del Sistema Único de Boleto Electrónico (SUBE) que comiencen por la fórmula de verificación de Luhn `6061` y sigan la misma. Los componentes de los números de las tarjetas pueden estar separados por espacios o guiones (‐), o no usar separadores (por ejemplo,,, y). `6061 1234 1234 1234` `6061‐1234‐1234‐1234` `6061123412341234`
## Número de Seguro Social (SIN)
**ID del Identificador de datos administrados:**CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER
**Regiones y países admitidos:** Canadá
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *canadian id, numéro d'assurance sociale, sin, social insurance number*
**Comentarios:** ninguno
## Número de la Seguridad Social (SSN)
**ID identificador de datos administrados:** según el país o la región, SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER
**Regiones y países admitidos:** España, EE. UU.
**Palabra clave necesaria:** Sí. Para España, las palabras clave incluyen: *número de la seguridad social, social security no., social security number, socialsecurityno\$1, ssn, ssn\$1*. Para EE. UU., las palabras clave incluyen: *social security, ss\$1, ssn*.
**Comentarios:** ninguno
## Número de identificación o referencia del contribuyente
El soporte incluye: códigos CUIL y CUIT para Argentina; números CIF, NIE y NIF para España; números CNPJ y CPF para Brasil; números Codice Fiscale para Italia; para EE. UU.; números NIT para Colombia; para ITINs PANs India; números RFC para México; números RUN y RUT para Chile; números Steueridentifikationsnummer para Alemania; para Australia; para Francia, y números TRN y UTR para el Reino Unido. TFNs TINs
**ID identificador de datos gestionados:** según el país o la región, ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER
**Países y regiones compatibles:** Argentina, Australia, Brasil, Chile, Colombia, Francia, Alemania, India, Italia, México, España, Reino Unido, EE. UU.
**Se requiere palabra clave:** Sí. En la siguiente tabla se enumeran las palabras clave que Macie reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Argentina | argentina taxpayer id, clave única de identificación tributaria, cuil, c.u.i.l, cuit, c.u.i.t, número de identificación fiscal, número de contribuyente, unified labor identification code |
| Australia | tax file number, tfn |
| Brasil | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| Chile | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| Colombia | nit, nit., nit\$1, n.i.t. |
| Francia | numéro d'identification fiscal, tax id, tax identification number, tax number, tin, tin\$1 |
| Alemania | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| India | e-pan, pan card, pan number, permanent account number |
| Italia | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| México | código del registro federal de contribuyentes, identificación de impuestos, identificacion de impuestos, impuesto al valor agregado, iva, iva\$1, i.v.a., registro federal de contribuyentes, rfc, rfc\$1, r.f.c. |
| España | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| Reino Unido | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| EE. UU. | i.t.i.n., individual taxpayer identification number, itin |
**Comentarios:** El identificador de datos gestionados para Chile (CHILE\$1RUT\$1NUMBER) está diseñado para detectar tanto los números del Rol Único Nacional (RUN) como los números del Rol Único Tributario (RUT). En el caso de los números del Registro Federal de Contribuyentes (RFC) de México, Macie no informa de las apariciones de las siguientes secuencias de caracteres, que se utilizan habitualmente como números de RFC de ejemplo: y. `XAXX010101000` `XEXX010101000`
En el caso de varios tipos de números de identificación y referencia del contribuyente, Macie no informa de los casos en los que todos los dígitos sean ceros, por ejemplo,, y. `00000000-K` `000000000` `00.000.000` Esto se debe a que el uso exclusivo de ceros es común en algunos ejemplos de ciertos tipos de números de identificación y referencia del contribuyente.
## Número de identificación de vehículo (VIN)
**ID del Identificador de datos administrados:**VEHICLE\$1IDENTIFICATION\$1NUMBER
**Países y regiones compatibles:** Cualquiera, si el VIN está cerca de una palabra clave en uno de los siguientes idiomas: inglés, francés, alemán, lituano, polaco, portugués, rumano o español
**Palabra clave necesaria:** Sí. Las palabras clave incluyen: *Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris*
**Comentarios:** Macie puede detectar VINs que consisten en una secuencia de 17 caracteres y cumplir con las normas ISO 3779 y 3780. Estos estándares fueron diseñados para su uso en todo el mundo.
# Creación de identificadores de datos personalizados
Además de utilizar los identificadores de datos administrados que proporciona Amazon Macie, puede crear y utilizar identificadores de datos personalizados. Un *identificador de datos personalizado* es un conjunto de criterios que se definen para detectar datos confidenciales en objetos de Amazon Simple Storage Service (Amazon S3). Los criterios consisten en una expresión regular (*regex*) que define un patrón de texto para que coincida y, opcionalmente, secuencias de caracteres y una regla de proximidad que perfeccionen los resultados. Las secuencias de caracteres pueden ser: *palabras clave*, que deben estar cerca del texto que coincida con la expresión regular o *ignorar palabras*, que son palabras o frases para excluirlas de los resultados.
Con identificadores de datos personalizados, puede definir criterios de detección que reflejen los escenarios particulares, la propiedad intelectual o los datos propios de su organización. Por ejemplo, puede detectar números de cuentas de empleados IDs, clientes o clasificaciones de datos internas. Si configura [trabajos de detección de datos confidenciales](discovery-jobs.md) o la [detección de datos confidenciales automatizada](discovery-asdd.md) para usar estos identificadores, puede complementar los [identificadores de datos administrados](managed-data-identifiers.md) que proporciona Macie.
Además de los criterios de detección, puede configurar opcionalmente ajustes de gravedad personalizados para los resultados que produzca un identificador de datos personalizado. De forma predeterminada, Macie asigna la gravedad *media* a todos los resultados que produzca un identificador de datos personalizado. La gravedad no cambia en función del número de apariciones del texto que coincida con los criterios de detección de un identificador. Si establece una configuración de gravedad personalizada, esta puede basarse en el número de apariciones de texto que coincidan con los criterios.
**Topics**
+ [Opciones de configuración para identificadores de datos personalizados](cdis-options.md)
+ [Creación de un identificador de datos personalizado](cdis-create.md)
+ [Eliminar un identificador de datos personalizado](cdis-delete.md)
# Opciones de configuración para identificadores de datos personalizados
Mediante el uso de identificadores de datos personalizados, puede definir criterios personalizados para detectar datos confidenciales en objetos de Amazon Simple Storage Service (Amazon S3). Puede complementar los [identificadores de datos administrados](managed-data-identifiers.md) que proporciona Amazon Macie y detectar datos confidenciales que reflejen los escenarios particulares, la propiedad intelectual o los datos propios de su organización.
Cada identificador de datos personalizado especifica los criterios de detección y, de forma opcional, la configuración de gravedad de los resultados que genere el identificador. Los criterios de detección especifican una expresión regular que define un patrón de texto para hacerlo coincidir con un objeto de S3. Los criterios también pueden especificar secuencias de caracteres y una regla de proximidad que refina los resultados. La configuración de gravedad especifica qué gravedad se debe asignar a los resultados. La gravedad se puede basar en el número de apariciones del texto que coincida con los criterios de detección de un identificador.
**Topics**
+ [Criterios de detección](#cdis-detection-criteria)
+ [Ajustes de gravedad de los resultados](#cdis-finding-severity)
## Criterios de detección
Cuando crea un identificador de datos personalizado, especifica una expresión regular (*regex*) que define un patrón de texto para que coincida. También puede especificar secuencias de caracteres, como palabras y frases, y una regla de proximidad para refinar los resultados. Las secuencias de caracteres pueden ser: *palabras clave*, que deben estar cerca del texto que coincida con la expresión regular o *ignorar palabras*, que son palabras o frases para excluirlas de los resultados.
Para la expresión regular, Amazon Macie admite un subconjunto de la sintaxis de patrones de expresiones regulares proporcionado por [la biblioteca de expresiones regulares compatibles con Perl (PCRE)](https://www.pcre.org/). De las construcciones que proporciona la biblioteca PCRE, Macie no admite los siguientes elementos de patrón:
+ Referencias inversas
+ Capturar grupos
+ Patrones condicionales
+ Código incrustado
+ Indicadores de patrones globales, como `/i`, `/m` y `/x`
+ Patrones recursivos
+ Afirmaciones positivas y negativas de ancho cero retrospectivas y prospectivas, como `?=`, `?!`, `?<=` y `?
Al crear un identificador de datos personalizado, también puede especificar una configuración de gravedad personalizada para los datos confidenciales que produzca el identificador. De forma predeterminada, Amazon Macie asigna la gravedad *media* a todos los resultados que produzca un identificador de datos personalizado. Si un objeto de S3 contiene al menos una aparición de un texto que coincida con los criterios de detección, Macie asigna automáticamente la gravedad *media* al resultado.
Con la configuración de gravedad personalizada, se especifica qué gravedad desea asignar en función del número de apariciones de texto que coincidan con los criterios de detección. Puede definir *umbrales de incidencias* para hasta tres niveles de gravedad: *bajo* (menos grave), *medio* y *alto* (más grave). Un *umbral de incidencias* es el número mínimo de coincidencias que deben existir en un objeto de S3 para producir un resultado con la gravedad especificada. Si especifica más de un umbral, los umbrales deben estar en orden ascendente según la gravedad, pasando de *bajo* a *alto*.
Por ejemplo, la imagen siguiente muestra una configuración de gravedad que especifica tres umbrales de incidencias, uno para cada nivel de gravedad compatible con Macie.
![\[Ajustes de gravedad que especifican los umbrales de incidencias para los niveles de gravedad bajo, medio y alto.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-cdi-severity.png)
En la siguiente tabla se indica la gravedad de los resultados que produce el identificador de datos personalizado.
| Umbral de aparición | Nivel de gravedad | Resultado |
| --- | --- | --- |
| 1 | Bajo | Si un objeto de S3 contiene entre 1 y 49 apariciones de texto que coinciden con los criterios de detección, la gravedad del resultado encontrado es baja. |
| 50 | Medio | Si un objeto de S3 contiene entre 50 y 99 apariciones de texto que coinciden con los criterios de detección, la gravedad del resultado encontrado es media. |
| 100 | Alto | Si un objeto de S3 contiene 100 o más apariciones de texto que coinciden con los criterios de detección, la gravedad del resultado encontrado es alta. |
También puede usar la configuración de gravedad para especificar si se debe crear o no un resultado. Si un objeto de S3 contiene menos ocurrencias que el umbral más bajo, Macie no crea ningún resultado.
# Creación de un identificador de datos personalizado
Un *identificador de datos personalizado* es un conjunto de criterios que se definen para detectar datos confidenciales en objetos de Amazon Simple Storage Service (Amazon S3). Cuando crea un identificador de datos personalizado, especifica una expresión regular (*regex*) que define un patrón de texto para que coincida con un objeto de S3. También puede especificar secuencias de caracteres y una regla de proximidad que refine los resultados. Las secuencias de caracteres pueden ser: *palabras clave*, que deben estar cerca del texto que coincida con la expresión regular o *ignorar palabras*, que son palabras o frases para excluirlas de los resultados. Mediante el uso de identificadores de datos personalizados, puede complementar los [identificadores de datos administrados](managed-data-identifiers.md) que proporciona Amazon Macie y detectar datos confidenciales que reflejen los escenarios particulares, la propiedad intelectual o los datos propios de su organización.
Por ejemplo, muchas empresas tienen una sintaxis específica para el empleado IDs. Una de estas sintaxis podría ser: una letra mayúscula que indique si un empleado es empleado a tiempo completo (*F*) o a tiempo parcial (*P*), seguida de un guion (–) y una secuencia de ocho dígitos que identifica al empleado. Algunos ejemplos son: *F—12345678* para un empleado a tiempo completo y *P—87654321* para un empleado a tiempo parcial. Para detectar a los empleados IDs que utilizan esta sintaxis, puede crear un identificador de datos personalizado que especifique la siguiente expresión regular:. `[A-Z]-\d{8}` Para afinar el análisis y evitar los falsos positivos, también podría configurar el identificador para que utilice palabras clave (`employee` y `employee ID`) y una distancia máxima de coincidencia de 20 caracteres. Con estos criterios, los resultados incluyen texto que coincide con la expresión regular si el texto aparece después de la palabra clave *empleado o *empleado** y todo el texto aparece dentro de los 20 caracteres de una de esas palabras clave.
Para ver una demostración de cómo las palabras clave pueden ayudarle a encontrar datos confidenciales y evitar falsos positivos, vea el siguiente vídeo:
Además de los criterios de detección, puede especificar opcionalmente ajustes de gravedad personalizados para los resultados que produzca un identificador de datos personalizado. La gravedad se puede basar en el número de apariciones del texto que coincida con los criterios de detección de un identificador. Si no especifica estos ajustes, Macie asigna automáticamente la gravedad *media* a todos los resultados que produzca el identificador. La gravedad no cambia en función del número de apariciones del texto que coincida con los criterios de detección del identificador.
Para obtener información detallada sobre estas y otras opciones de configuración, consulte [Opciones de configuración para identificadores de datos personalizados](cdis-options.md).
**Para crear un identificador de datos personalizado**
Puede crear un identificador de datos personalizado mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Siga estos pasos para crear un identificador de datos personalizado mediante la consola de Amazon Macie.
**Para crear un identificador de datos personalizado**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Configuración,** elija **Identificadores de datos personalizados**.
1. Seleccione **Crear**.
1. En **Nombre**, introduzca un nombre único para el identificador de datos personalizado. El nombre puede contener hasta 128 caracteres.
1. En **Descripción**, introduzca opcionalmente una breve descripción del identificador de datos personalizado. La descripción puede contener hasta 512 caracteres.
**nota**
Evite incluir datos confidenciales en el nombre o la descripción de un identificador de datos personalizado. Es posible que otros usuarios de tu cuenta puedan acceder al nombre o a la descripción, en función de las acciones que estén autorizados a realizar en Macie.
1. En **Expresión regular**, introduzca la expresión regular (*regex*) que defina el patrón de texto que debe coincidir. La expresión regular puede contener hasta 512 caracteres.
Macie admite un subconjunto de la sintaxis de patrones proporcionado por [la biblioteca de expresiones regulares compatibles con Perl (PCRE)](https://www.pcre.org/). Para obtener más información y consejos, consulte [Criterios de detección de los identificadores de datos personalizados](cdis-options.md#cdis-detection-criteria).
1. En el caso de las **palabras clave**, opcionalmente puede introducir hasta 50 secuencias de caracteres (separadas por comas) para definir un texto específico que debe estar cerca del texto que coincida con el patrón de expresiones regulares.
Macie incluye una aparición en los resultados solo si el texto coincide con el patrón de expresiones regulares y si el texto se encuentra dentro de la distancia máxima de coincidencia de una de estas palabras clave. Cada palabra clave puede contener entre 3 y 90 caracteres UTF-8. Las palabras clave no distinguen entre mayúsculas y minúsculas.
1. **En Omitir palabras**, si lo desea, introduzca hasta 10 secuencias de caracteres (separadas por comas) que definan un texto específico para excluirlo de los resultados.
Macie excluye una aparición de los resultados si el texto coincide con el patrón de expresiones regulares pero contiene una de estas palabras para omitir. Cada palabra ignorada puede contener entre 4 y 90 caracteres UTF-8. Las palabras ignoradas distinguen mayúsculas de minúsculas.
1. En **Distancia de coincidencia máxima**, opcionalmente puede introducir el número máximo de caracteres que puede existir entre el final de una palabra clave y el final del texto que coincide con el patrón de regex.
Macie incluye una aparición en los resultados solo si el texto coincide con el patrón de expresiones regulares y si el texto se encuentra a esta distancia de una palabra clave completa. La distancia puede ser de 1 a 300 caracteres. La distancia predeterminada es de 50 caracteres.
1. En **Gravedad**, elija cómo determinar la gravedad a los resultados de datos confidenciales que produzca el identificador de datos personalizado:
+ Para asignar automáticamente la gravedad *media* a todos los resultados, seleccione **Utilizar una gravedad media para cualquier número de coincidencias (opción predeterminada)**. Con esta opción, Macie asigna automáticamente la gravedad *media* a un resultado si el objeto de S3 afectado contiene una o más apariciones de texto que coinciden con los criterios de detección.
+ Para asignar la gravedad en función de los umbrales de aparición que especifique, elija **Usar una configuración personalizada para determinar la gravedad**. A continuación, utilice las opciones **Umbral de incidencias** y **Nivel de gravedad** para especificar el número mínimo de coincidencias que deben existir en un objeto de S3 para obtener un resultado con la gravedad seleccionada.
Puede especificar hasta tres umbrales de incidencia, uno para cada nivel de gravedad que admita Macie: *bajo* (para los menos graves), *medio* o *alto* (para los más graves). Si especifica más de uno, los umbrales deben estar en orden ascendente según la gravedad, pasando de *bajo* a *alto*. Si un objeto S3 contiene menos apariciones que el umbral más bajo, Macie no crea ningún hallazgo.
1. (Opcional) En el caso de las **etiquetas**, elija **Añadir etiqueta** y, a continuación, introduzca hasta 50 etiquetas para asignarlas al identificador de datos personalizado.
Una *etiqueta* es una etiqueta que se define y se asigna a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte [Etiquetado de recursos de Macie](tagging-resources.md).
1. (Opcional) En **Evaluar**, introduzca hasta 1000 caracteres en el cuadro de **Datos de muestra** y, a continuación, elija **Probar** para probar los criterios de detección. Macie evalúa los datos de la muestra e informa del número de apariciones de texto que coinciden con los criterios. Puede repetir este paso tantas veces como desee para refinar y optimizar los criterios.
**nota**
Le recomendamos encarecidamente que pruebe y perfeccione los criterios de detección con datos de muestra. Dado que los identificadores de datos personalizados se utilizan en los trabajos de descubrimiento de datos confidenciales, no puede cambiar un identificador de datos personalizado después de crearlo. Esto ayuda a garantizar que tiene un historial inmutable de resultados de información confidencial y resultados de detección.
Como Macie aplica una lógica adicional al procesar registros estructurados, el recuento de coincidencias devuelto por el cuadro de **evaluación** puede diferir en algunos casos de los resultados obtenidos por los trabajos.
1. Cuando haya terminado, elija **Enviar**.
Macie comprueba la configuración y verifica que puede compilar la expresión regular. Si hay algún problema con una configuración o con la expresión regular, Macie devolverá un error que describirá el problema. Una vez solucionados los problemas, puede guardar el identificador de datos personalizado.
------
#### [ API ]
Para crear un identificador de datos personalizado mediante programación, utilice la [CreateCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers.html)operación de la API Amazon Macie. O bien, si usa AWS Command Line Interface (AWS CLI), ejecute el comando. [create-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-custom-data-identifier.html)
**nota**
Antes de crear un identificador de datos personalizado, le recomendamos encarecidamente que pruebe y ajuste sus criterios de detección con datos de muestra. Dado que los identificadores de datos personalizados se utilizan en los trabajos de descubrimiento de datos confidenciales, no puede cambiar un identificador de datos personalizado después de crearlo. Esto ayuda a garantizar que tiene un historial inmutable de resultados de información confidencial y resultados de detección.
Para probar los criterios mediante programación, puede utilizar el [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)funcionamiento de la API Amazon Macie. Esta operación proporciona un entorno para evaluar los datos de las muestras con los criterios de detección. Si utiliza el AWS CLI, puede ejecutar el [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)comando para probar los criterios.
Cuando esté listo para crear el identificador de datos personalizado, utilice los siguientes parámetros para definir sus criterios de detección:
+ `regex`— Especifique la expresión regular (*regex*) que define el patrón de texto que debe coincidir. La expresión regular puede contener hasta 512 caracteres.
Macie admite un subconjunto de la sintaxis de patrones proporcionado por [la biblioteca de expresiones regulares compatibles con Perl (PCRE)](https://www.pcre.org/). Para obtener más información y consejos, consulte [Criterios de detección de los identificadores de datos personalizados](cdis-options.md#cdis-detection-criteria).
+ `keywords`— Si lo desea, especifique de 1 a 50 secuencias de caracteres (*palabras clave*) que deben estar cerca del texto que coincida con el patrón de expresiones regulares.
Macie incluye una aparición en los resultados solo si el texto coincide con el patrón de expresiones regulares y el texto se encuentra dentro de la distancia máxima de coincidencia de una de estas palabras clave. Cada palabra clave puede contener entre 3 y 90 caracteres UTF-8. Las palabras clave no distinguen entre mayúsculas y minúsculas.
+ `maximumMatchDistance`— Si lo desea, especifique el número máximo de caracteres que pueden existir entre el final de una palabra clave y el final del texto que coincida con el patrón de expresiones regulares. Si utiliza el AWS CLI, utilice el `maximum-match-distance` parámetro para especificar este valor.
Macie incluye una aparición en los resultados solo si el texto coincide con el patrón de expresiones regulares y si el texto se encuentra dentro de esta distancia de una palabra clave completa. La distancia puede ser de 1 a 300 caracteres. La distancia predeterminada es de 50 caracteres.
+ `ignoreWords`— Si lo desea, especifique de 1 a 10 secuencias de caracteres (*ignore las palabras*) para excluirlas de los resultados. Si utiliza el AWS CLI, utilice el `ignore-words` parámetro para especificar estas secuencias de caracteres.
Macie excluye una aparición de los resultados si el texto coincide con el patrón de expresiones regulares pero contiene una de estas palabras para ignorar. Cada palabra ignorada puede contener entre 4 y 90 caracteres UTF-8. Las palabras ignoradas distinguen mayúsculas de minúsculas.
Para especificar la gravedad de los hallazgos de datos confidenciales que produce el identificador de datos personalizado, utilice el `severityLevels` parámetro o, si está utilizando el, el AWS CLI parámetro: `severity-levels`
+ Para asignar automáticamente la `MEDIUM` gravedad a todos los hallazgos, omita este parámetro. A continuación, Macie utiliza la configuración por defecto. De forma predeterminada, Macie asigna la `MEDIUM` gravedad a un hallazgo si el objeto S3 afectado contiene una o más apariciones de texto que coinciden con los criterios de detección.
+ Para asignar la gravedad en función de los umbrales de aparición que especifique, especifique el número mínimo de coincidencias que deben existir en un objeto de S3 para obtener un hallazgo con una gravedad específica.
Puede especificar hasta tres umbrales de incidencia, uno para cada nivel de gravedad que admita Macie: `LOW` (menos grave) o `HIGH` (más grave). `MEDIUM` Si especifica más de uno, los umbrales deben estar en orden ascendente por gravedad, pasando de a. `LOW` `HIGH` Si un objeto S3 contiene menos apariciones que el umbral más bajo, Macie no crea ningún hallazgo.
Utilice parámetros adicionales para especificar un nombre y otros ajustes, como etiquetas, para el identificador de datos personalizado. Evite incluir datos confidenciales en estos ajustes. Es posible que otros usuarios de tu cuenta puedan acceder a estos valores, en función de las acciones que estén autorizados a realizar en Macie.
Al enviar la solicitud, Macie comprueba la configuración y comprueba que puede compilar la expresión regular. Si hay algún problema con una configuración o con la expresión regular, la solicitud falla y Macie devuelve un mensaje que describe el problema. Si la solicitud se realiza correctamente, recibirá un resultado similar al siguiente:
```
{
"customDataIdentifierId": "393950aa-82ea-4bdc-8f7b-e5be3example"
}
```
Donde `customDataIdentifierId` especifica el identificador único (ID) del identificador de datos personalizado que se creó.
Para recuperar y revisar posteriormente la configuración del identificador de datos personalizado, utilice la [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)operación o, si está utilizando la AWS CLI, ejecute el [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)comando. Para el `id` parámetro, especifique el ID del identificador de datos personalizado.
Los siguientes ejemplos muestran cómo utilizar el AWS CLI para crear un identificador de datos personalizado. En los ejemplos se crea un identificador de datos personalizado diseñado para detectar a los empleados IDs que utilizan una sintaxis específica y se encuentran cerca de una palabra clave específica. Los ejemplos también definen una configuración de gravedad personalizada para los hallazgos que produce el identificador.
Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 create-custom-data-identifier \
--name "EmployeeIDs" \
--regex "[A-Z]-\d{8}" \
--keywords '["employee","employee ID"]' \
--maximum-match-distance 20 \
--severity-levels '[{"occurrencesThreshold":1,"severity":"LOW"},{"occurrencesThreshold":50,"severity":"MEDIUM"},{"occurrencesThreshold":100,"severity":"HIGH"}]' \
--description "Detects employee IDs in proximity of a keyword." \
--tags '{"Stack":"Production"}'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 create-custom-data-identifier ^
--name "EmployeeIDs" ^
--regex "[A-Z]-\d{8}" ^
--keywords "[\"employee\",\"employee ID\"]" ^
--maximum-match-distance 20 ^
--severity-levels "[{\"occurrencesThreshold\":1,\"severity\":\"LOW\"},{\"occurrencesThreshold\":50,\"severity\":\"MEDIUM\"},{\"occurrencesThreshold\":100,\"severity\":\"HIGH\"}]" ^
--description "Detects employee IDs in proximity of a keyword." ^
--tags={\"Stack\":\"Production\"}
```
Donde:
+ `EmployeeIDs`es el nombre del identificador de datos personalizado.
+ `[A-Z]-\d{8}`es la expresión regular con la que debe coincidir el patrón de texto.
+ `employee`y `employee ID` son palabras clave que deben estar cerca del texto que coincida con el patrón de expresiones regulares.
+ `20`es el número máximo de caracteres que pueden existir entre el final de una palabra clave y el final del texto que coincide con el patrón de expresiones regulares.
+ `description`especifica una breve descripción del identificador de datos personalizado.
+ `severity-levels`define umbrales de aparición personalizados para determinar la gravedad de los hallazgos que produce el identificador de datos personalizado: `LOW` de 1 a 49 casos, `MEDIUM` de 50 a 99 casos y, `HIGH` para 100 o más casos.
+ `Stack`es la clave de etiqueta de la etiqueta que se va a asignar al identificador de datos personalizado. `Production`es el valor de etiqueta de la clave de etiqueta especificada.
------
Tras crear el identificador de datos personalizado, puede [crear y configurar trabajos de detección de datos confidenciales](discovery-jobs-create.md) para utilizarlo o [añadirlo a la configuración para la detección automática de datos confidenciales](discovery-asdd-account-configure.md).
# Eliminar un identificador de datos personalizado
Tras crear un identificador de datos personalizado, puede eliminarlo. Si lo hace, Amazon Macie eliminará automáticamente el identificador de datos personalizado. Esto significa que queda un registro del identificador de datos personalizado en su cuenta, pero se marca como eliminado. Si un identificador de datos personalizado tiene este estado, no podrás configurar nuevas tareas de detección de datos confidenciales para usarlo ni añadirlo a tu configuración para la detección automática de datos confidenciales. Además, ya no puede acceder a él mediante la consola Amazon Macie. Sin embargo, puede recuperar su configuración mediante la API de Amazon Macie. Si eliminas un identificador de datos personalizado, no se descontará de la cuota de identificadores de datos personalizados de tu cuenta.
Si configuras un trabajo de descubrimiento de datos confidenciales para que utilice un identificador de datos personalizado que elimines posteriormente, el trabajo se ejecutará según lo programado y seguirá utilizando el identificador de datos personalizado. Esto significa que los resultados de su trabajo, tanto los hallazgos de datos confidenciales como los resultados del descubrimiento de datos confidenciales, incluirán un texto que coincida con los criterios del identificador. Esto ayuda a garantizar que tiene un historial inmutable de resultados de datos confidenciales y resultados de detección para las auditorías o investigaciones de privacidad y protección de datos que lleve a cabo.
Del mismo modo, si configura la detección automática de datos confidenciales para que utilice un identificador de datos personalizado que luego elimine, se realizarán ciclos de análisis diarios y se seguirá utilizando el identificador de datos personalizado. Esto significa que los datos confidenciales, las estadísticas y otros tipos de resultados seguirán incluyendo un texto que coincida con los criterios del identificador.
Antes de eliminar un identificador de datos personalizado, haga lo siguiente para evitar que Macie lo utilice durante los ciclos de análisis y las ejecuciones de tareas posteriores:
+ Compruebe su configuración para detectar datos confidenciales de forma automática. Si has añadido el identificador de datos personalizado a esta configuración, elimínalo. Para obtener más información, consulte [Configuración de los ajustes de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md).
+ Revise su inventario de trabajos para identificar los trabajos que utilizan el identificador de datos personalizado y que están programados para ejecutarse en el futuro. Si desea que un trabajo deje de usar el identificador de datos personalizado, puede cancelarlo. A continuación, cree una copia del trabajo, ajuste la configuración de la copia y guárdela como un trabajo nuevo. Para obtener más información, consulte [Administración de trabajos de detección de datos confidenciales](discovery-jobs-manage.md).
También es una buena idea anotar el identificador (ID) único que Macie asignó al identificador de datos personalizado. Necesitará este ID si más adelante quiere revisar la configuración del identificador de datos personalizado.
Tras completar las tareas anteriores, elimina el identificador de datos personalizado.
**Para eliminar un identificador de datos personalizado**
Puede eliminar un identificador de datos personalizado mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Siga estos pasos para eliminar un identificador de datos personalizado mediante la consola de Amazon Macie.
**Para eliminar un identificador de datos personalizado**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Configuración,** elija **Identificadores de datos personalizados**.
1. Para anotar el identificador (ID) único del identificador de datos personalizado que desea eliminar, elija el nombre del identificador de datos personalizado. En la página que aparece, el cuadro de **ID** muestra este ID. Tras anotar el ID, vuelva a seleccionar **Identificadores de datos personalizados** en el panel de navegación.
1. En la página **Identificadores de datos personalizados**, seleccione la casilla de verificación del identificador de datos personalizado que desee eliminar.
1. En el menú **Acciones**, elija **Eliminar**.
1. **Cuando se le solicite la confirmación, pulse Aceptar.**
------
#### [ API ]
Para eliminar un identificador de datos personalizado mediante programación, utilice la [DeleteCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)operación de la API Amazon Macie. O bien, si está utilizando AWS Command Line Interface (AWS CLI), ejecute el comando. [delete-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-custom-data-identifier.html)
Para el `id` parámetro, especifique el identificador único (ID) del identificador de datos personalizado que desee eliminar. Puede obtener este ID mediante la [ListCustomDataIdentifiers](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-list.html)operación. Esta operación recupera un subconjunto de información sobre los identificadores de datos personalizados de su cuenta. Si utilizas el AWS CLI, puedes ejecutar el [list-custom-data-identifiers](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-custom-data-identifiers.html)comando para recuperar esta información.
El siguiente ejemplo muestra cómo eliminar un identificador de datos personalizado mediante AWS CLI.
```
$ aws macie2 delete-custom-data-identifier --id 393950aa-82ea-4bdc-8f7b-e5be3example
```
Dónde *393950aa-82ea-4bdc-8f7b-e5be3example* está el ID del identificador de datos personalizado que se va a eliminar.
Si la solicitud se realiza correctamente, Macie devuelve una respuesta HTTP 200 vacía. De lo contrario, Macie devuelve una respuesta HTTP 4 *xx* o 500 que indica el motivo del error de la solicitud.
------
Para revisar la configuración de un identificador de datos personalizado después de eliminarlo, utilice el [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)funcionamiento de la API de Amazon Macie. O bien, si está utilizando el AWS CLI, ejecute el [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)comando. Para el `id` parámetro, especifique el ID del identificador de datos personalizado. Tras eliminar un identificador de datos personalizado, no podrá acceder a su configuración mediante la consola de Amazon Macie.
# Definición de excepciones de datos confidenciales con las listas de permitidos
Con las listas de permitidos en Amazon Macie, puede definir texto específico y patrones de texto que quiera que Macie ignore cuando inspeccione objetos de Amazon Simple Storage Service (Amazon S3) en busca de datos confidenciales. Se trata normalmente de excepciones de datos confidenciales para sus escenarios o entornos particulares. Si los datos coinciden con el texto o un patrón de texto de una lista de permitidos, Macie no informa de ellos. Este es el caso incluso aunque los datos coincidan con los criterios de un [identificador de datos administrado](managed-data-identifiers.md) o un [identificador de datos personalizado](custom-data-identifiers.md). Mediante el uso de listas de permitidos, puede refinar el análisis de los datos de Amazon S3 y reducir el ruido.
Puede crear y utilizar dos tipos de listas de permitidos en Macie:
+ **Texto predefinido**: para este tipo de lista, se especifican determinadas secuencias de caracteres que se deben ignorar. Por ejemplo, podría especificar los nombres de los representantes públicos de su organización, números de teléfono concretos o datos de muestra específicos que su organización utiliza para las pruebas. Si usa este tipo de lista, Macie ignora el texto que coincida exactamente con una entrada de la lista.
Este tipo de lista de permitidos es útil si desea especificar palabras, frases y otros tipos de secuencias de caracteres que no son confidenciales, no es probable que cambien y que no se adhieren necesariamente a un patrón común.
+ **Expresión regular**: en este tipo de lista, especifique una expresión regular (*regex*) que defina el patrón de texto que se va a ignorar. Por ejemplo, podría especificar el patrón de los números de teléfono públicos de su organización, las direcciones de correo electrónico del dominio de su organización o los datos de muestra de patrones que su organización utilice para realizar pruebas. Si utiliza este tipo de lista, Macie ignora el texto que coincide completamente con el patrón definido por la lista.
Este tipo de lista de permitidos es útil si quiere especificar texto que no sea confidencial, pero que varíe o sea probable que cambie, al tiempo que se adhiere a un patrón común.
Después de crear una lista de permitidos, puede [crear y configurar trabajos de detección de datos confidenciales](discovery-jobs-create.md) para utilizarla, o [añadirla a su configuración automática de detección de datos confidenciales](discovery-asdd-account-configure.md). Macie utilizará la lista cuando analice los datos. Si Macie encuentra texto que coincide con una entrada o un patrón de una lista de permitidos, Macie no informa de esa aparición de texto en los resultados de datos confidenciales, estadísticas y otros tipos de resultados.
Puedes gestionar y utilizar las listas de personas permitidas en todos los Regiones de AWS lugares en los que Macie esté disponible actualmente, excepto en la región de Asia Pacífico (Osaka).
**Topics**
+ [Opciones de configuración para listas de permitidos](allow-lists-options.md)
+ [Creación de una lista de permitidos](allow-lists-create.md)
+ [Comprobación del estado de una lista de permitidos](allow-lists-status-check.md)
+ [Cambio de una lista de permitidos](allow-lists-change.md)
+ [Eliminación de una lista de permitidos](allow-lists-delete.md)
# Requisitos y opciones de configuración para listas de permitidos
En Amazon Macie, puede utilizar listas de permitidos para especificar texto o patrones de texto que desea que Macie ignore cuando inspeccione objetos de Amazon Simple Storage Service (Amazon S3) en busca de datos confidenciales. Macie ofrece opciones para dos tipos de listas de permitidos, texto predefinido y expresiones regulares.
Una lista de texto predefinido es útil si desea que Macie ignore palabras, frases y otros tipos de secuencias de caracteres específicos que no considere confidenciales. Algunos ejemplos son los nombres de los representantes públicos de su organización, números de teléfono concretos o datos de muestra específicos que su organización utilice para las pruebas. Si Macie encuentra texto que coincida con los criterios de un identificador de datos administrados o de datos personalizados y el texto también coincide con una entrada de una lista de permitidos, Macie no informa de esa aparición de texto en los resultados de datos confidenciales, estadísticas y otros tipos de resultados.
Una expresión regular (*regex*) es útil si desea que Macie ignore el texto que varía o que es probable que cambie y que, al mismo tiempo, sigue un patrón común. La regex especifica un patrón de texto que debe ignorarse. Algunos ejemplos son los números de teléfono públicos de su organización, las direcciones de correo electrónico del dominio de su organización o los datos de muestra de patrones que su organización utilice para realizar pruebas. Si Macie encuentra texto que coincida con los criterios de un identificador de datos administrados o de datos personalizados y el texto también coincide con un patrón regex de una lista de permitidos, Macie no informa de esa aparición de texto en los resultados de datos confidenciales, estadísticas y otros tipos de resultados.
Puedes crear y usar ambos tipos de listas de permitidos en todos los Regiones de AWS lugares en los que Macie esté disponible actualmente, excepto en la región de Asia Pacífico (Osaka). Cuando cree y gestione listas de permitidos, tenga en cuenta las siguientes opciones y requisitos. Tenga en cuenta también que las entradas de listas y los patrones regex para direcciones de correo no son compatibles.
**Contents**
+ [Opciones y requisitos para las listas de texto predefinidas](#allow-lists-options-s3list)
+ [Requisitos de sintaxis](#allow-lists-options-s3list-syntax)
+ [Requisitos de almacenamiento](#allow-lists-options-s3list-storage)
+ [Requisitos de cifrado y descifrado](#allow-lists-options-s3list-encryption)
+ [Recomendaciones y consideraciones de diseño](#allow-lists-options-s3list-notes)
+ [Opciones y requisitos de las expresiones regulares](#allow-lists-options-regex)
+ [Soporte y recomendaciones sobre la sintaxis](#allow-lists-options-regex-syntax)
+ [Ejemplos](#allow-lists-options-regex-examples)
## Opciones y requisitos para las listas de texto predefinidas
Para este tipo de lista de permitidos, se proporciona un archivo de texto plano delimitado por líneas que enumera las secuencias de caracteres específicas que se deben ignorar. Las entradas de la lista suelen ser palabras, frases y otros tipos de secuencias de caracteres que no se consideran confidenciales, que no es probable que cambien y que no se adhieren necesariamente a un patrón específico. Si utiliza este tipo de lista, Amazon Macie no informa de las apariciones de texto que coincidan exactamente con una entrada de la lista. Macie trata cada entrada de la lista como un valor literal de cadena.
Para utilizar este tipo de lista de permitidos, empiece por crear la lista en un editor de texto y guárdela como archivo de texto sin formato. A continuación, cargue la lista en un bucket de uso general de S3. Asegúrese también de que la configuración de almacenamiento y cifrado del bucket y del objeto permita a Macie recuperar y descifrar la lista. A continuación, [cree y configure los ajustes de la lista](allow-lists-create.md) en Macie.
Después de configurar los ajustes en Macie, le recomendamos que pruebe la lista de permitidos con un conjunto de datos pequeño y representativo de su cuenta u organización. Para probar una lista, puede [crear un trabajo único](discovery-jobs-create.md). Configure el trabajo para que utilice la lista además de los identificadores de datos administrados y de datos personalizados que suela utilizar para analizar los datos. A continuación, puede revisar los resultados del trabajo: resultados de datos confidenciales, resultados de detección de datos confidenciales o ambos. Si los resultados del trabajo difieren de lo que espera, puede cambiar y probar la lista hasta que los resultados sean los esperados.
Cuando termine de configurar y probar una lista de permitidos, puede crear y configurar trabajos adicionales para utilizarla, o añadirla a su configuración para la detección de datos confidenciales automatizada. Cuando esos trabajos comienzan a ejecutarse o se inicia el siguiente ciclo de análisis de detección automatizado, Macie recupera la última versión de la lista de Amazon S3 y la almacena en la memoria temporal. Luego, Macie utiliza esta copia temporal de la lista cuando inspecciona los objetos de S3 en busca de datos confidenciales. Cuando finaliza la ejecución de un trabajo o el ciclo de análisis, Macie borra permanentemente de la memoria su copia de la lista. La lista no persiste en Macie. Solo persisten en Macie los ajustes de la lista.
**importante**
Dado que las listas de texto predefinido no persisten en Macie, es importante [comprobar periódicamente el estado de las listas de permitidos](allow-lists-status-check.md). Si Macie no puede recuperar o analizar una lista para cuya utilización se ha configurado un trabajo o una detección automatizada, Macie no utilizará la lista. Esto podría provocar resultados inesperados, como resultados de datos confidenciales para el texto que especificó en la lista.
**Topics**
+ [Requisitos de sintaxis](#allow-lists-options-s3list-syntax)
+ [Requisitos de almacenamiento](#allow-lists-options-s3list-storage)
+ [Requisitos de cifrado y descifrado](#allow-lists-options-s3list-encryption)
+ [Recomendaciones y consideraciones de diseño](#allow-lists-options-s3list-notes)
### Requisitos de sintaxis
Cuando cree este tipo de lista de permitidos, tenga en cuenta los siguientes requisitos para el archivo de la lista:
+ La lista debe almacenarse como un archivo de texto plano (`text/plain`), como un archivo .txt, .text o .plain.
+ La lista debe utilizar saltos de línea para separar las entradas individuales. Por ejemplo:
```
Akua Mansa
John Doe
Martha Rivera
425-555-0100
425-555-0101
425-555-0102
```
Macie trata cada línea como una entrada única y distinta de la lista. El archivo también puede contener líneas en blanco para mejorar la legibilidad. Macie omite las líneas en blanco cuando analiza el archivo.
+ Cada entrada puede contener entre 1 y 90 caracteres UTF-8.
+ Cada entrada debe ser una coincidencia completa y exacta para que el texto sea ignorado. Macie no admite el uso de caracteres comodín ni valores parciales para las entradas. Macie trata cada entrada como un valor literal de cadena. Las coincidencias no distinguen entre mayúsculas y minúsculas.
+ El archivo puede contener entre 1 y 100 000 entradas.
+ El tamaño total del archivo no puede superar los 35 MB.
### Requisitos de almacenamiento
A medida que añada y administre listas de permitidos en Amazon S3, tenga en cuenta los siguientes requisitos y recomendaciones de almacenamiento:
+ **Soporte regional**: las listas de personas permitidas deben guardarse en un compartimento que se encuentre en el mismo Región de AWS lugar que tu cuenta de Macie. Macie no puede acceder a una lista de permitidos si está almacenada en otra región.
+ **Propiedad de** un grupo: la lista de personas permitidas debe almacenarse en un grupo que sea de tu Cuenta de AWS propiedad. Si desea que otras cuentas utilicen la misma lista de permitidos, considere la posibilidad de crear una regla de replicación de Amazon S3 para replicar la lista en los buckets propiedad de esas cuentas. Para obtener información acerca de cómo replicar objetos de S3, consulte [Replicación de objetos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Además, tu identidad AWS Identity and Access Management (IAM) debe tener acceso de lectura al depósito y al objeto que almacenan la lista. De lo contrario, no podrá crear o actualizar la configuración de la lista ni comprobar su estado mediante Macie.
+ **Tipos de almacenamiento y clases**: una lista de permitidos debe almacenarse en un bucket de uso general, no en un bucket de directorios. Además, se debe almacenar directamente utilizando una de las siguientes clases de almacenamiento: Reduced Redundancy (RRS), S3 Glacier Instant Retrieval, S3 Intelligent-Tiering, S3 One Zone-IA, S3 Standard o S3 Standard-IA.
+ **Políticas de bucket**: si guarda una lista de permitidos en un bucket que tenga una política de bucket restrictiva, asegúrese de que la política permita a Macie recuperar la lista. Para ello, puede añadir una condición para la función vinculada al servicio de Macie a la política de bucket. Para obtener más información, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md).
Asegúrese también de que la política permita que su identidad de IAM tenga acceso de lectura al bucket. De lo contrario, no podrá crear o actualizar la configuración de la lista ni comprobar su estado mediante Macie.
+ **Rutas de objetos**: si almacena más de una lista de permitidos en Amazon S3, la ruta de objetos de cada lista debe ser única. En otras palabras, cada lista de permitidos debe almacenarse por separado en su propio objeto de S3.
+ **Control de versiones**: cuando añada una lista de permitidos a un bucket, le recomendamos que también active el control de versiones del bucket. A continuación, puede utilizar los valores de fecha y hora para correlacionar las versiones de la lista con los resultados de los trabajos de detección de datos confidenciales y los ciclos automatizados de detección de datos confidenciales que utilizan la lista. Esto puede ayudarle en las auditorías o investigaciones sobre protección y privacidad de datos que realice.
+ **Bloqueo de objetos**: para evitar que una lista de permitidos se elimine o sobrescriba durante un tiempo determinado o indefinidamente, puede activar el bloqueo de objetos para el bucket que almacene la lista. Activar esta opción no impide que Macie acceda a la lista. Para obtener información sobre esta configuración, consulte [Bloquear objetos con Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) en la *Guía del usuario de Amazon Simple Storage Service*.
### Requisitos de cifrado y descifrado
Si cifra una lista de permitidos en Amazon S3, la política de permisos de la [función vinculada al servicio de Macie](service-linked-roles.md) suele conceder a Macie los permisos que necesita para descifrar la lista. Sin embargo, esto depende del tipo de cifrado utilizado:
+ Si se cifra una lista mediante un cifrado en el servidor con una clave administrada de Amazon S3 (SSE-S3), Macie puede descifrar la lista. La función vinculada al servicio para su cuenta de Macie concede a Macie los permisos que necesita.
+ Si una lista se cifra mediante un cifrado del lado del servidor con un cifrado AWS gestionado AWS KMS key (DSSE-KMS o SSE-KMS), Macie puede descifrar la lista. La función vinculada al servicio para su cuenta de Macie concede a Macie los permisos que necesita.
+ Si una lista se cifra utilizando el cifrado en el servidor con una AWS KMS key administrada por el cliente (DSSE-KMS o SSE-KMS), Macie puede descifrar la lista solo si permite que Macie use la clave. Para obtener información sobre como hacer esto, consulte [Permitir a Macie utilizar un sistema gestionado por clientes AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration).
**nota**
Puede cifrar una lista con un cliente gestionado en un almacén de claves externo. AWS KMS key Sin embargo, es posible que la clave sea más lenta y menos fiable que una clave que se gestione íntegramente dentro de AWS KMS. Si la latencia o un problema de disponibilidad impiden a Macie descifrar la lista, Macie no utiliza la lista cuando analiza objetos de S3. Esto podría provocar resultados inesperados, como resultados de datos confidenciales para el texto que especificó en la lista. Para reducir este riesgo, considere la posibilidad de almacenar la lista en un bucket de S3 que esté configurado para utilizar la clave como clave de bucket de S3.
Para obtener información sobre el uso de claves de KMS en almacenes de claves externos, consulte [Almacenes de claves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) en la *AWS Key Management Service Guía para desarrolladores*. Para obtener más información sobre el uso de claves de Bucket de S3, consulte [Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) en la *Guía del usuario de Amazon Simple Storage Service*.
+ Si una lista está cifrada mediante cifrado en el servidor con una clave proporcionada por el cliente (SSE-C) o cifrado del cliente, Macie no puede descifrar la lista. Considere la posibilidad de utilizar el cifrado SSE-S3, DSSE-KMS o SSE-KMS en su lugar.
Si una lista está cifrada con una clave KMS AWS administrada o una clave KMS administrada por el cliente, tu identidad AWS Identity and Access Management (IAM) también debe poder usar la clave. De lo contrario, no podrá crear o actualizar la configuración de la lista ni comprobar su estado mediante Macie. Para saber cómo comprobar o cambiar los permisos de una clave KMS, consulte [Políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la *Guía para desarrolladores de AWS Key Management Service *.
Para obtener información detallada sobre las opciones de cifrado para los datos de Amazon S3, consulte [Protección de los datos mediante el cifrado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) en la *Guía del usuario de Amazon Simple Storage Service*.
### Recomendaciones y consideraciones de diseño
En general, Macie trata cada entrada de una lista de permitidos como un valor literal de cadena. Es decir, Macie ignora cada aparición de texto que coincida exactamente con una entrada completa de una lista de permitidos. Las coincidencias no distinguen entre mayúsculas y minúsculas.
Sin embargo, Macie utiliza las entradas como parte de un marco más amplio de extracción y análisis de datos. El marco incluye funciones de machine learning y concordancia de patrones que tienen en cuenta dimensiones como las variaciones gramaticales y sintácticas y, en muchos casos, la proximidad de palabras clave. El marco también determina el tipo de archivo o el formato de almacenamiento de un objeto de S3. Por lo tanto, tenga en cuenta las siguientes consideraciones y recomendaciones a la hora de añadir y gestionar las entradas de una lista de permitidos.
**Prepárese para diferentes tipos de archivos y formatos de almacenamiento**
En el caso de los datos no estructurados, como el texto de un archivo en formato de documento portátil de Adobe (.pdf), Macie ignora el texto que coincide exactamente con una entrada completa de una lista de permitidos, incluido el texto que abarca varias líneas o páginas.
En el caso de los datos estructurados, como los datos en columnas de un archivo CSV o los datos basados en registros de un archivo JSON, Macie ignora el texto que coincide exactamente con una entrada completa de una lista de permitidos si todo el texto está almacenado en un único campo, celda o matriz. Este requisito no se aplica a los datos estructurados almacenados en un archivo no estructurado, como una tabla en un archivo .pdf.
Por ejemplo, considere el siguiente contenido en un archivo CSV:
```
Name,Account ID
Akua Mansa,111111111111
John Doe,222222222222
```
Si `Akua Mansa` y `John Doe` son entradas de una lista de permitidos, Macie ignora esos nombres en el archivo CSV. El texto completo de cada entrada de la lista se guarda en un único campo `Name`.
Por el contrario, considere un archivo CSV que contenga las siguientes columnas y campos:
```
First Name,Last Name,Account ID
Akua,Mansa,111111111111
John,Doe,222222222222
```
Si `Akua Mansa` y `John Doe` son entradas de una lista de permitidos, Macie no ignora esos nombres en el archivo CSV. Ninguno de los campos del archivo CSV contiene el texto completo de una entrada de la lista de permitidos.
**Incluya las variantes más comunes**
Añada entradas para variaciones comunes de datos numéricos, nombres propios, términos y secuencias de caracteres alfanuméricos. Por ejemplo, si añade nombres o frases que contengan solo un espacio entre palabras, añada también variaciones que incluyan dos espacios entre palabras. Del mismo modo, añada palabras y frases que contengan y no contengan caracteres especiales, y considere la posibilidad de incluir variaciones sintácticas y semánticas comunes.
Para el número de teléfono estadounidense *425-555-0100*, por ejemplo, podría añadir estas entradas a una lista de permitidos:
```
425-555-0100
425.555.0100
(425) 555-0100
+1-425-555-0100
```
Para la fecha del *1 de febrero de 2022,* en un contexto multinacional, podría añadir entradas que incluyan variaciones sintácticas comunes para el inglés y el francés, incluidas las variaciones que incluyen y no incluyen caracteres especiales:
```
February 1, 2022
1 février 2022
1 fevrier 2022
Feb 01, 2022
1 fév 2022
1 fev 2022
02/01/2022
01/02/2022
```
Para los nombres de personas, incluya entradas para las distintas formas de un nombre que no considere confidenciales. Por ejemplo, incluya: el nombre seguido del apellido; el apellido seguido del nombre, el nombre y el apellido separados por un espacio; el nombre y el apellido separados por dos espacios; y apodos.
Para el nombre *Martha Rivera*, por ejemplo, podría añadir:
```
Martha Rivera
Martha Rivera
Rivera, Martha
Rivera, Martha
Rivera Martha
Rivera Martha
```
Si desea ignorar variaciones de un nombre específico que contiene muchas partes, cree una lista de permitidos que utilice una expresión regular en su lugar. Por ejemplo, para el nombre *Dra. Martha Lyda Rivera, PhD*, podría utilizar la siguiente expresión regular: `^(Dr. )?Martha\s(Lyda|L\.)?\s?Rivera,?( PhD)?$`.
## Opciones y requisitos de las expresiones regulares
Para este tipo de lista de permitidos, se especifica una expresión regular (*regex*) que defina un patrón de texto que se va a ignorar. Por ejemplo, podría especificar el patrón de los números de teléfono públicos de su organización, las direcciones de correo electrónico del dominio de su organización o los datos de muestra de patrones que su organización utilice para realizar pruebas. La regex define un patrón común para un tipo específico de datos que usted no considera confidenciales. Si usa este tipo de lista de permitidos, Amazon Macie no informa de los resultados de texto que coincidan exactamente con el patrón especificado. A diferencia de una lista de permitidos que especifica el texto predefinido que debe ignorarse, usted crea y almacena la expresión regular y el resto de la configuración de la lista en Macie.
Al crear o actualizar este tipo de lista de permitidos, puede probar la expresión regular de la lista con datos de muestra antes de guardarla. Le recomendamos que lo haga con varios conjuntos de datos de muestra. Si crea una expresión regular demasiado general, Macie podría ignorar las apariciones de texto que considere confidenciales. Si la expresión regular es demasiado específica, Macie podría ignorar las apariciones de texto que no considere confidenciales. Para protegerse contra expresiones malformadas o de larga duración, Macie también compila y comprueba automáticamente la expresión regular contra una colección de texto de muestra, y le notifica los problemas que debe resolver.
Para realizar pruebas adicionales, le recomendamos que también pruebe la expresión regular de la lista con un conjunto de datos pequeño y representativo de su cuenta u organización. Para ello, puede [crear un trabajo único](discovery-jobs-create.md). Configure el trabajo para que utilice la lista además de los identificadores de datos administrados y de datos personalizados que suela utilizar para analizar los datos. A continuación, puede revisar los resultados del trabajo: resultados de datos confidenciales, resultados de detección de datos confidenciales o ambos. Si los resultados del trabajo difieren de lo que espera, puede cambiar y probar la expresión regular hasta que los resultados sean los esperados.
Cuando configure y pruebe una lista de permitidos, puede crear y configurar trabajos adicionales para utilizarla, o añadirla a su configuración de detección de datos confidenciales automatizada. Cuando se ejecutan esos trabajos o Macie realiza una detección automatizada, Macie utiliza la última versión de la expresión regular de la lista para analizar los datos.
**Topics**
+ [Soporte y recomendaciones sobre la sintaxis](#allow-lists-options-regex-syntax)
+ [Ejemplos](#allow-lists-options-regex-examples)
### Soporte y recomendaciones sobre la sintaxis
Una lista de permitidos puede especificar una expresión regular (*regex*) que contenga hasta 512 caracteres. Macie admite un subconjunto de la sintaxis de patrones de expresiones regulares proporcionado por [la biblioteca de expresiones regulares compatibles con Perl (PCRE](https://www.pcre.org/)). De las construcciones que proporciona la biblioteca PCRE, Macie no admite los siguientes elementos de patrón:
+ Referencias inversas
+ Capturar grupos
+ Patrones condicionales
+ Código incrustado
+ Indicadores de patrones globales, como `/i`, `/m` y `/x`
+ Patrones recursivos
+ Afirmaciones positivas y negativas de ancho cero retrospectivas y prospectivas, como `?=`, `?!`, `?<=` y `?
Los siguientes ejemplos muestran patrones de expresiones regulares válidos para algunos escenarios comunes.
**Direcciones de correo electrónico**
Si utiliza un identificador de datos personalizados para detectar direcciones de correo electrónico, puede ignorar las direcciones de correo electrónico que no considere confidenciales, como las direcciones de correo electrónico de su organización.
Para ignorar las direcciones de correo electrónico de un determinado dominio de segundo y primer nivel, puede utilizar este patrón:
`[a-zA-Z0-9_.+\\-]+@example\.com`
Dónde *example* está el nombre del dominio de segundo nivel y *com* es el dominio de nivel superior. En este caso, Macie hace coincidir e ignora direcciones como *johndoe@example.com* y *john.doe@example.com*.
Para ignorar las direcciones de correo electrónico de un dominio concreto en cualquier dominio de nivel superior genérico (gTLD), *como* .com *o* .gov, puede utilizar este patrón:
`[a-zA-Z0-9_.+\\-]+@example\.[a-zA-Z]{2,}`
Dónde *example* está el nombre del dominio. En este caso, Macie hace coincidir e ignora direcciones como *johndoe@example.com*, *john.doe@example.gov* y *johndoe@example.edu*.
Para ignorar las direcciones de correo electrónico de un dominio concreto en cualquier dominio de nivel superior de código de país (gTLD), *como* .com *o* .gov, puede utilizar este patrón:
`[a-zA-Z0-9_.+\\-]+@example\.(ca|au)`
Dónde *example* está el nombre del dominio *ca* y *au* son códigos específicos TLDs para ignorarlos. En este caso, Macie hace coincidir e ignora direcciones como *johndoe@example.ca* y *john.doe@example.au*.
Para ignorar las direcciones de correo electrónico que corresponden a un dominio y gTLD concretos e incluir dominios de tercer y cuarto nivel, puede utilizar este patrón:
`[a-zA-Z0-9_.+\\-]+@([a-zA-Z0-9-]+\.)?[a-zA-Z0-9-]+\.example\.com`
Dónde *example* está el nombre del dominio y *com* es el gTLD. En este caso, Macie hace coincidir e ignora direcciones como *johndoe@www.example.com* y *john.doe@www.team.example.com*.
**Números de teléfono**
Macie proporciona identificadores de datos administrados que pueden detectar números de teléfono de varios países y regiones. Para ignorar determinados números de teléfono, como los números gratuitos o los números de teléfono públicos de su organización, puede utilizar patrones como los siguientes.
Para ignorar los números de teléfono estadounidenses gratuitos que utilizan el prefijo *800* y tienen el formato *(800) \$1\$1\$1-\$1\$1\$1\$1*:
`^\(?800\)?[ -]?\d{3}[ -]?\d{4}$`
Para ignorar los números de teléfono estadounidenses gratuitos que utilizan el prefijo *888* y tienen el formato *(888) \$1\$1\$1-\$1\$1\$1\$1*:
`^\(?888\)?[ -]?\d{3}[ -]?\d{4}$`
Para ignorar los números de teléfono franceses de 10 dígitos que incluyen el prefijo *33* y tienen el formato *\$133 \$1\$1 \$1\$1 \$1\$1 \$1\$1*:
`^\+33 \d( \d\d){4}$`
Para ignorar los números de teléfono de EE. UU. y Canadá que utilizan determinados prefijos y códigos de área, no incluyen prefijo de país y tienen el formato *(\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1*:
`^\(?123\)?[ -]?555[ -]?\d{4}$`
Dónde *123* está el código de área y *555* el código de intercambio.
Para ignorar los números de teléfono de EE. UU. y Canadá que utilizan determinados prefijos y códigos de área, incluyen prefijo de país y tienen el formato *\$11 (\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1*:
`^\+1\(?123\)?[ -]?555[ -]?\d{4}$`
Dónde *123* está el código de área y *555* el código de cambio.
# Creación de una lista de permitidos
En Amazon Macie, una lista de permitidos define un texto específico o un patrón de texto que debe ignorar Macie al inspeccionar objetos de Amazon Simple Storage Service (Amazon S3) en busca de datos confidenciales. Si un texto coincide con una entrada o un patrón de una lista de permitidos, Macie no informa del texto en los resultados de datos confidenciales, estadísticas y otros tipos de resultados. Este es el caso incluso aunque el texto coincida con los criterios de un [identificador de datos administrado](managed-data-identifiers.md) o un [identificador de datos personalizado](custom-data-identifiers.md).
Puede crear los siguientes tipos de listas de permitidos en Macie.
**Texto predefinido**
Use este tipo de lista para especificar palabras, frases y otros tipos de secuencias de caracteres específicas que no son confidenciales, no es probable que cambien y que no se adhieren a un patrón común necesariamente. Algunos ejemplos son los nombres de los representantes públicos de su organización, números de teléfono determinados y datos de muestra específicos que su organización utilice para las pruebas. Si usa este tipo de lista, Macie ignora el texto que coincida exactamente con una entrada de la lista.
Para este tipo de lista, se crea un archivo de texto sin formato delimitado por líneas en el que se muestra el texto específico que se debe ignorar. A continuación, se ignora el archivo en un bucket de S3 y se configuran los ajustes para que Macie acceda a la lista del bucket. A continuación, puede crear y configurar trabajos de detección de datos confidenciales para usar la lista o añadir la lista a la configuración automatizada de detección de datos confidenciales. Cuando cada trabajo comienza a ejecutarse o se inicia el siguiente ciclo de análisis de detección automatizada, Macie recupera la última versión de la lista de Amazon S3. Luego, Macie usa esa versión de la lista cuando inspecciona los objetos de S3 en busca de datos confidenciales. Si Macie encuentra texto que coincida exactamente con una entrada de la lista, Macie no informa de la aparición del texto como datos confidenciales.
**Expresión regular**
Use este tipo de lista para especificar una expresión regular (*regex*) que defina el patrón de texto que se va a ignorar. Algunos ejemplos son los números de teléfono públicos de su organización, las direcciones de correo electrónico del dominio de su organización y los datos de muestra modelados que su organización utilice para las pruebas. Si usa este tipo de lista, Macie ignora el texto que coincida completamente con el patrón de expresión regular definido por la lista.
Para este tipo de lista, debe crear una expresión regular que defina un patrón común para el texto que no es confidencial, pero que varía o es probable que cambie. A diferencia de una lista de texto predefinido, se crea y almacena la expresión regular y el resto de la configuración de la lista en Macie. A continuación, puede crear y configurar trabajos de detección de datos confidenciales para usar la lista o añadir la lista a la configuración automatizada de detección de datos confidenciales. Cuando se ejecutan esos trabajos o Macie realiza una detección automatizada, Macie utiliza la última versión de la expresión regular de la lista para analizar los datos. Si Macie encuentra texto que coincida exactamente con el patrón definido por la lista, Macie no informa de la aparición del texto como datos confidenciales.
Para ver los requisitos detallados, las recomendaciones y los ejemplos de cada tipo, consulte [Requisitos y opciones de configuración para listas de permitidos](allow-lists-options.md).
Puede crear hasta 10 listas de permisos en cada una de las admitidas Región de AWS: hasta cinco listas de permisos que especifican texto predefinido y hasta cinco listas de permisos que especifican expresiones regulares. Puede crear y utilizar listas de permitidos en todos los Regiones de AWS lugares en los que Macie esté disponible actualmente, excepto en la región de Asia Pacífico (Osaka).
**Creación de una lista de permitidos**
La forma de crear una lista de permitidos depende del tipo de lista que quiera crear: un archivo en el que se enumere el texto predefinido que ignorar o una expresión regular que defina un patrón de texto que ignorar. Las siguientes secciones proporcionan instrucciones para cada tipo. Elija la sección para el tipo de lista que desee crear.
## Texto predefinido
Antes de crear este tipo de lista de permitidos en Macie, haga lo siguiente:
1. Con un editor de texto, cree un archivo de texto sin formato delimitado por líneas que enumere el texto específico que desee ignorar, por ejemplo, un archivo .txt, .text o .plain. Para obtener más información, consulte [Requisitos de sintaxis](allow-lists-options.md#allow-lists-options-s3list-syntax).
1. Cargue el archivo en un bucket de uso general de S3 y anote el nombre del bucket y del objeto. Deberá introducir estos nombres cuando haga los ajustes en Macie.
1. Asegúrese de que la configuración del bucket y el objeto de S3 les permita a Macie y a usted recuperar la lista del bucket. Para obtener más información, consulte [Requisitos de almacenamiento](allow-lists-options.md#allow-lists-options-s3list-storage).
1. Si cifró el objeto de S3, asegúrese de que también esté cifrado con una clave que pueda usted y Macie puedan usar. Para obtener más información, consulte [Requisitos de cifrado y descifrado](allow-lists-options.md#allow-lists-options-s3list-encryption).
Tras completar estos pasos, estará listo para hacer los ajustes de la lista en Macie. Puede hacer los ajustes mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Para hacer los ajustes para una lista de permitidos mediante la consola de Amazon Macie, siga los pasos siguientes.
**Para hacer los ajustes de la lista de permitidos en Macie**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Configuración**, seleccione **Listas de permitidos**.
1. En la página **Listas de permitidos**, seleccione **Crear**.
1. En **Seleccione un tipo de lista**, elija **Texto predefinido**.
1. En **Configuración de lista**, utilice las siguientes opciones para introducir ajustes adicionales para la lista de permitidos:
+ En **Nombre**, ingrese el nombre de la lista. El nombre puede contener hasta 128 caracteres.
+ En **Descripción**, escriba una breve descripción de la lista. La descripción puede contener hasta 512 caracteres.
+ Para **Nombre del bucket de S3**, introduzca el nombre del bucket que almacena la lista.
En Amazon S3, puede encontrar este valor en el campo **Nombre** de las propiedades del bucket. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.
+ Para **Nombre del objeto de S3**, introduzca el nombre del objeto de S3 que almacena la lista.
En Amazon S3, puede encontrar este valor en el campo **Clave** de las propiedades del objeto. Si el nombre contiene una ruta, asegúrese de incluir la ruta completa al introducir el nombre, por ejemplo **allowlists/macie/mylist.txt**. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.
1. (Opcional) En **Etiquetas**, seleccione **Añadir etiqueta** y, a continuación, introduzca hasta 50 etiquetas para asignarlas a la lista de permitidos.
Una *etiqueta* es una etiqueta que usted define y asigna a ciertos tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte [Etiquetado de recursos de Macie](tagging-resources.md).
1. Cuando haya terminado, elija **Crear**.
Macie comprueba la configuración de la lista. Macie también comprueba que puede recuperar la lista de Amazon S3 y analizar su contenido. Si se ha producido un error, Macie muestra un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte [Opciones y requisitos para las listas de texto predefinidas](allow-lists-options.md#allow-lists-options-s3list). Tras corregir los errores, puede guardar la configuración de la lista.
------
#### [ API ]
Para configurar los ajustes de la lista de permitidos mediante programación, utilice el [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)funcionamiento de la API Amazon Macie y especifique los valores adecuados para los parámetros necesarios.
Para el parámetro `criteria`, utilice un objeto `s3WordsList` para especificar el nombre del bucket de S3 (`bucketName`) y el nombre del objeto de S3 (`objectKey`) que almacena la lista. Para determinar el nombre del bucket, consulte el campo `Name` de Amazon S3. Para determinar el nombre del objeto, consulte el campo `Key` de Amazon S3. Tenga en cuenta que estos valores distinguen entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales cuando especifique estos nombres.
Para configurar los ajustes mediante el AWS CLI, ejecute el [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)comando y especifique los valores adecuados para los parámetros necesarios. Los siguientes ejemplos muestran cómo configurar los ajustes de una lista de permitidos que se almacena en un bucket de S3 denominado*amzn-s3-demo-bucket*. El nombre del objeto S3 que almacena la lista es*allowlists/macie/mylist.txt*.
Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."
```
Al enviar la solicitud, Macie comprueba la configuración de la lista. Macie también comprueba que puede recuperar la lista de Amazon S3 y analizar su contenido. Si se produce un error, su solicitud fallará y Macie devolverá un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte [Opciones y requisitos para las listas de texto predefinidas](allow-lists-options.md#allow-lists-options-s3list).
Si Macie puede recuperar y analizar la lista, la solicitud se realizará correctamente y verá un resultado similar al siguiente.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
"id": "nkr81bmtu2542yyexample"
}
```
Donde `arn` es el nombre de recurso de Amazon (ARN) de la lista de permitidos que se creó y `id` es el identificador único de la lista.
------
Una vez guardada la configuración de la lista, puede [crear y configurar trabajos de detección de datos confidenciales](discovery-jobs-create.md) para utilizarla, o bien [añadir la lista a su configuración para la detección de datos confidenciales automatizada](discovery-asdd-account-configure.md). Cada vez que esos trabajos comienzan a ejecutarse o se inicia un ciclo de análisis de detección automatizada, Macie recupera la última versión de la lista de Amazon S3. Luego, Macie usa esa versión de la lista cuando analiza los datos.
## Expresión regular
Cuando crea una lista de permitidos que especifica una expresión regular (*regex*), define la expresión regular y todos los demás ajustes de la lista directamente en Macie. Para la expresión regular, Macie admite un subconjunto de la sintaxis de patrones de expresiones regulares proporcionado por [la biblioteca de expresiones regulares compatibles con Perl (PCRE)](https://www.pcre.org/). Para obtener más información, consulte [Soporte y recomendaciones sobre la sintaxis](allow-lists-options.md#allow-lists-options-regex-syntax).
Puede crear este tipo de lista mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Siga estos pasos para crear una lista de permitidos mediante la consola de Amazon Macie.
**Creación de una lista de permitidos mediante la consola**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Configuración**, seleccione **Listas de permitidos**.
1. En la página **Listas de permitidos**, seleccione **Crear**.
1. En **Seleccione un tipo de lista**, elija **Expresión regular**.
1. En **Configuración de lista**, utilice las siguientes opciones para introducir ajustes adicionales para la lista de permitidos:
+ En **Nombre**, ingrese el nombre de la lista. El nombre puede contener hasta 128 caracteres.
+ En **Descripción**, escriba una breve descripción de la lista. La descripción puede contener hasta 512 caracteres.
+ Para la **Expresión regular**, ingrese la expresión regular que define el patrón de texto que se debe omitir. La expresión regular puede contener hasta 512 caracteres.
1. (Opcional) Para **Evaluar**, introduzca hasta 1000 caracteres en el cuadro **Datos de muestra** y, a continuación, elija **Probar** para comprobar la expresión regular. Macie evalúa los datos de muestra e informa del número de apariciones del texto que coincide con la expresión regular. Puede repetir este paso tantas veces como desee para refinar y optimizar la expresión regular.
**nota**
Le recomendamos que pruebe y refine la expresión regular con varios conjuntos de datos de muestra. Si crea una expresión regular demasiado general, Macie podría ignorar las apariciones de texto que considere confidenciales. Si la expresión regular es demasiado específica, Macie podría ignorar las apariciones de texto que no considere confidenciales.
1. (Opcional) En **Etiquetas**, seleccione **Añadir etiqueta** y, a continuación, introduzca hasta 50 etiquetas para asignarlas a la lista de permitidos.
Una *etiqueta* es una etiqueta que usted define y asigna a ciertos tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte [Etiquetado de recursos de Macie](tagging-resources.md).
1. Cuando haya terminado, elija **Crear**.
Macie comprueba la configuración de la lista. Macie también prueba la expresión regular para comprobar que puede compilar la expresión. Si se ha producido un error, Macie muestra un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte [Opciones y requisitos de las expresiones regulares](allow-lists-options.md#allow-lists-options-regex). Tras corregir los errores, puede guardar la lista de permitidos.
------
#### [ API ]
Antes de crear este tipo de lista de permitidos en Macie, le recomendamos que pruebe y refine la expresión regular con varios conjuntos de datos de muestra. Si crea una expresión regular demasiado general, Macie podría ignorar las apariciones de texto que considere confidenciales. Si la expresión regular es demasiado específica, Macie podría ignorar las apariciones de texto que no considere confidenciales.
Para probar una expresión con Macie, puede utilizar la [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)operación de la API de Amazon Macie o, para ello, ejecutar AWS CLI[test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)el comando. Macie usa el mismo código subyacente para compilar expresiones con el fin de permitir listas e identificadores de datos personalizados. Si prueba una expresión de este modo, asegúrese de especificar valores únicamente para los parámetros `regex` y `sampleText`. De lo contrario, verá resultados inexactos.
Cuando esté listo para crear este tipo de lista de permitidos, utilice la [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)operación de la API de Amazon Macie y especifique los valores adecuados para los parámetros necesarios. Para el parámetro `criteria`, utilice el campo `regex` para especificar la expresión regular que define el patrón de texto que se debe omitir. La expresión puede contener hasta 512 caracteres.
Para crear este tipo de lista mediante el AWS CLI, ejecute el [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)comando y especifique los valores adecuados para los parámetros necesarios. En los ejemplos siguientes se crea una lista de permitidos denominada*my\$1allow\$1list*. La expresión regular está diseñada para ignorar todas las direcciones de correo electrónico que un identificador de datos personalizado podría detectar para el dominio `example.com`.
Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de continuación de línea de barra invertida (\$1) para mejorar la legibilidad.
```
$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."
```
Al enviar la solicitud, Macie comprueba la configuración de la lista. Macie también prueba la expresión regular para comprobar que puede compilar la expresión. Si se produce un error, la solicitud fallará y Macie devolverá un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte [Opciones y requisitos de las expresiones regulares](allow-lists-options.md#allow-lists-options-regex).
Si Macie puede compilar la expresión, la solicitud se realizará correctamente y verá un resultado similar al siguiente:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
Dónde `arn` es el nombre de recurso de Amazon (ARN) de la lista de permitidos que se creó y `id` es el identificador único de la lista.
------
Tras guardar la lista, puede [crear y configurar trabajos de detección de datos confidenciales](discovery-jobs-create.md) para utilizarla o [añadirla a su configuración de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md). Cuando se ejecutan esos trabajos o Macie realiza una detección automatizada, Macie utiliza la última versión de la expresión regular de la lista para analizar los datos.
# Comprobación del estado de una lista de permitidos
Si crea una lista de permitidos, es importante comprobar su estado periódicamente. De lo contrario, podrían aparecer errores que provoquen que Amazon Macie produzca resultados de análisis inesperados para sus datos de Amazon Simple Storage Service (Amazon S3). Por ejemplo, Macie podría generar resultados de datos confidenciales para texto que haya especificado en una lista de permitidos.
Si configura un trabajo de detección de datos confidenciales para que utilice una lista de permitidos y Macie no puede acceder a la lista o utilizarla cuando el trabajo comience a ejecutarse, el trabajo seguirá ejecutándose. Sin embargo, Macie no usa la lista cuando analiza los objetos de S3. Del mismo modo, si se inicia un ciclo de análisis para la detección automática de datos confidenciales y Macie no puede acceder a una lista de permitidos específica ni utilizarla, el análisis continúa pero Macie no lo utiliza.
Es poco probable que se produzcan errores en una lista de permitidos que especifique una expresión regular (*regex*). Esto se debe en parte a que Macie prueba automáticamente la expresión regular al crear o actualizar la configuración de la lista. Además, debe almacenar la expresión regular y el resto de la configuración de la lista en Macie.
Sin embargo, se pueden producir errores en una lista de permitidos que especifique texto predefinido, en parte porque la lista se almacena en Amazon S3 en lugar de en Macie. Las causas comunes de errores son:
+ Se elimina el bucket o el objeto de S3.
+ Se cambia el nombre del bucket u objeto de S3 y la configuración de la lista en Macie no especifica el nuevo nombre.
+ Se cambia la configuración de permisos del bucket de S3 y Macie pierde el acceso al bucket y al objeto.
+ La configuración de cifrado del bucket de S3 ha cambiado y Macie no puede descifrar el objeto que almacena la lista.
+ Se cambia la política de la clave de cifrado y Macie pierde el acceso a la clave. Macie no puede descifrar el objeto de S3 que almacena la lista.
**importante**
Dado que estos errores afectan a los resultados de sus análisis, le recomendamos que compruebe periódicamente el estado de todas las listas de permitidos. Le recomendamos que también lo haga si cambia los permisos o la configuración de cifrado de un bucket de S3 que almacena una lista de permitidos, o si cambia la política de una clave AWS Key Management Service (AWS KMS) que se utiliza para cifrar una lista.
Para obtener información detallada que puede ayudarle a solucionar errores que sucedan, consulte [Opciones y requisitos para las listas de texto predefinidas](allow-lists-options.md#allow-lists-options-s3list).
**Comprobación del estado de una lista de permitidos**
Puede comprobar el estado de una lista de permitidos mediante la consola de Amazon Macie o la API de Amazon Macie. En la consola, puede utilizar una sola página para comprobar el estado de todas las listas de permitidos al mismo tiempo. Si utiliza la API de Amazon Macie, puede comprobar el estado de las listas individuales de permitidos, una por una.
------
#### [ Console ]
Siga estos pasos para revisar el estado de sus listas de permitidos mediante la consola de Amazon Macie.
**Para revisar el estado de sus listas de permitidos**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Configuración**, seleccione **Listas de permitidos**.
1. En la página **Listas de permitidos**, seleccione actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)). Macie comprueba la configuración de todas las listas de permitidos y actualiza el campo **Estado** para indicar el estado actual de cada lista.
Si una lista especifica una expresión regular, su estado suele ser **Correcto**. Esto significa que Macie puede compilar la expresión. Si una lista especifica texto predefinido, su estado puede ser alguno de los siguientes valores.
**OK (Correcto)**
Macie puede recuperar y analizar el contenido de la lista.
**Acceso denegado**
A Macie no se le permite acceder al objeto de S3 que almacena la lista. Amazon S3 denegó la solicitud para recuperar el objeto. Una lista también puede tener este estado si el objeto está cifrado con un cliente gestionado por un cliente AWS KMS key que Macie no puede utilizar.
Para tratar este error, revise la política de bucket y otra configuración de permisos para el bucket y el objeto. Asegúrese de que Macie pueda acceder al objeto y recuperarlo. Si el objeto está cifrado con una AWS KMS clave gestionada por el cliente, revise también la política de claves y asegúrese de que Macie pueda utilizarla.
**Error**
Se produjo un error transitorio o interno cuando Macie intentó recuperar o analizar el contenido de la lista. Una lista de permitidos también puede tener este estado si está cifrada con un cifrado al que Amazon S3 y Macie no pueden acceder ni usar.
Para solucionar este error, espere unos minutos y, a continuación, seleccione actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) de nuevo. Si el estado sigue siendo **Error**, compruebe la configuración de cifrado del objeto de S3. Asegúrese de que el objeto esté cifrado con una clave a la que Amazon S3 y Macie puedan acceder y usar.
**El objeto está vacío**
Macie puede recuperar la lista de Amazon S3, pero la lista no tiene ningún contenido.
Para solucionar este error, descargue el objeto de Amazon S3 y asegúrese de que contiene las entradas correctas. Si las entradas son correctas, revise la configuración de la lista en Macie. Asegúrese de que los nombres de los buckets y objetos especificados sean correctos.
**No se ha encontrado el objeto**
La lista no existe en Amazon S3.
Para solucionar este error, revise la configuración de la lista en Macie. Asegúrese de que los nombres de los buckets y objetos especificados sean correctos.
**Cuota excedida**
Macie puede acceder a la lista en Amazon S3. Sin embargo, el número de entradas de la lista o el tamaño de almacenamiento de la lista superan la cuota de una lista de permitidos.
Para solucionar este error, divida la lista en varios archivos. Asegúrese de que cada archivo contenga menos de 100 000 entradas. Asegúrese también de que el tamaño de cada archivo sea inferior a 35 MB. A continuación, cargue cada archivo en Amazon S3. Al terminar, ha los ajustes de la lista de permitidos en Macie para cada archivo. Puede tener hasta cinco listas de texto predefinido en cada Región de AWS compatible.
**Solicitudes restringidas**
Amazon S3 limitó la solicitud para recuperar la lista.
Para solucionar este error, espere unos minutos y, a continuación, seleccione actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) de nuevo.
**Acceso de usuario denegado**
Amazon S3 denegó la solicitud para recuperar el objeto. Si el objeto especificado existe, no puedes acceder a él o está cifrado con una AWS KMS clave que no puedes usar.
Para solucionar este error, póngase en contacto con el AWS administrador para asegurarse de que la configuración de la lista especifique los nombres correctos del depósito y del objeto y de que tenga acceso de lectura al depósito y al objeto. Si el objeto está cifrado, asegúrese de que también esté cifrado con una clave que pueda usar.
1. Para revisar la configuración y el estado de una lista específica, elija el nombre de la lista.
------
#### [ API ]
Para comprobar el estado de una lista de permitidos mediante programación, utilice el [GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)funcionamiento de la API Amazon Macie. O bien, si está utilizando el AWS CLI, ejecute el comando. [get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html)
Para el parámetro `id`, especifique el identificador único de la lista de permitidos cuyo estado desee comprobar. Para obtener este identificador, puede usar la [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)operación. La operación **ListAllowLists** recupera información sobre todas las listas de permitidos de la cuenta. Si está utilizando el AWS CLI, puede ejecutar el [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)comando para recuperar esta información.
Al enviar una solicitud **GetAllowList**, Macie comprueba todos los ajustes de la lista de permitidos. Si la configuración especifica una expresión regular (`regex`), Macie comprueba que puede compilar la expresión. Si la configuración especifica una lista de texto predefinido (`s3WordsList`), Macie comprueba que puede recuperar y analizar la lista.
A continuación, Macie devuelve un objeto `GetAllowListResponse` que proporciona los detalles de la lista de permitidos. En el objeto `GetAllowListResponse`, el objeto `status` indica el estado actual de la lista: un código de estado (`code`) y, según el código de estado, una breve descripción del estado de la lista (`description`).
Si la lista de permitidos especifica una expresión regular, el código de estado suele ser `OK` y no hay una descripción asociada. Esto significa que Macie compiló la expresión con éxito.
Si la lista de permitidos especifica un texto predefinido, el código de estado varía en función de los resultados de la prueba:
+ Si Macie recuperó y analizó la lista correctamente, el código de estado es `OK` y no hay ninguna descripción asociada.
+ Si un error ha impedido a Macie recuperar o analizar la lista, el código de estado y la descripción indican la naturaleza del error que se ha producido.
Para obtener una lista de los posibles códigos de estado y una descripción de cada uno de ellos, consulte la [AllowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus)referencia de la *API de Amazon Macie.*
------
# Cambio de una lista de permitidos
Después de crear una lista de permitidos, puede cambiar la mayoría de los ajustes de la lista en Amazon Macie. Por ejemplo, puede cambiar el nombre y la descripción de la lista. También puede añadir y editar etiquetas para la lista. La única configuración que no puede cambiar es el tipo de una lista. Por ejemplo, si una lista existente especifica una expresión regular (*regex*), no puede cambiar su tipo a texto predefinido.
Si una lista de permitidos especifica texto predefinido, también puede cambiar las entradas de la lista. Para ello, actualice el archivo que contiene las entradas. A continuación, cargue la nueva versión del archivo en Amazon Simple Storage Service (Amazon S3). La próxima vez que Macie se prepare para usar la lista, recuperará la última versión del archivo de Amazon S3. Cuando cargue el nuevo archivo, asegúrese de guardarlo en el mismo bucket y objeto de S3. O bien, si cambia el nombre del bucket o del objeto, asegúrese de actualizar la configuración de la lista en Macie.
**Cambio de la configuración de una lista de permitidos**
Puede cambiar la configuración de una lista de permitidos mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Para cambiar la configuración de una lista de permitidos mediante la consola de Amazon Macie, siga estos pasos.
**Cambio de la configuración de una lista de permitidos mediante la consola**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Configuración**, seleccione **Listas de permitidos**.
1. En la página **Listas de permitidos**, elija el nombre de la lista de permitidos que desea cambiar. Se abre la página de listas de permitidos y muestra la configuración actual de la lista.
1. Para agregar o editar las etiquetas de la lista de permitidos, en la sección **Etiquetas**, elija **Administrar etiquetas**. A continuación, cambie las etiquetas según sea necesario. Cuando termine, elija **Guardar**.
1. Para cambiar otros ajustes de la lista de permitidos, seleccione **Editar** en la sección **Ajustes de la lista**. A continuación, cambie la configuración como desee:
+ **Nombre**: ingrese un nombre nuevo para la lista. El nombre puede contener hasta 128 caracteres.
+ **Descripción**: introduzca una nueva descripción de la lista. La descripción puede contener hasta 512 caracteres.
+ Si la lista de permitidos especifica un texto predefinido:
+ **Nombre del bucket de S3**: introduzca el nombre del bucket que almacena la lista.
En Amazon S3, puede encontrar este valor en el campo **Nombre** de las propiedades del bucket. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.
+ **Nombre del objeto de S3**: introduzca el nombre del objeto de S3 que almacena la lista.
En Amazon S3, puede encontrar este valor en el campo **Clave** de las propiedades del objeto. Si el nombre contiene una ruta, asegúrese de incluir la ruta completa al introducir el nombre, por ejemplo **allowlists/macie/mylist.txt**. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.
+ Si la lista de permitidos especifica una expresión regular (*regex*), introduzca una nueva expresión regular en el cuadro **Expresión regular**. La expresión regular puede contener hasta 512 caracteres.
Después de introducir la nueva expresión regular, si lo desea, pruébela. Para ello, introduzca hasta 1000 caracteres en el cuadro **Datos de muestra** y, a continuación, seleccione **Probar**. Macie evalúa los datos de muestra e informa del número de apariciones del texto que coincide con la expresión regular. Puede repetir este paso tantas veces como desee para refinar y optimizar la expresión regular antes de guardar los cambios.
1. Cuando termine, elija **Guardar**.
Macie comprueba la configuración de la lista. Para una lista de texto predefinido, Macie también comprueba que puede recuperar la lista de Amazon S3 y analizar su contenido. Para una expresión regular, Macie también verifica que puede compilar la expresión. Si se ha producido un error, Macie muestra un mensaje que describe el error. Para obtener información detallada que pueda ayudarle a solucionar el error, consulte [Requisitos y opciones de configuración para listas de permitidos](allow-lists-options.md). Después de corregir los errores, puede guardar los cambios.
------
#### [ API ]
Para cambiar la configuración de una lista de permitidos mediante programación, utilice el [UpdateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)funcionamiento de la API Amazon Macie. O bien, si está utilizando el AWS CLI, ejecute el comando. [update-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-allow-list.html) En su solicitud, utilice los parámetros admitidos con el fin de especificar un nuevo valor para cada configuración que desee cambiar. Tenga en cuenta que los parámetros `criteria`, `id` y `name` son obligatorios. Si no desea cambiar el valor de un parámetro obligatorio, especifique el valor actual del parámetro.
Por ejemplo, el siguiente comando cambia el nombre y la descripción de una lista de permitidos existente. El ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"
```
Donde:
+ *km2d4y22hp6rv05example*es el identificador único de la lista.
+ *my\$1allow\$1list-email*es el nuevo nombre de la lista.
+ *[a-z]@example.com*es el criterio de la lista, una expresión regular.
+ *Ignores all email addresses for the example.com domain*es la nueva descripción de la lista.
Al enviar la solicitud, Macie comprueba la configuración de la lista. Si la lista especifica texto predefinido (`s3WordsList`), esto incluye verificar que Macie pueda recuperar la lista de Amazon S3 y analizar su contenido. Si la lista especifica una expresión regular (`regex`), esto incluye comprobar que Macie pueda compilar la expresión.
Si se produce un error cuando Macie prueba la configuración, su solicitud fallará y Macie devolverá un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte [Requisitos y opciones de configuración para listas de permitidos](allow-lists-options.md). Si la solicitud falla por otro motivo, Macie devuelve una respuesta HTTP 4 *xx* o 500 que indica el motivo del error de la operación.
Si su solicitud tiene éxito, Macie actualiza la configuración de la lista y recibirá un resultado similar al siguiente.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
Donde `arn` es el nombre de recurso de Amazon (ARN) de la lista de permitidos que se actualizó y `id` es el identificador único de la lista.
------
# Eliminación de una lista de permitidos
Al eliminar una lista de permitidos en Amazon Macie, se eliminan permanentemente todas las configuraciones de la lista. Estas configuraciones no se pueden recuperar después de eliminarlas. Si la configuración especifica una lista de texto predefinido que almacena en Amazon Simple Storage Service (Amazon S3), Macie no elimina el objeto de S3 que almacena la lista. Solo se eliminan las configuracines de Macie.
Si configura los trabajos de detección de datos confidenciales para que utilicen una lista de permitidos y, posteriormente, elimina la lista, los trabajos se ejecutarán según lo programado. Sin embargo, los resultados de su trabajo, tanto los resultados de datos confidenciales como los resultados de la detección de datos confidenciales, pueden incluir texto que haya especificado previamente en la lista de permitidos. Del mismo modo, si configura la detección de datos confidenciales automatizada para utilizar una lista y, posteriormente, la elimina, continuarán los ciclos de análisis diarios. Sin embargo, los resultados de datos confidenciales, las estadísticas u otros tipos de resultados pueden incluir texto que haya especificado previamente en la lista de permitidos.
Antes de eliminar una lista de permitidos, le recomendamos que [revise su inventario de tareas](discovery-jobs-manage-view.md) para identificar los trabajos que utilizan la lista y que están programados para ejecutarse en el futuro. En el inventario, el panel de detalles indica si un trabajo está configurado para usar alguna lista de permitidos y, de ser así, cuáles. Le recomendamos que [compruebe también la configuración de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md). Puede que decida que es mejor cambiar una lista en lugar de eliminarla.
Como medida de seguridad adicional, Macie comprueba la configuración de todos sus trabajos cuando intenta eliminar una lista de permitidos. Si ha configurado trabajos para usar la lista y alguno de esos trabajos tiene un estado distinto de **Completado** o **Cancelado**, Macie no eliminará la lista a menos que usted proporcione una confirmación adicional.
**Para eliminar una lista de permitidos**
Puede eliminar una lista de permitidos mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Siga estos pasos para eliminar una regla de filtrado mediante la consola de Amazon Macie.
**Eliminación de una lista de permitidos mediante la consola**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Configuración**, seleccione **Listas de permitidos**.
1. En la página **Permitir listas**, seleccione la casilla de verificación de la lista de permitidos que desee eliminar.
1. En el menú **Actions (Acciones)**, elija **Delete (Eliminar)**.
1. Cuando se le pida confirmación, ingrese **delete** y elija **Delete (Eliminar)**.
------
#### [ API ]
Para eliminar una lista de permitidos mediante programación, utilice la [DeleteAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)operación de la API Amazon Macie. Para el parámetro `id`, especifique el identificador único de la lista de permitidos que desee eliminar. Puede obtener este identificador mediante la operación. [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) La operación **ListAllowLists** recupera información sobre todas las listas de permitidos de la cuenta. Si utiliza el AWS CLI, puede ejecutar el [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)comando para recuperar esta información.
Para el parámetro `ignoreJobChecks`, especifique si desea forzar la eliminación de la lista, incluso si los trabajos de detección de datos confidenciales están configurados para usar la lista:
+ Si especifica `false`, Macie comprobará la configuración de todos los trabajos que tengan un estado distinto de `COMPLETE` o `CANCELLED`. Si ninguno de esos trabajos está configurado para usar la lista, Macie lo borra permanentemente. Si alguno de esos trabajos está configurado para usar la lista, Macie rechazará su solicitud y devolverá un error HTTP 400 (`ValidationException`). El mensaje de error indica el número de trabajos aplicables para un máximo de 200 trabajos.
+ Si especifica `true`, Macie eliminará la lista de forma permanente sin comprobar la configuración de ninguno de sus trabajos.
Para eliminar una lista de permitidos mediante el AWS CLI, ejecute el [delete-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-allow-list.html)comando. Por ejemplo:
```
C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false
```
Dónde *nkr81bmtu2542yyexample* está el identificador único de la lista de personas a las que se permite eliminar.
Si la solicitud se realiza correctamente, Macie devuelve una respuesta HTTP 200 vacía. De lo contrario, Macie devuelve una respuesta HTTP 4 *xx* o 500 que indica el motivo del error de la operación.
------
Si la lista de permitidos especificaba un texto predefinido, si lo desea, puede eliminar el objeto de S3 que almacena la lista. Sin embargo, conservar este objeto puede ayudar a garantizar que tiene un historial inmutable de resultados de datos confidenciales y resultados de detección para las auditorías o investigaciones de privacidad y protección de datos.
# Realización de la detección de datos confidenciales automatizada
Para obtener una amplia visibilidad de dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon Simple Storage Service (Amazon S3), configure Amazon Macie para que realice la detección automática de datos confidenciales para su cuenta u organización. Gracias a la detección automática de datos confidenciales, Macie evalúa continuamente su inventario de buckets de S3 y utiliza técnicas de muestreo para identificar y seleccionar los objetos de S3 representativos de sus buckets. A continuación, Macie recupera y analiza los objetos seleccionados, inspeccionándolos en busca de datos confidenciales.
De forma predeterminada, Macie selecciona y analiza objetos de todos los buckets de uso general de S3. Si es el administrador de Macie de una organización, esto incluye los objetos de los buckets que sean propiedad de sus cuentas de miembro. Puede ajustar el alcance de los análisis excluyendo buckets específicos. Por ejemplo, puede excluir los depósitos que suelen almacenar datos de AWS registro. Si es administrador de Macie, una opción adicional es habilitar o deshabilitar la detección automática de datos confidenciales para las cuentas individuales de su organización de forma puntual. case-by-case
Puede personalizar los análisis para que se centren en tipos específicos de datos confidenciales. De forma predeterminada, Macie analiza los objetos de S3 mediante el conjunto de identificadores de datos administrados que recomendamos para la detección de datos confidenciales automatizada. Para pormenorizar los análisis, puede configurar un trabajo para que utilice los [identificadores de datos administrados](managed-data-identifiers.md) específicos que proporciona Macie, los [identificadores de datos personalizados](custom-data-identifiers.md) que usted defina o una combinación de ambos. También puede refinar los análisis configurando Macie para que utilice las [listas de permitidos](allow-lists.md) que especifique.
A medida que el análisis avanza cada día, Macie genera registros de los datos confidenciales que encuentra y los análisis que realiza: *resultados de datos confidenciales*, que registran datos confidenciales que Macie encuentra en objetos de S3 individuales, y *resultados de la detección de datos confidenciales*, donde se registran detalles sobre el análisis de objetos de S3 individuales. Macie también actualiza las estadísticas, los datos de inventario y demás información que proporcione sobre sus datos de Amazon S3. Por ejemplo, un mapa térmico interactivo de la consola ofrece una representación visual de la confidencialidad de datos de todo su patrimonio de datos:
![\[El mapa de buckets de S3. Muestra cuadrados de diferentes colores, uno para cada bucket de S3, agrupados por cuenta.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-s3-map-small.png)
Estas características están diseñadas para ayudarle a evaluar la confidencialidad de los datos en todo su patrimonio de datos de Amazon S3 y a profundizar para investigar y evaluar cuentas, buckets y objetos individuales. También pueden ayudarlo a determinar dónde realizar un análisis más profundo e inmediato mediante la [ejecución de trabajos de detección de datos confidenciales](discovery-jobs.md). Junto con la información que Macie proporciona sobre la seguridad y la privacidad de sus datos de Amazon S3, también puede usar estas características para identificar los casos en los que podría ser necesaria una solución inmediata, por ejemplo, un bucket de acceso público en el que Macie haya encontrado datos confidenciales.
Para configurar y administrar la detección de datos confidenciales automatizada, debe ser el administrador de Macie de una organización o contar con una cuenta de Macie independiente.
**Topics**
+ [Cómo funciona la detección de datos confidenciales automatizada](discovery-asdd-how-it-works.md)
+ [Configuración de la detección de datos confidenciales automatizada](discovery-asdd-account-manage.md)
+ [Revisión de los resultados de la detección de datos confidenciales automatizada](discovery-asdd-results-s3.md)
+ [Evaluación de cobertura de detección de datos confidenciales automatizada](discovery-coverage.md)
+ [Ajuste de las puntuaciones de confidencialidad para buckets de S3](discovery-asdd-s3bucket-manage.md)
+ [Puntuación de confidencialidad para buckets de S3](discovery-scoring-s3.md)
+ [Configuración predeterminada para la detección de datos confidenciales automatizada](discovery-asdd-settings-defaults.md)
# Cómo funciona la detección de datos confidenciales automatizada
Cuando habilita Amazon Macie para su cuenta Cuenta de AWS, Macie crea un [rol vinculado al servicio AWS Identity and Access Management](service-linked-roles.md) (IAM) para su cuenta en la cuenta actual. Región de AWS La política de permisos de este rol permite a Macie llamar a otros recursos Servicios de AWS y supervisarlos en su nombre. AWS Al utilizar esta función, Macie genera y mantiene un inventario de los depósitos de uso general de Amazon Simple Storage Service (Amazon S3) en la región. El inventario incluye información sobre cada uno de sus buckets de S3 y los objetos que contienen. Si es el administrador de Macie de una organización, se incluye información sobre los buckets que son propiedad de sus cuentas de miembro. Para obtener más información, consulte [Administración de varias cuentas ](macie-accounts.md).
Si habilita la detección de datos confidenciales automatizada, Macie evalúa los datos del inventario a diario para identificar los objetos de S3 que son aptos para la detección automatizada. Como parte de la evaluación, Macie también selecciona una muestra de objetos representativos para analizarlos. A continuación, Macie recupera y analiza la versión más reciente de cada objeto seleccionado, y lo inspecciona en busca de datos confidenciales.
A medida que el análisis avanza cada día, Macie actualiza las estadísticas, los datos de inventario y otra información que proporciona sobre sus datos de Amazon S3. Macie también genera registros de los datos confidenciales que encuentra y de los análisis que realiza. Los datos resultantes proporcionan información sobre dónde Macie encontró datos confidenciales en su patrimonio de datos de Amazon S3, lo que puede abarcar todos los segmentos de uso general de S3 de su cuenta. Los datos pueden ayudarle a evaluar la seguridad y la privacidad de sus datos de Amazon S3, determinar dónde realizar una investigación más profunda e identificar los casos en los que es necesario remediarlos.
Para ver una breve demostración de cómo funciona la detección de datos confidenciales automatizada, vea el siguiente video:
Para configurar y administrar la detección de datos confidenciales automatizada, debe ser el administrador de Macie de una organización o contar con una cuenta de Macie independiente. Si su cuenta forma parte de una organización, solo el administrador de Macie de su organización puede habilitar o deshabilitar la detección automatizada para las cuentas de la organización. Además, solo el administrador de Macie puede administrar y configurar los ajustes de detección automatizada en las cuentas. Esto incluye ajustes que definen el alcance y la naturaleza de los análisis que realiza Macie. Si tiene una cuenta de miembro en una organización, debe ponerse en contacto con el administrador de Macie para obtener información sobre la configuración para su cuenta y organización.
**Topics**
+ [Componentes principales](#discovery-asdd-how-it-works-components)
+ [Consideraciones](#discovery-asdd-how-it-works-considerations)
## Componentes principales
Amazon Macie utiliza una combinación de características y técnicas para realizar la detección de datos confidenciales automatizada. Todo esto funciona en conjunto con las características que Macie utiliza para ayudarlo a [supervisar sus datos de Amazon S3 con fines de seguridad y control de acceso](monitoring-s3-how-it-works.md).
**Selección de objetos de S3 para analizarlos**
A diario, Macie evalúa los datos de inventario de Amazon S3 para identificar los objetos de S3 que pueden analizarse mediante la detección de datos confidenciales automatizada. Si es el administrador de Macie de una organización, la evaluación incluye de manera predeterminada los datos de los buckets de S3 que sean propiedad de sus cuentas de miembro.
Como parte de la evaluación, Macie utiliza técnicas de muestreo para seleccionar objetos de S3 representativos para analizarlos. Las técnicas definen grupos de objetos que tienen metadatos similares y es probable que tengan un contenido similar. Los grupos se basan en dimensiones como el nombre del bucket, el prefijo, la clase de almacenamiento, la extensión del nombre del archivo y la fecha de la última modificación. A continuación, Macie selecciona un conjunto representativo de muestras de cada grupo, recupera la última versión de cada objeto seleccionado de Amazon S3 y analiza cada objeto seleccionado para determinar si el objeto contiene datos confidenciales. Cuando se completa el análisis, Macie descarta su copia del objeto.
La estrategia de muestreo prioriza los análisis distribuidos. En general, utiliza un enfoque centrado en la amplitud de datos de Amazon S3. Cada día, se selecciona un conjunto representativo de objetos de S3 de entre tantos buckets de uso general como sea posible en función del tamaño total de almacenamiento de todos los objetos clasificables de su patrimonio de datos de Amazon S3. Por ejemplo, si Macie ya ha analizado y encontrado datos confidenciales en los objetos de un bucket y aún no ha analizado los objetos de otro bucket, este último bucket tiene mayor prioridad en el análisis. Con este enfoque, obtendrá una visión amplia de la confidencialidad de sus datos S3 de Amazon con mayor rapidez. Según el tamaño de su patrimonio de datos, los resultados del análisis pueden empezar a aparecer en un plazo de 48 horas.
La estrategia de muestreo también prioriza el análisis de distintos tipos de objetos de S3 y de objetos que se hayan creado o modificado recientemente. No se garantiza que ninguna muestra de un solo objeto sea concluyente. Por lo tanto, el análisis de un conjunto diverso de objetos puede proporcionar una mejor visión de los tipos y la cantidad de datos confidenciales que puede contener un bucket de S3. Además, la priorización de los objetos nuevos o modificados recientemente ayuda a que el análisis se adapte a los cambios en el inventario de buckets. Por ejemplo, si los objetos se crean o modifican después de un análisis anterior, esos objetos tienen mayor prioridad para los análisis posteriores. Por el contrario, si un objeto se analizó previamente y no ha cambiado desde ese análisis, Macie no vuelve a analizarlo. Este enfoque le ayuda a establecer las líneas base de confidencialidad para los buckets S3 individuales. Luego, a medida que avanzan los análisis continuos e incrementales de su cuenta, las evaluaciones de confidencialidad de los grupos individuales pueden ser cada vez más profundas y detalladas a un ritmo predecible.
**Definición del alcance de los análisis**
De forma predeterminada, Macie incluye todos los depósitos de uso general de S3 para su cuenta cuando evalúa los datos de inventario y selecciona los objetos de S3 para analizarlos. Si es el administrador de Macie de una organización, incluirá los buckets que sean propiedad de las cuentas de miembro.
Puede ajustar el alcance de los análisis excluyendo buckets de S3 específicos de la detección de datos confidenciales automatizada. Por ejemplo, es posible que desee excluir los depósitos que suelen almacenar datos de AWS registro, como los registros de eventos. AWS CloudTrail Para excluir un bucket, puede cambiar la configuración de detección automatizada de su cuenta o del bucket. Si lo hace, Macie comenzará a excluir el bucket cuando comience el siguiente ciclo diario de evaluación y análisis. Puede excluir hasta 1000 buckets de los análisis. Si excluye un bucket de S3, puede volver a incluirlo posteriormente. Para ello, cambie la configuración de su cuenta o del bucket de nuevo. Luego, Macie comienza a incluir el bucket cuando inicia el siguiente ciclo diario de evaluación y análisis.
Si es el administrador de Macie de una organización, también puede activar o desactivar la detección de datos confidenciales automatizada para cuentas individuales de su organización. Si deshabilita la detección automatizada en una cuenta, Macie excluye todos los buckets de S3 que sean propiedad de la cuenta. Si posteriormente vuelve a activar la detección automatizada para la cuenta, Macie volverá a incluir los buckets.
**Determinación de qué tipos de datos confidenciales detectar y notificar**
De forma predeterminada, Macie inspecciona los objetos de S3 mediante el conjunto de identificadores de datos administrados que recomendamos para la detección de datos confidenciales automatizada. Para obtener una lista de identificadores, consulte [Configuración predeterminada para la detección de datos confidenciales automatizada](discovery-asdd-settings-defaults.md).
Puede personalizar los análisis para que se centren en tipos específicos de datos confidenciales. Para ello, cambie la configuración de detección automatizada cuenta de cualquiera de estas formas:
+ **Añadir o eliminar identificadores de datos gestionados***: un identificador de datos gestionados* es un conjunto de criterios y técnicas integrados diseñados para detectar un tipo específico de datos confidenciales, como números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. Para obtener más información, consulte [Uso de identificadores de datos administrados](managed-data-identifiers.md).
+ **Añadir o eliminar identificadores de datos personalizados**: un *identificador de datos personalizado* es un conjunto de criterios que se definen para detectar datos confidenciales. Con los identificadores de datos personalizados, puede detectar datos confidenciales que reflejen escenarios particulares, propiedad intelectual o datos propios de su organización. Por ejemplo, puede detectar los números de cuentas de los empleados IDs, los números de cuentas de los clientes o las clasificaciones internas de los datos. Para obtener más información, consulte [Creación de identificadores de datos personalizados](custom-data-identifiers.md).
+ **Añadir o eliminar listas de permitidos**: en Macie, una lista de permitidos especifica un texto o un patrón de texto que Macie debe ignorar en los objetos de S3. Por lo general, se trata de excepciones a los datos confidenciales en situaciones o entornos específicos, como nombres o números de teléfono públicos de la organización o datos de muestra que la organización utilice para las pruebas. Para obtener más información, consulte [Definición de excepciones de datos confidenciales con las listas de permitidos](allow-lists.md).
Si cambia una configuración, Macie aplicará el cambio cuando comience el siguiente ciclo de análisis diario. Si es el administrador de Macie para una organización, Macie utiliza la configuración de su cuenta al analizar los objetos de S3 en otras cuentas de su organización.
También puede ajustar la configuración en el bucket para determinar si se incluyen tipos específicos de datos confidenciales en las evaluaciones de la confidencialidad de un bucket. Para aprender a hacerlo, consulte [Ajuste de las puntuaciones de confidencialidad para buckets de S3](discovery-asdd-s3bucket-manage.md).
**Cálculo de las puntuaciones de confidencialidad**
De forma predeterminada, Macie calcula automáticamente una puntuación de sensibilidad para cada segmento de uso general de S3 de su cuenta. Si es el administrador de Macie de una organización, incluirá los buckets que sean propiedad de las cuentas de miembro.
En Macie, una *puntuación de confidencialidad* es una medida cuantitativa de la intersección de dos dimensiones principales: la cantidad de datos confidenciales que Macie ha encontrado en un bucket y la cantidad de datos que Macie ha analizado en un bucket. La puntuación de confidencialidad de un bucket determina qué etiqueta de confidencialidad asigna Macie al bucket. *Una *etiqueta de confidencialidad* es una representación cualitativa de la puntuación de confidencialidad de un bucket, por ejemplo, *Confidencial* *No confidencial* y Aún no se ha analizado.* Para obtener más información sobre el rango de puntuaciones y etiquetas de confidencialidad que define Macie, consulte [Puntuación de confidencialidad para buckets de S3](discovery-scoring-s3.md).
La puntuación de confidencialidad y la etiqueta de un bucket de S3 no implican ni indican de otro modo la criticidad o importancia que el bucket o los objetos del bucket puedan tener para usted o para su organización. Por el contrario, su objetivo es proporcionar puntos de referencia que puedan ayudarle a identificar y supervisar los posibles riesgos de seguridad.
Cuando habilita la detección de datos confidenciales automatizada en su cuenta, Macie asigna automáticamente una puntuación de confidencialidad de *50* y la etiqueta *Aún no se ha analizado* a cada bucket de S3. La excepción son los buckets vacíos. Un *bucket vacío* es un bucket que no almacena ningún objeto o todos los objetos del bucket contienen cero (0) bytes de datos. Si este es el caso de un bucket, Macie le asigna una puntuación de *1* y le asigna la etiqueta *No confidencial*.
A medida que avanza la detección de datos confidenciales automatizada, Macie actualiza las puntuaciones de confidencialidad y las etiquetas para reflejar los resultados de los análisis. Por ejemplo:
+ Si Macie no encuentra datos confidenciales en un objeto, reduce la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.
+ Si Macie encuentra datos confidenciales en un objeto, aumenta la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.
+ Si Macie encuentra datos confidenciales en un objeto que se ha modificado posteriormente, elimina las detecciones de datos confidenciales del objeto de la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.
+ Si Macie encuentra datos confidenciales en un objeto y los elimina posteriormente, elimina las detecciones de datos confidenciales del objeto de la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.
Puede ajustar la configuración de la puntuación de confidencialidad de cada segmento S3 incluyendo o excluyendo tipos específicos de datos confidenciales de la puntuación de un segmento. Puede anular la puntuación calculada de un bucket y asignar manualmente la puntuación máxima (*100*) al bucket. Si asigna la puntuación máxima, la etiqueta del bucket será *Confidencial*. Para obtener más información, consulte [Ajuste de las puntuaciones de confidencialidad para buckets de S3](discovery-asdd-s3bucket-manage.md).
**Generación de metadatos, estadísticas y otros tipos de resultados**
Cuando habilita la detección automática de datos confidenciales, Macie genera y comienza a mantener datos de inventario adicionales, estadísticas y otra información sobre los depósitos de uso general de S3 para su cuenta. Si es el administrador de Macie de una organización, incluirá de forma predeterminada los buckets que son propiedad de las cuentas de miembro.
La información adicional recoge los resultados de las actividades de detección de datos confidenciales automatizada que Macie ha realizado hasta ahora. También complementa otra información que Macie proporciona sobre sus datos de Amazon S3, como la configuración de acceso público y acceso compartido para buckets individuales. La información adicional incluye lo siguiente:
+ Una representación visual e interactiva de la confidencialidad de los datos en todo su patrimonio de datos de Amazon S3.
+ Estadísticas agregadas de confidencialidad de los datos, como el número total de grupos en los que Macie ha encontrado datos confidenciales y cuántos de esos grupos son de acceso público.
+ Detalles del bucket que indican el estado actual de los análisis. Por ejemplo, una lista de objetos que Macie ha analizado en un bucket, los tipos de datos confidenciales que Macie ha encontrado en un bucket y el número de apariciones de cada tipo de datos confidenciales que Macie ha encontrado.
La información también incluye estadísticas y detalles que pueden ayudarle a evaluar y supervisar la cobertura de sus datos de Amazon S3. Puede comprobar el estado de los análisis de su patrimonio de datos en general y de los buckets de S3 individuales. También puede identificar los problemas que impidieron que Macie analizara objetos en buckets específicos. Si soluciona los problemas, puede aumentar la cobertura de sus datos de Amazon S3 durante los ciclos de análisis posteriores. Para obtener más información, consulte [Evaluación de cobertura de detección de datos confidenciales automatizada](discovery-coverage.md).
Macie recalcula y actualiza automáticamente esta información mientras realiza la detección de datos confidenciales automatizada. Por ejemplo, si Macie encuentra datos confidenciales en un objeto de S3 que posteriormente se modifican o eliminan, Macie actualiza los metadatos del bucket correspondiente: elimina el objeto de la lista de objetos analizados; elimina las apariciones de datos confidenciales que Macie encontró en el objeto; recalcula la puntuación de confidencialidad, si la puntuación se calcula automáticamente; y actualiza la etiqueta de confidencialidad según sea necesario para reflejar la nueva puntuación.
Además de los metadatos y las estadísticas, Macie produce registros de los datos confidenciales que encuentra y los análisis que realiza: *resultados de datos confidenciales*, que informan de los datos confidenciales que Macie encuentra en objetos de S3 individuales, y *resultados de detección de datos confidenciales*, que registran detalles sobre el análisis de objetos de S3 individuales.
Para obtener más información, consulte [Revisión de los resultados de la detección de datos confidenciales automatizada](discovery-asdd-results-s3.md).
## Consideraciones
Al utilizar y configurar Amazon Macie para realizar la detección de datos confidenciales automatizada para sus datos de Amazon S3, tenga en cuenta lo siguiente:
+ Su configuración de detección automática se aplica únicamente a los datos actuales. Región de AWS En consecuencia, los análisis y los datos resultantes se aplican únicamente a los buckets y objetos de uso general de S3 de la región actual. Para realizar la detección automatizada y acceder a los datos resultantes en regiones adicionales, habilite y configure la detección automatizada en cada región adicional.
+ Si es el administrador de Macie de una organización:
+ Solo puede realizar la detección automatizada de una cuenta de miembro si Macie está habilitada para la cuenta en la región actual. Además, debe habilitar la detección automatizada para la cuenta de esa región. Los miembros no pueden habilitar ni deshabilitar la detección automatizada en sus propias cuentas.
+ Si habilita la detección automatizada en una cuenta de miembro, Macie utilizará la configuración de detección automatizada de su cuenta de administrador al analizar los datos de la cuenta de miembro. La configuración aplicable es: la lista de buckets de S3 que se pueden excluir de los análisis e identificadores de datos administrados, los identificadores de datos personalizados y las listas de permitidos que se han de usar al analizar los objetos de S3. Los miembros no pueden revisar ni cambiar esta configuración.
+ Los miembros no pueden acceder a la configuración de detección automatizada de los buckets de S3 individuales de su propiedad. Por ejemplo, un miembro no puede revisar ni ajustar la configuración de la puntuación de confidencialidad de uno de sus buckets. Solo el administrador de Macie puede acceder a estos ajustes.
+ Los miembros tienen acceso de lectura a las estadísticas de detección de datos confidenciales y a otros resultados que Macie proporciona directamente para sus buckets de S3. Por ejemplo, un miembro puede usar Macie para revisar las puntuaciones de confidencialidad y los buckets de S3. La excepción son los resultados de datos confidenciales. Solo el administrador de Macie tiene acceso directo a los resultados que produce la detección automatizada.
+ Si la configuración de permisos de un bucket de S3 impide que Macie acceda a o recupere información sobre el bucket o los objetos del bucket, Macie no podrá realizar la detección automatizada en el bucket. Macie solo puede proporcionar un subconjunto de información sobre el depósito, como el ID de cuenta del propietario del depósito, el nombre del depósito y la fecha en Cuenta de AWS que Macie recuperó por última vez los metadatos del depósito y del objeto del depósito como parte del ciclo de actualización [diario](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh). En su inventario de buckets, la puntuación de confidencialidad de estos buckets es *50* y su etiqueta de confidencialidad es *Aún no se ha analizado.* Para identificar los buckets de S3 en este caso, consulte sus datos de cobertura. Para obtener más información, consulte [Evaluación de cobertura de detección de datos confidenciales automatizada](discovery-coverage.md).
+ Para poder ser seleccionado y analizado, un objeto de S3 debe estar almacenado en un bucket de uso general y debe ser *clasificable*. Un objeto *clasificable* utiliza una clase de almacenamiento de Amazon S3 compatible y tiene una extensión de nombre de archivo para un archivo o formato de almacenamiento compatible. Para obtener más información, consulte [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md).
+ Si un objeto de S3 está cifrado, Macie solo puede analizarlo si está cifrado con una clave a la que Macie pueda acceder y que pueda usar. Para obtener más información, consulte [Análisis de objetos de S3 cifrados](discovery-supported-encryption-types.md). Para identificar los casos en los que la configuración de cifrado haya impedido que Macie analizara uno o más objetos de un bucket, consulte sus datos de cobertura. Para obtener más información, consulte [Evaluación de cobertura de detección de datos confidenciales automatizada](discovery-coverage.md).
# Configuración de la detección de datos confidenciales automatizada
Para obtener una amplia visibilidad de dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon Simple Storage Service (Amazon S3), habilite y configure la detección de datos confidenciales automatizada para su cuenta u organización. Entonces, Amazon Macie evalúa su inventario de buckets de S3 a diario y utiliza técnicas de muestreo para identificar y seleccionar objetos de S3 representativos de sus buckets. Macie recupera y analiza los objetos seleccionados, inspeccionándolos en busca de datos confidenciales. Si es el administrador de Macie de una organización, esto incluye los objetos de los buckets de S3 que sean propiedad de sus cuentas de miembro.
A medida que el análisis progresa cada día, Macie también genera registros de los datos confidenciales que encuentra y de los análisis que realiza. Macie también actualiza las estadísticas, los datos de inventario y demás información que proporcione sobre sus datos de Amazon S3. Los datos resultantes proporcionan información sobre dónde Macie encontró datos confidenciales en su patrimonio de datos de Amazon S3, que pueden abarcar todos los segmentos de S3 de su cuenta u organización. Para obtener más información, consulte [Cómo funciona la detección de datos confidenciales automatizada](discovery-asdd-how-it-works.md).
Si tiene una cuenta de Macie independiente o es el administrador de Macie de una organización, puede configurar y administrar la detección de datos confidenciales automatizada para su cuenta u organización. Esto incluye habilitar y deshabilitar la detección automatizada y configurar los ajustes que definan el alcance y la naturaleza de los análisis que llevará a cabo Macie. Si tiene una cuenta de miembro en una organización, debe ponerse en contacto con el administrador de Macie para obtener información sobre la configuración para su cuenta y organización.
**Topics**
+ [Requisitos previos para la configuración de la detección de datos confidenciales automatizada](discovery-asdd-account-configure-prereqs.md)
+ [Habilitación de la detección de datos confidenciales automatizada](discovery-asdd-account-enable.md)
+ [Configuración de los ajustes de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md)
+ [Deshabilitación de la detección de datos confidenciales automatizada](discovery-asdd-account-disable.md)
# Requisitos previos para la configuración de la detección de datos confidenciales automatizada
Antes de habilitar o configurar los ajustes para la detección de datos confidenciales automatizada, complete las siguientes tareas. Esto ayuda a garantizar que tenga los recursos y los permisos que necesita.
Para realizar estas tareas, debe ser el administrador de Amazon Macie de una organización o tener una cuenta de Macie independiente. Si su cuenta forma parte de una organización, solo el administrador de Macie de su organización puede habilitar o deshabilitar la detección de datos confidenciales automatizada para las cuentas de la organización. Además, solo el administrador de Macie puede configurar los ajustes de detección automatizada en las cuentas.
**Topics**
+ [Paso 1: configuración de un repositorio para los resultados de detección de datos confidenciales](#discovery-asdd-account-configure-prereqs-sddr)
+ [Paso 2: verificación de los permisos](#discovery-asdd-account-configure-prereqs-perms)
+ [Siguientes pasos](#discovery-asdd-account-configure-prereqs-next)
## Paso 1: configuración de un repositorio para los resultados de detección de datos confidenciales
Cuando Amazon Macie realiza una detección automatizada de datos confidenciales, crea un registro de análisis para cada objeto de Amazon Simple Storage Service (Amazon S3) que seleccione para el análisis. Estos registros, denominados *resultados del detección de datos confidenciales*, registran detalles sobre el análisis de objetos de S3 individuales. Esto incluye objetos en los que Macie no encuentra datos confidenciales y objetos que Macie no puede analizar debido a problemas o errores, por ejemplo relacionados con la configuración de permisos. Si Macie encuentra datos confidenciales en un objeto, el resultado de la detección de datos confidenciales incluirá información sobre los datos confidenciales que Macie encontró. Los resultados del detección de datos confidenciales le proporcionan registros de análisis que pueden resultar útiles para auditorías o investigaciones sobre la privacidad y la protección de los datos.
Macie almacena los resultados de la detección de datos confidenciales solo durante 90 días. Para acceder a los resultados y permitir su almacenamiento y retención a largo plazo, configure Macie para que almacene los resultados en un bucket de S3. El bucket puede servir como un repositorio definitivo y a largo plazo para todos sus resultados de detección de datos confidenciales. Si es el administrador de Macie de una organización, esto incluye los resultados de detección de datos confidenciales de las cuentas de los miembros para las que haya habilitado la detección de datos confidenciales automatizada.
Para comprobar que ha configurado este repositorio, seleccione **Resultados de la detección** en el panel de navegación de la consola de Amazon Macie. Si prefiere hacerlo mediante programación, utilice el [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)funcionamiento de la API Amazon Macie. Para obtener más información sobre los resultados de la detección de datos confidenciales y sobre cómo configurar este repositorio, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md).
Si ha configurado el repositorio, Macie crea una carpeta denominada `automated-sensitive-data-discovery` en el repositorio cuando habilite por primera vez la detección de datos confidenciales automatizada. Esta carpeta almacena los resultados de la detección de datos confidenciales que Macie crea mientras realiza la detección automatizada en su cuenta u organización.
Si usa Macie en varias Regiones de AWS, compruebe que ha configurado el repositorio para cada una de esas regiones.
## Paso 2: verificación de los permisos
Para verificar sus permisos, utilice AWS Identity and Access Management (IAM) para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones que debe estar autorizado a realizar:
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`
La primera acción le permite acceder a su cuenta de Amazon Macie. La segunda acción le permite habilitar o deshabilitar la detección de datos confidenciales automatizada de su cuenta u organización. En el caso de una organización, también le permite habilitar automáticamente la detección automatizada en las cuentas de su organización. Las acciones restantes le permiten identificar y cambiar los ajustes de configuración.
Si tiene intención de revisar o cambiar los ajustes de configuración mediante el uso de la consola de Amazon Macie, también debe poder realizar las siguientes acciones:
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`
Estas acciones le permiten recuperar los ajustes de configuración actuales y el estado del descubrimiento automatizado de datos confidenciales de su cuenta u organización. El permiso para realizar estas acciones es opcional si tiene previsto cambiar los ajustes de configuración mediante programación.
Si es el administrador de Macie de una organización, también debe poder realizar las siguientes acciones:
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`
La primera acción le permite recuperar el estado de la detección de datos confidenciales automatizada para cuentas individuales de su organización. La segunda acción le permite habilitar o deshabilitar la detección automatizada para cuentas individuales en su organización.
Si no está autorizado a realizar las acciones necesarias, pida ayuda a su AWS administrador.
## Siguientes pasos
Después de completar las tareas anteriores, lo tendrá todo listo para habilitar y configurar los ajustes de su cuenta u organización:
+ [Habilitación de la detección de datos confidenciales automatizada](discovery-asdd-account-enable.md)
+ [Configuración de los ajustes de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md)
# Habilitación de la detección de datos confidenciales automatizada
Cuando habilita la detección de datos confidenciales automatizada en su cuenta, Amazon Macie comienza a evaluar los datos de inventario de Amazon Simple Storage Service (Amazon S3) y a realizar otras actividades de detección automatizada para su cuenta en la Región de AWS actual. Si es el administrador de Macie de una organización, la evaluación y las actividades incluyen de forma predeterminada los buckets de S3 que sean propiedad de sus cuentas de miembro. Según el tamaño del patrimonio de datos de Amazon S3, las estadísticas y otros resultados pueden empezar a aparecer en un plazo de 48 horas.
Tras activar la detección de datos confidenciales automatizada, puede establecer una configuración que refine el alcance y la naturaleza de los análisis que lleva a cabo Macie. Esta configuración especifica los buckets de S3 que se deben excluir de los análisis. También especifica los identificadores de datos administrados, los identificadores de datos personalizados y las listas de permitidos que quiera que Macie utilice cuando analice los objetos de S3. Para obtener más información sobre esta configuración, consulte [Configuración de los ajustes de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md). Si es el administrador de Macie de una organización, también puede refinar el alcance de los análisis habilitando o deshabilitando la detección automática de datos confidenciales para las cuentas individuales de su organización de forma puntual. case-by-case
Para habilitar la detección de datos confidenciales automatizada, debe ser el administrador de Macie de una organización o contar con una cuenta de Macie independiente. Si tiene una cuenta de miembro en una organización, colabore con su administrador de Macie para habilitar la detección automática de los datos confidenciales de su cuenta.
**Habilitación de la detección de datos confidenciales automatizada**
Si es el administrador de Macie de una organización o tiene una cuenta de Macie independiente, puede habilitar la detección automática de datos confidenciales mediante la consola de Amazon Macie o la API de Amazon Macie. [Si es la primera vez que la habilita, comience por completar las tareas previas.](discovery-asdd-account-configure-prereqs.md) Esto ayuda a garantizar que tenga los recursos y los permisos que necesita.
------
#### [ Console ]
Siga estos pasos para habilitar la detección automática de datos confidenciales mediante la consola de Amazon Macie.
**Habilitación de la detección de datos confidenciales automatizada**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee habilitar la detección automática de datos confidenciales.
1. En el panel de navegación, en **Configuración**, elija **Detección de datos confidenciales automatizada**.
1. Si tiene una cuenta de Macie independiente, seleccione **Habilitar** en la sección **Estado**.
1. Si es el administrador de Macie de una organización, elija una opción en la sección **Estado** para especificar las cuentas en las que desee permitir la detección de datos confidenciales automatizada:
+ Para habilitarla en todas las cuentas de su organización, seleccione **Habilitar**. En el cuadro de diálogo que aparece, elija **Mi organización**. En el caso de una organización AWS Organizations, selecciona **Activar automáticamente las cuentas nuevas para** activarla también automáticamente para las cuentas que se unan posteriormente a la organización. Cuando termine, seleccione **Habilitar**.
+ Para habilitarla solo para determinadas cuentas de miembros, seleccione **Administrar cuentas**. A continuación, en la tabla de la página **Cuentas**, selecciona la casilla de verificación de cada cuenta para la que deseas activarla. Cuando termine, seleccione **Habilitar la detección de datos confidenciales automatizada** en el menú **Acciones**.
+ Para habilitarla únicamente para su cuenta de administrador de Macie, seleccione **Habilitar**. En el cuadro de diálogo que aparece, seleccione **Mi cuenta** y desactive **Habilitar automáticamente para cuentas nuevas**. Cuando termine, seleccione **Habilitar**.
Si utiliza Macie en varias regiones y quiere habilitar la detección de datos confidenciales automatizada en otras regiones, repita los pasos anteriores en cada región adicional.
Para comprobar o cambiar posteriormente el estado de la detección automática de datos confidenciales para las cuentas individuales de una organización, seleccione **Cuentas** en el panel de navegación. En la página **Cuentas**, el campo **Detección de datos confidenciales automatizada** de la tabla indica el estado actual de la detección automatizada en una cuenta. Para cambiar el estado de una cuenta, seleccione la casilla de verificación de la cuenta. A continuación, utilice el menú **Acciones** para activar o desactivar la detección automática de la cuenta.
------
#### [ API ]
Para habilitar la detección automática de datos confidenciales mediante programación, dispone de varias opciones:
+ Para activarlo en una cuenta de administrador de Macie, una organización o una cuenta independiente de Macie, utilice la operación. [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) O, si utiliza AWS Command Line Interface (AWS CLI), ejecute el comando [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html).
+ Para habilitarla solo para determinadas cuentas de miembros de una organización, utilice la operación. [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) O bien, si está utilizando el AWS CLI, ejecute el comando [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Para habilitar la detección automática de una cuenta de miembro, primero debe habilitarla para su cuenta de administrador u organización.
Las opciones y los detalles adicionales varían según el tipo de cuenta que tenga.
Si es administrador de Macie, utilice la **UpdateAutomatedDiscoveryConfiguration** operación o ejecute el **update-automated-discovery-configuration** comando para habilitar la detección automática de datos confidenciales para su cuenta u organización. En la solicitud, especifique `ENABLED` para el parámetro `status`. Para el `autoEnableOrganizationMembers` parámetro, especifique las cuentas para las que desea activarlo. Si usa el AWS CLI, especifique las cuentas mediante el `auto-enable-organization-members` parámetro. Los valores válidos son:
+ `ALL`(predeterminado): habilítelo para todas las cuentas de su organización. Esto incluye su cuenta de administrador, las cuentas de los miembros existentes y las cuentas que se unan posteriormente a su organización.
+ `NEW`— Actívela para su cuenta de administrador. Actívela también automáticamente para las cuentas que se unan posteriormente a su organización. Si anteriormente habilitaste la detección automática para tu organización y especificas este valor, la detección automática seguirá habilitada para las cuentas de miembros existentes para las que esté habilitada actualmente.
+ `NONE`— Actívalo solo para tu cuenta de administrador. No lo habilite automáticamente para las cuentas que se unan posteriormente a su organización. Si anteriormente habilitaste la detección automática para tu organización y especificas este valor, la detección automática seguirá habilitada para las cuentas de miembros existentes para las que esté habilitada actualmente.
Si desea activar de forma selectiva la detección automática de datos confidenciales solo para determinadas cuentas de miembros, especifique `NEW` o`NONE`. A continuación, puede utilizar la **BatchUpdateAutomatedDiscoveryAccounts** operación o ejecutar el **batch-update-automated-discovery-accounts** comando para habilitar la detección automática de las cuentas.
Si tiene una cuenta de Macie independiente, utilice la **UpdateAutomatedDiscoveryConfiguration** operación o ejecute el **update-automated-discovery-configuration** comando para habilitar la detección automática de datos confidenciales en su cuenta. En la solicitud, especifique `ENABLED` para el parámetro `status`. Para el `autoEnableOrganizationMembers` parámetro, considere si planea convertirse en el administrador de Macie para otras cuentas y especifique el valor adecuado. Si lo especifica`NONE`, la detección automática no se habilitará automáticamente para una cuenta cuando se convierta en el administrador de Macie de la cuenta. Si lo especifica `ALL` o`NEW`, la detección automática se habilita automáticamente para la cuenta. Si utiliza el AWS CLI, utilice el `auto-enable-organization-members` parámetro para especificar el valor adecuado para esta configuración.
Los siguientes ejemplos muestran cómo utilizarlos AWS CLI para permitir la detección automática de datos confidenciales para una o más cuentas de una organización. Este primer ejemplo permite la detección automática de todas las cuentas de una organización por primera vez. Permite la detección automática de la cuenta de administrador de Macie, de todas las cuentas de los miembros existentes y de cualquier otra cuenta que se incorpore posteriormente a la organización.
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```
¿Cuál *us-east-1* es la región en la que se permite la detección automática de datos confidenciales para las cuentas? La región de EE. UU. Este (Virginia del Norte). Si la solicitud se realiza correctamente, Macie habilita la detección automática de las cuentas y devuelve una respuesta vacía.
El siguiente ejemplo cambia la configuración de habilitación de miembros de una organización a. `NONE` Con este cambio, la detección automática de datos confidenciales no se habilita automáticamente para las cuentas que se unan posteriormente a la organización. En cambio, solo está habilitada para la cuenta de administrador de Macie y para cualquier cuenta de miembro existente para la que esté habilitada actualmente.
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```
Dónde *us-east-1* está la región en la que se va a cambiar la configuración, la región EE.UU. Este (Virginia del Norte). Si la solicitud se realiza correctamente, Macie actualiza la configuración y devuelve una respuesta vacía.
Los siguientes ejemplos permiten la detección automática de datos confidenciales para dos cuentas de miembros de una organización. El administrador de Macie ya ha habilitado la detección automática para la organización. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```
Donde:
+ *us-east-1*es la región en la que se permite la detección automática de datos confidenciales para las cuentas especificadas, la región de EE. UU. Este (Virginia del Norte).
+ *123456789012*y *111122223333* son la cuenta de las cuentas IDs para las que se permite la detección automática de datos confidenciales.
Si la solicitud es correcta para todas las cuentas especificadas, Macie devuelve una matriz vacía`errors`. Si la solicitud falla en algunas cuentas, la matriz especifica el error que se produjo en cada cuenta afectada. Por ejemplo:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
En la respuesta anterior, no se pudo realizar la solicitud para la cuenta especificada (`123456789012`) porque Macie tiene actualmente suspendida la cuenta. Para solucionar este error, el administrador de Macie primero debe habilitar Macie para la cuenta.
Si la solicitud falla en todas las cuentas, recibirá un mensaje en el que se describe el error que se ha producido.
------
# Configuración de los ajustes de detección de datos confidenciales automatizada
Si habilita la detección de datos confidenciales automatizada para su cuenta, puede ajustar la configuración de detección automatizada en su cuenta para refinar los análisis que realiza Amazon Macie. La configuración especifica los buckets de Amazon Simple Storage Service (Amazon S3) para excluirlos de los análisis. También especifica los tipos y las ocurrencias de datos confidenciales que deben detectarse y notificarse: los identificadores de datos administrados, los identificadores de datos personalizados y las listas de permisos que se pueden utilizar al analizar los objetos de S3.
De forma predeterminada, Macie realiza la detección automática de datos confidenciales para todos los depósitos S3 de uso general de su cuenta. Si es el administrador de Macie de una organización, incluirá los buckets que sean propiedad de las cuentas de miembro. Puede excluir buckets específicos de los análisis. Por ejemplo, puede excluir los depósitos que suelen almacenar datos de AWS registro, como AWS CloudTrail los registros de eventos. Si excluye un bucket, puede volver a incluirlo posteriormente.
Además, Macie analiza los objetos de S3 utilizando únicamente el conjunto de identificadores de datos administrados que recomendamos para la detección de datos confidenciales automatizada. Macie no utiliza identificadores de datos personalizados ni permite listas que usted haya definido. Para personalizar los análisis, puede agregar o eliminar identificadores de datos administrados específicos, identificadores de datos personalizados y listas de permitidos.
Si cambia una configuración, Macie aplicará su cambio cuando comience el siguiente ciclo de evaluación y análisis, normalmente en un plazo de 24 horas. Además, el cambio se aplica únicamente a la Región de AWS actual. Para realizar los mismos cambios en regiones adicionales, repita los pasos correspondientes en cada región adicional.
**Topics**
+ [Opciones de configuración para organizaciones](#discovery-asdd-configure-options-orgs)
+ [Exclusión o inclusión de buckets de S3](#discovery-asdd-account-configure-s3buckets)
+ [Adición o eliminación de identificadores de datos administrados](#discovery-asdd-account-configure-mdis)
+ [Adición o eliminación de identificadores de datos personalizados](#discovery-asdd-account-configure-cdis)
+ [Adición o eliminación de listas de permitidos](#discovery-asdd-account-configure-als)
**nota**
Para configurar los ajustes de detección de datos confidenciales automatizada, su cuenta debe ser una cuenta de Macie independiente o la cuenta de administrador de Macie de una organización. Si su cuenta forma parte de una organización, solo el administrador de Macie de su organización puede configurar y administrar los ajustes de las cuentas de su organización. Si tiene una cuenta de miembro, debe ponerse en contacto con el administrador de Macie para obtener información sobre la configuración para su cuenta y organización.
## Opciones de configuración para organizaciones
Si una cuenta forma parte de una organización que administra varias cuentas de Amazon Macie de forma centralizada, el administrador de Macie de la organización configura y administra la detección de datos confidenciales automatizada para las cuentas de la organización. Esto incluye ajustes que definen el alcance y la naturaleza de los análisis que realiza Macie en las cuentas. Los miembros no pueden acceder a esta configuración desde sus propias cuentas.
Si es el administrador Macie de una organización, puede definir el alcance de los análisis de varias maneras:
+ **Habilite automáticamente la detección automática de datos confidenciales en las cuentas**: al habilitar la detección automática de datos confidenciales, debe especificar si desea habilitarla para todas las cuentas existentes y las cuentas de nuevos miembros, solo para las cuentas de miembros nuevos o para ninguna cuenta de miembro. Si lo habilita para las cuentas de nuevos miembros, se habilitará automáticamente para cualquier cuenta que se una posteriormente a su organización, cuando la cuenta se una a su organización en Macie. Si se habilita para una cuenta, Macie incluye los buckets de S3 que sean propiedad de la cuenta. Si se deshabilita para una cuenta, Macie excluye los buckets que sean propiedad de la cuenta.
+ **Habilite de forma selectiva la detección automática de datos confidenciales para las cuentas**: con esta opción, puede activar o desactivar la detección automática de datos confidenciales para cuentas individuales de forma puntual. case-by-case Si la habilita para una cuenta, Macie incluye los buckets de S3 que sean propiedad de la cuenta. Si no la habilita o la deshabilita para una cuenta, Macie excluye los buckets que sean propiedad de la cuenta.
+ **Excluye grupos de S3 específicos de la detección automática de datos confidenciales**: si habilitas la detección automática de datos confidenciales para una cuenta, puedes excluir determinados grupos de S3 que sean propiedad de la cuenta. Luego, Macie se salta los cubos cuando realiza la detección automática. Para excluir buckets específicos, agréguelos a la lista de exclusiones en los ajustes de configuración de su cuenta de administrador. Puede excluir hasta 1000 buckets de su organización.
De forma predeterminada, la detección de datos confidenciales automatizada está habilitada automáticamente para todas las cuentas nuevas y existentes de una organización. Además, Macie incluye todos los buckets de S3 que sean propiedad de las cuentas. Si mantienes la configuración predeterminada, Macie detectará automáticamente todos los depósitos de tu cuenta de administrador, lo que incluye todos los grupos que pertenecen a tus cuentas de miembros.
Como administrador de Macie, también define la naturaleza de los análisis que Macie realiza para su organización. Para ello, configure ajustes adicionales para su cuenta de administrador: los identificadores de datos administrados, los identificadores de datos personalizados y las listas de permitidos que desee que utilice Macie cuando analice los objetos de S3. Macie utiliza la configuración de su cuenta de administrador al analizar los objetos de S3 en otras cuentas de su organización.
## Excluir o incluir los depósitos de S3 en la detección automática de datos confidenciales
De forma predeterminada, Amazon Macie realiza la detección automática de datos confidenciales para todos los buckets de uso general de S3 de su cuenta. Si es el administrador de Macie de una organización, incluirá los buckets que sean propiedad de las cuentas de miembro.
Para ajustar el ámbito, puede excluir hasta 1000 buckets de S3 de los análisis. Si excluye un bucket, Macie dejará de seleccionar y analizar los objetos del bucket cuando realice la detección de datos confidenciales automatizada. Las estadísticas y los detalles de detección de datos confidenciales existentes del bucket persisten. Por ejemplo, la puntuación de confidencialidad actual del bucket permanece inalterada. Tras excluir un bucket, puede volver a incluirlo posteriormente.
**Para excluir o incluir un depósito de S3 en la detección automática de datos confidenciales**
Puede excluir o incluir posteriormente un bucket de S3 mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Siga estos pasos para excluir o incluir posteriormente un bucket de S3 mediante la consola Amazon Macie.
**Exclusión o inclusión de un bucket de S3**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee excluir o incluir segmentos de S3 específicos en los análisis.
1. En el panel de navegación, en **Configuración**, elija **Detección de datos confidenciales automatizada**.
Aparece la página **Detección de datos confidenciales automatizada** y muestra su configuración actual. En esa página, la sección de **buckets** de S3 muestra los buckets de S3 que están actualmente excluidos o indica que todos los buckets están incluidos actualmente.
1. En la sección **Buckets de S3**, elija **Editar**.
1. Realice una de las siguientes acciones:
+ Para excluir uno o más buckets de S3, seleccione **Agregar buckets a la lista de exclusión**. A continuación, en la tabla de **cubos de S3**, seleccione la casilla de verificación de cada grupo que desee excluir. En la tabla se enumeran todos los buckets de uso general de su cuenta en la región actual.
+ Para incluir uno o más buckets de S3 que haya excluido anteriormente, seleccione **Eliminar buckets de la lista de exclusión**. A continuación, en la tabla de **cubos de S3**, seleccione la casilla de verificación de cada uno de los cubos que desee incluir. En la tabla se enumeran todos los buckets que actualmente están excluidos de los análisis.
Para encontrar buckets específicos con mayor facilidad, introduzca los criterios de búsqueda en el cuadro de búsqueda situado encima de la tabla. Puede ordenar las filas de la tabla si elige un encabezado de columna.
1. Cuando termine de seleccionar los buckets, elija **Agregar** o **Eliminar**, según la opción que haya elegido en el paso anterior.
**sugerencia**
También puedes excluir o incluir depósitos de S3 individuales de case-by-case forma individual mientras revisas los detalles del depósito en la consola. Para ello, elija el bucket en la página **Buckets de S3**. A continuación, en el panel de detalles, cambie la configuración **Excluir de la detección automatizada** del bucket.
------
#### [ API ]
Para excluir o incluir posteriormente un bucket de S3 mediante programación, utilice la API de Amazon Macie para actualizar el ámbito de clasificación de su cuenta. El ámbito de clasificación especifica los grupos que no desea que Macie analice cuando detecte datos confidenciales de forma automática. Define una lista de puntos de exclusión para el descubrimiento automatizado.
Al actualizar el ámbito de la clasificación, se especifica si se van a añadir o eliminar grupos individuales de la lista de exclusiones, o si se debe sobrescribir la lista actual con una nueva lista. Por lo tanto, es una buena idea empezar por recuperar y revisar la lista actual. Para recuperar la lista, utilice la [GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)operación. Si está utilizando el AWS Command Line Interface (AWS CLI), ejecute el [get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html)comando para recuperar la lista.
Para recuperar o actualizar el ámbito de la clasificación, debe especificar su identificador único (`id`). Puede obtener este identificador mediante la [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operación. Esta operación recupera los ajustes de configuración actuales para la detección automática de datos confidenciales, incluido el identificador único del ámbito de clasificación de su cuenta en la versión actual Región de AWS. Si utilizas el AWS CLI, ejecuta el [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)comando para recuperar esta información.
Cuando esté listo para actualizar el ámbito de la clasificación, utilice la [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)operación o, si está utilizando la AWS CLI, ejecute el [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)comando. En su solicitud, utilice los parámetros admitidos para excluir o incluir un segmento de S3 en los análisis posteriores:
+ Para excluir uno o más depósitos, especifique el nombre de cada uno de ellos para el `bucketNames` parámetro. En el parámetro `operation`, especifique `ADD`.
+ Para incluir uno o más depósitos que excluyó anteriormente, especifique el nombre de cada uno de ellos para el `bucketNames` parámetro. En el parámetro `operation`, especifique `REMOVE`.
+ Para sobrescribir la lista actual con una nueva lista de cubos que se van a excluir, especifique `REPLACE` el parámetro. `operation` Para el `bucketNames` parámetro, especifique el nombre de cada depósito que desee excluir.
Cada valor del `bucketNames` parámetro debe ser el nombre completo de un depósito de uso general existente en la región actual. Estos valores distinguen entre mayúsculas y minúsculas. Si la solicitud es correcta, Macie actualiza el ámbito de la clasificación y devuelve una respuesta vacía.
En los siguientes ejemplos, se muestra cómo utilizar el AWS CLI para actualizar el ámbito de clasificación de una cuenta. El primer conjunto de ejemplos excluye dos grupos de S3 (*amzn-s3-demo-bucket1*y*amzn-s3-demo-bucket2*) de los análisis posteriores. Añade los cubos a la lista de cubos que se van a excluir.
Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```
El siguiente conjunto de ejemplos incluye más adelante los cubos (*amzn-s3-demo-bucket1*y*amzn-s3-demo-bucket2*) en los análisis posteriores. Elimina los cubos de la lista de cubos que se van a excluir. Para Linux, macOS o Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```
Para Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```
Los siguientes ejemplos sobrescriben y sustituyen la lista actual por una nueva lista de depósitos de S3 que se van a excluir. La nueva lista especifica tres cubos que se van a excluir:*amzn-s3-demo-bucket*, y*amzn-s3-demo-bucket2*. *amzn-s3-demo-bucket3* Para Linux, macOS o Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```
Para Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```
------
## Añadir o eliminar identificadores de datos gestionados del descubrimiento automatizado de datos confidenciales
Un *identificador de datos gestionados* es un conjunto de criterios y técnicas integrados que están diseñados para detectar un tipo específico de datos confidenciales, por ejemplo, números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. De forma predeterminada, Amazon Macie analiza los objetos de S3 utilizando el conjunto de identificadores de datos administrados que recomendamos para la detección de datos confidenciales automatizada. Para revisar una lista de estos identificadores, consulte [Configuración predeterminada para la detección de datos confidenciales automatizada](discovery-asdd-settings-defaults.md).
Puede personalizar los análisis para que se centren en tipos específicos de datos confidenciales:
+ Añada identificadores de datos administrados para los tipos de datos confidenciales que quiera que Macie detecte y notifique.
+ Elimine identificadores de datos administrados para los tipos de datos confidenciales que no quiera que Macie detecte y notifique.
Para obtener una lista completa de todos los identificadores de datos gestionados que Macie proporciona actualmente y los detalles de cada uno de ellos, consulte. [Uso de identificadores de datos administrados](managed-data-identifiers.md)
Si elimina un identificador de datos administrado, el cambio no afectará a las estadísticas ni a los detalles de detección de datos confidenciales existentes en los buckets de S3. Por ejemplo, si elimina el identificador de datos administrado que detecta las claves de acceso secretas de AWS y Macie detectó anteriormente esos datos en un bucket, Macie seguirá notificando esas detecciones. Sin embargo, en lugar de eliminar un identificador, lo que afecta a los análisis posteriores de todos los buckets, piense en excluir ese tipo de detecciones de la puntuación de confidencialidad solamente de determinados buckets. Para obtener más información, consulte [Ajuste de las puntuaciones de confidencialidad para buckets de S3](discovery-asdd-s3bucket-manage.md).
**Para añadir o eliminar identificadores de datos gestionados del descubrimiento automatizado de datos confidenciales**
Puede añadir o eliminar identificadores de datos gestionados mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Siga estos pasos para añadir o eliminar un identificador de datos gestionados mediante la consola de Amazon Macie.
**Aplicación o eliminación de un identificador de datos administrado**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir o eliminar un identificador de datos gestionados de los análisis.
1. En el panel de navegación, en **Configuración**, elija **Detección de datos confidenciales automatizada**.
Aparece la página **Detección de datos confidenciales automatizada** y muestra su configuración actual. En esa página, la sección **Identificadores de datos administrados** muestra su configuración actual, organizada en dos pestañas:
+ **Se ha agregado al valor predeterminado**: en esta pestaña se muestran los identificadores de datos administrados que ha añadido. Macie utiliza estos identificadores además de los que están en el conjunto predeterminado y usted no ha eliminado.
+ **Se ha eliminado del valor predeterminado**: en esta pestaña se muestran los identificadores de datos administrados que ha eliminado. Macie no utiliza estos identificadores.
1. En la sección **Identificadores de datos administrados**, seleccione **Editar**.
1. Realice uno de los siguientes procedimientos:
+ Para añadir uno o más identificadores de datos administrados, seleccione la pestaña **Se ha agregado al valor predeterminado**. A continuación, en la tabla, seleccione la casilla de verificación de cada identificador de datos gestionados que desee añadir. Si ya hay una casilla de verificación seleccionada, significa que ya ha agregado ese identificador.
+ Para eliminar uno o más identificadores de datos administrados, seleccione la pestaña **Se ha eliminado del valor predeterminado**. A continuación, en la tabla, selecciona la casilla de verificación de cada identificador de datos gestionados que quieras eliminar. Si ya hay una casilla de verificación seleccionada, ya has eliminado ese identificador.
En cada pestaña, la tabla muestra una lista de todos los identificadores de datos administrados que Macie proporciona actualmente. En la tabla, la primera columna especifica el ID de cada identificador de datos administrado. El ID describe el tipo de datos confidenciales que un identificador está diseñado para detectar; por ejemplo, **USA\$1PASSPORT\$1NUMBER** para los números de pasaporte estadounidenses. Para encontrar más fácilmente identificadores de datos administrados específicos, introduzca los criterios de búsqueda en el cuadro de búsqueda situado encima de la tabla. Puede ordenar las filas de la tabla si elige un encabezado de columna.
1. Cuando termine, elija **Guardar**.
------
#### [ API ]
Para añadir o eliminar un identificador de datos gestionados mediante programación, utilice la API de Amazon Macie para actualizar la plantilla de inspección de sensibilidad de su cuenta. La plantilla almacena los ajustes que especifican qué identificadores de datos gestionados se deben utilizar (*incluir*) además de los del conjunto predeterminado. También especifican los identificadores de datos gestionados que no se deben utilizar (*excluir*). La configuración también especifica los identificadores de datos personalizados y permite que Macie utilice las listas que desee que utilice.
Al actualizar la plantilla, sobrescribe su configuración actual. Por lo tanto, es una buena idea empezar por recuperar la configuración actual y determinar la que desea conservar. Para recuperar la configuración actual, utilice la [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operación. Si usa AWS Command Line Interface (AWS CLI), ejecute el [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)comando para recuperar la configuración.
Para recuperar o actualizar la plantilla, debe especificar su identificador único (`id`). Puede obtener este identificador mediante la [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operación. Esta operación recupera los ajustes de configuración actuales para la detección automática de datos confidenciales, incluido el identificador único de la plantilla de inspección de confidencialidad de su cuenta en la versión actual Región de AWS. Si utilizas el AWS CLI, ejecuta el [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)comando para recuperar esta información.
Cuando esté listo para actualizar la plantilla, utilice la [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operación o, si está utilizando la AWS CLI, ejecute el [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)comando. En su solicitud, utilice los parámetros adecuados para añadir o eliminar uno o más identificadores de datos gestionados de los análisis posteriores:
+ Para empezar a utilizar un identificador de datos gestionado, especifique su ID para el `managedDataIdentifierIds` parámetro del `includes` parámetro.
+ Para dejar de usar un identificador de datos gestionado, especifique su ID para el `managedDataIdentifierIds` parámetro del `excludes` parámetro.
+ Para restablecer la configuración predeterminada, no especifique ninguna IDs para los `excludes` parámetros `includes` y. Luego, Macie comienza a usar solo los identificadores de datos gestionados que están en el conjunto predeterminado.
Además de los parámetros de los identificadores de datos gestionados, utilice los `includes` parámetros adecuados para especificar los identificadores de datos personalizados (`customDataIdentifierIds`) y las listas de permisos (`allowListIds`) que desee que utilice Macie. Especifique también la región a la que se aplica la solicitud. Si la solicitud es correcta, Macie actualiza la plantilla y devuelve una respuesta vacía.
Los siguientes ejemplos muestran cómo utilizarla AWS CLI para actualizar la plantilla de inspección de sensibilidad de una cuenta. En los ejemplos se añade un identificador de datos gestionados y se elimina otro de los análisis posteriores. También mantienen la configuración actual que especifica el uso de dos identificadores de datos personalizados.
Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Donde:
+ *fd7b6d71c8006fcd6391e6eedexample*es el identificador único de la plantilla de inspección de sensibilidad que se va a actualizar.
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER*es el ID del identificador de datos gestionados que debe dejar de usarse (*excluirse*).
+ *STRIPE\$1CREDENTIALS*es el ID del identificador de datos gestionados que se va a empezar a utilizar (*incluir*).
+ *3293a69d-4a1e-4a07-8715-208ddexample*y *6fad0fb5-3e82-4270-bede-469f2example* son los identificadores únicos que deben utilizar los identificadores de datos personalizados.
------
## Añadir o eliminar identificadores de datos personalizados en el descubrimiento automatizado de datos confidenciales
Un *identificador de datos personalizado* es un conjunto de criterios que se definen para detectar información confidencial. Los criterios consisten en una expresión regular (*regex*) que define un patrón de texto para que coincida y, opcionalmente, secuencias de caracteres y una regla de proximidad que perfeccionen los resultados. Para obtener más información, consulte [Creación de identificadores de datos personalizados](custom-data-identifiers.md).
De forma predeterminada, Amazon Macie no utiliza identificadores de datos personalizados cuando realiza la detección de datos confidenciales automatizada. Si desea que Macie utilice identificadores de datos personalizados específicos, puede añadirlos a los análisis posteriores. A continuación, Macie utiliza los identificadores de datos personalizados además de los identificadores de datos administrados que haya configurado para que utilice Macie.
Si añade un identificador de datos personalizado, podrá eliminarlo más adelante. El cambio no afecta a las estadísticas ni a los detalles de detección de datos confidenciales existentes en buckets de S3. Es decir: si elimina un identificador de datos personalizado que anteriormente producía detecciones para un bucket, Macie seguirá informando de esas detecciones. Sin embargo, en lugar de eliminar un identificador, lo que afecta a los análisis posteriores de todos los buckets, piense en excluir ese tipo de detecciones de la puntuación de confidencialidad solamente de determinados buckets. Para obtener más información, consulte [Ajuste de las puntuaciones de confidencialidad para buckets de S3](discovery-asdd-s3bucket-manage.md).
**Para añadir o eliminar identificadores de datos personalizados del descubrimiento automatizado de datos confidenciales**
Puede añadir o eliminar identificadores de datos personalizados mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Siga estos pasos para añadir o eliminar un identificador de datos personalizado mediante la consola Amazon Macie.
**Aplicación o eliminación de un identificador de datos personalizado**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir o eliminar un identificador de datos personalizado de los análisis.
1. En el panel de navegación, en **Configuración**, elija **Detección de datos confidenciales automatizada**.
Aparece la página **Detección de datos confidenciales automatizada** y muestra su configuración actual. En esa página, la sección **Identificadores de datos personalizados** muestra los identificadores de datos personalizados que ha agregado ya o indica que no ha agregado ningún identificador de datos personalizado.
1. En la sección **Identificadores de datos administrados**, seleccione **Editar**.
1. Realice uno de los siguientes procedimientos:
+ Para añadir uno o más identificadores de datos personalizados, seleccione la casilla de verificación de cada identificador de datos personalizado que desee añadir. Si ya hay una casilla de verificación seleccionada, significa que ya ha agregado ese identificador.
+ Para eliminar uno o más identificadores de datos personalizados, desactive la casilla de verificación de cada identificador de datos personalizado que desee eliminar. Si una casilla de verificación ya está desactivada, Macie no usa ese identificador en este momento.
**sugerencia**
Para revisar o probar la configuración de un identificador de datos personalizado antes de añadirlo o eliminarlo, haga clic en el icono de enlace (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-external-link.png)) junto al nombre del identificador. Macie abre una página que muestra la configuración del identificador. Para probar también el identificador con datos de ejemplo, introduzca hasta 1000 caracteres de texto en el cuadro **Datos de muestra** de esa página. A continuación, elija **Probar**. Macie evalúa los datos de la muestra e indica el número de coincidencias.
1. Cuando termine, elija **Guardar**.
------
#### [ API ]
Para añadir o eliminar un identificador de datos personalizado mediante programación, utilice la API de Amazon Macie para actualizar la plantilla de inspección de sensibilidad de su cuenta. La plantilla almacena los ajustes que especifican qué identificadores de datos personalizados desea que Macie utilice al realizar la detección automática de datos confidenciales. La configuración también especifica qué identificadores de datos gestionados y permite que usen las listas.
Al actualizar la plantilla, sobrescribe su configuración actual. Por lo tanto, es una buena idea empezar por recuperar la configuración actual y determinar la que desea conservar. Para recuperar la configuración actual, utilice la [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operación. Si usa AWS Command Line Interface (AWS CLI), ejecute el [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)comando para recuperar la configuración.
Para recuperar o actualizar la plantilla, debe especificar su identificador único (`id`). Puede obtener este identificador mediante la [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operación. Esta operación recupera los ajustes de configuración actuales para la detección automática de datos confidenciales, incluido el identificador único de la plantilla de inspección de confidencialidad de su cuenta en la versión actual Región de AWS. Si utilizas el AWS CLI, ejecuta el [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)comando para recuperar esta información.
Cuando esté listo para actualizar la plantilla, utilice la [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operación o, si está utilizando la AWS CLI, ejecute el [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)comando. En la solicitud, utilice el `customDataIdentifierIds` parámetro para añadir o eliminar uno o más identificadores de datos personalizados de los análisis posteriores:
+ Para empezar a utilizar un identificador de datos personalizado, especifique su identificador único para el parámetro.
+ Para dejar de usar un identificador de datos personalizado, omita su identificador único en el parámetro.
Utilice parámetros adicionales para especificar qué identificadores de datos gestionados y listas de permisos quiere que utilice Macie. Especifique también la región a la que se aplica la solicitud. Si la solicitud es correcta, Macie actualiza la plantilla y devuelve una respuesta vacía.
Los siguientes ejemplos muestran cómo utilizarla AWS CLI para actualizar la plantilla de inspección de sensibilidad de una cuenta. En los ejemplos se añaden dos identificadores de datos personalizados a los análisis posteriores. También mantienen la configuración actual que especifica qué identificadores de datos gestionados y permiten el uso de las listas: utilizan el conjunto predeterminado de identificadores de datos gestionados y una lista de permitidos.
Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Donde:
+ *fd7b6d71c8006fcd6391e6eedexample*es el identificador único de la plantilla de inspección de sensibilidad que se va a actualizar.
+ *nkr81bmtu2542yyexample*es el identificador único que se puede utilizar en la lista.
+ *3293a69d-4a1e-4a07-8715-208ddexample*y *6fad0fb5-3e82-4270-bede-469f2example* son los identificadores únicos que deben utilizar los identificadores de datos personalizados.
------
## Añadir o eliminar listas de personas que permiten la detección automática de datos confidenciales
En Amazon Macie, una lista de permitidos define un texto específico o un patrón de texto que debe ignorar Macie al inspeccionar objetos de S3 en busca de datos confidenciales. Si el texto coincide con una entrada o un patrón de una lista de permitidos, Macie no informa de ese texto. Este es el caso incluso aunque el texto coincida con los criterios de un identificador de datos administrado o personalizado. Para obtener más información, consulte [Definición de excepciones de datos confidenciales con las listas de permitidos](allow-lists.md).
De forma predeterminada, Macie no utiliza listas cuando realiza la detección de datos confidenciales automatizada. Si quiere que Macie utilice listas de personas permitidas específicas, puede añadirlas a los análisis posteriores. Si añade una lista de permitidos, podrá eliminarla más adelante.
**Para añadir o eliminar listas de personas autorizadas en el descubrimiento automatizado de datos confidenciales**
Puede añadir o eliminar listas de personas permitidas mediante la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Sigue estos pasos para añadir o eliminar una lista de permitidos mediante la consola Amazon Macie.
**Adición o eliminación de una lista de permitidos**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir o eliminar una lista de personas autorizadas de los análisis.
1. En el panel de navegación, en **Configuración**, elija **Detección de datos confidenciales automatizada**.
Aparece la página **Detección de datos confidenciales automatizada** y muestra su configuración actual. En esa página, la sección **Listas de permitidos** especifica las listas de permitidos que ya ha agregado o indica que no ha agregado ninguna lista de permitidos.
1. En la sección **Listas de permitidos**, elija **Editar**.
1. Realice uno de los siguientes procedimientos:
+ Para añadir una o más listas de permitidos, seleccione la casilla de verificación de cada lista de permitidos que desee añadir. Si ya hay una casilla de verificación seleccionada, significa que ya has agregado esa lista.
+ Para eliminar una o más listas de permitidos, desactive la casilla de verificación de cada lista de permitidos que desee eliminar. Si una casilla de verificación ya está desactivada, Macie no está usando esa lista en este momento.
**sugerencia**
Para revisar la configuración de una lista de permitidos antes de añadirla o eliminarla, seleccione el icono de enlace (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-external-link.png)) situado junto al nombre de la lista. Macie abre una página que muestra la configuración de la lista. Si la lista especifica una expresión regular (*regex*), también puede usar esta página para probar la expresión regular con datos de ejemplo. Para ello, introduzca hasta 1000 caracteres en el cuadro **Datos de muestra** y, a continuación, seleccione **Probar**. Macie evalúa los datos de la muestra e indica el número de coincidencias.
1. Cuando termine, elija **Guardar**.
------
#### [ API ]
Para añadir o eliminar una lista de personas permitidas mediante programación, utilice la API de Amazon Macie para actualizar la plantilla de inspección de sensibilidad de su cuenta. La plantilla almacena ajustes que especifican qué listas de permisos desea que Macie utilice al realizar la detección automática de datos confidenciales. La configuración también especifica qué identificadores de datos gestionados e identificadores de datos personalizados utilizar.
Al actualizar la plantilla, sobrescribe su configuración actual. Por lo tanto, es una buena idea empezar por recuperar la configuración actual y determinar la que desea conservar. Para recuperar la configuración actual, utilice la [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operación. Si usa AWS Command Line Interface (AWS CLI), ejecute el [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)comando para recuperar la configuración.
Para recuperar o actualizar la plantilla, debe especificar su identificador único (`id`). Puede obtener este identificador mediante la [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operación. Esta operación recupera los ajustes de configuración actuales para la detección automática de datos confidenciales, incluido el identificador único de la plantilla de inspección de confidencialidad de su cuenta en la versión actual Región de AWS. Si utilizas el AWS CLI, ejecuta el [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)comando para recuperar esta información.
Cuando esté listo para actualizar la plantilla, utilice la [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operación o, si está utilizando la AWS CLI, ejecute el [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)comando. En su solicitud, utilice el `allowListIds` parámetro para añadir o eliminar una o más listas de permisos de los análisis posteriores:
+ Para empezar a utilizar una lista de permitidos, especifique su identificador único para el parámetro.
+ Para dejar de usar una lista de permitidos, omita su identificador único en el parámetro.
Utilice parámetros adicionales para especificar qué identificadores de datos gestionados e identificadores de datos personalizados quiere que utilice Macie. Especifique también la región a la que se aplica la solicitud. Si la solicitud es correcta, Macie actualiza la plantilla y devuelve una respuesta vacía.
Los siguientes ejemplos muestran cómo utilizarla AWS CLI para actualizar la plantilla de inspección de sensibilidad de una cuenta. Los ejemplos añaden una lista de permitidos a los análisis posteriores. También mantienen la configuración actual que especifica qué identificadores de datos gestionados e identificadores de datos personalizados utilizar: utilizan el conjunto predeterminado de identificadores de datos gestionados y dos identificadores de datos personalizados.
Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Donde:
+ *fd7b6d71c8006fcd6391e6eedexample*es el identificador único de la plantilla de inspección de sensibilidad que se va a actualizar.
+ *nkr81bmtu2542yyexample*es el identificador único que se puede utilizar en la lista.
+ *3293a69d-4a1e-4a07-8715-208ddexample*y *6fad0fb5-3e82-4270-bede-469f2example* son los identificadores únicos que deben utilizar los identificadores de datos personalizados.
------
# Deshabilitación de la detección de datos confidenciales automatizada
Puede desactivar la detección de datos confidenciales automatizada de una cuenta u organización en cualquier momento. Si lo hace, Amazon Macie dejará de realizar todas las actividades de detección automatizada para la cuenta u organización antes de que comience un ciclo de evaluación y análisis posterior, normalmente en un plazo de 48 horas. Los efectos adicionales varían:
+ Si es administrador de Macie y lo desactiva para una cuenta individual de su organización, usted y la cuenta pueden seguir accediendo a todos los datos estadísticos, de inventario y demás información que haya producido y proporcionado Macie directamente mientras realizaba la detección automatizada en la cuenta. Puede volver a habilitar la detección automatizada para la cuenta. En tal caso, Macie reanudará todas las actividades de detección automatizada para la cuenta.
+ Si es administrador de Macie y lo desactiva para su organización, usted y la cuenta perderán el acceso a todos los datos estadísticos, de inventario y demás información que haya producido y proporcionado Macie directamente mientras realizaba la detección automatizada en la cuenta. Por ejemplo, su inventario de buckets de S3 ya no incluye visualizaciones de confidencialidad ni estadísticas de análisis. Posteriormente, podrá volver a activar la detección automatizada para su organización. A continuación, Macie reanudará todas las actividades de detección automatizada en su organización. Si la vuelve a habilitar en un plazo de 30 días, usted y las cuentas volverán a tener acceso a todos los datos estadísticos y demás información que Macie produjo previamente y proporcionó directamente mientras realizaba la detección automatizada. Si no la vuelve a activar en un plazo de 30 días, Macie eliminará de forma permanente estos datos y esta información.
+ Si la deshabilitad para su cuenta de Macie independiente, perderá el acceso a todos datos estadísticos, de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta. Si no la vuelve a activar en un plazo de 30 días, Macie eliminará de forma permanente estos datos y esta información.
Puede seguir accediendo a los resultados de datos confidenciales que Macie haya obtenido mientras realizaba la detección de datos confidenciales automatizada en su cuenta u organización. Macie guarda los resultados durante 90 días. Macie también conserva sus ajustes de configuración para la detección automática. Además, los datos que ha almacenado o publicado en otros sitios Servicios de AWS permanecen intactos y no se ven afectados, como los resultados de descubrimiento de datos confidenciales en Amazon S3 y los eventos de búsqueda en Amazon EventBridge.
**Deshabilitación de la detección de datos confidenciales automatizada**
Si es el administrador de Macie de una organización o tiene una cuenta de Macie independiente, puede deshabilitar la detección automática de datos confidenciales mediante la consola de Amazon Macie o la API de Amazon Macie. Si tiene una cuenta de miembro en una organización, póngase en contacto con su administrador de Macie para deshabilitar la detección automatizada en esa cuenta. Solo su administrador de Macie puede deshabilitar la detección automática en su cuenta.
------
#### [ Console ]
Siga estos pasos para deshabilitar la detección automática de datos confidenciales mediante la consola de Amazon Macie.
**Deshabilitación de la detección de datos confidenciales automatizada**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee deshabilitar la detección automática de datos confidenciales.
1. En el panel de navegación, en **Configuración**, elija **Detección de datos confidenciales automatizada**.
1. Si es el administrador de Macie de una organización, elija una opción en la sección **Estado** para especificar las cuentas en las que desee deshabilitar la detección de datos confidenciales automatizada:
+ Para deshabilitarla solo para determinadas cuentas de miembro, seleccione **Administrar cuentas**. A continuación, en la tabla de la página **Cuentas**, selecciona la casilla de verificación de cada cuenta para la que deseas inhabilitarla. Cuando termine, seleccione **Deshabilitar la detección de datos confidenciales automatizada** en el menú **Acciones**.
+ Para deshabilitarla únicamente para su cuenta de administrador de Macie, seleccione **Deshabilitar**. En el cuadro de diálogo que aparece, seleccione **Mi cuenta** y después **Desactivar**.
+ Para deshabilitarla para todas las cuentas de su organización y para toda la organización en general, seleccione **Desactivar**. En el cuadro de diálogo que aparece, seleccione **Mi organización** y después **Desactivar**.
1. Si tiene una cuenta de Macie independiente, seleccione **Desactivar** en la sección **Estado**.
Si utiliza Macie en varias regiones y quiere deshabilitar la detección de datos confidenciales automatizada en otras regiones, repita los pasos anteriores en cada región adicional.
------
#### [ API ]
Con la API de Amazon Macie, puede deshabilitar la detección automática de datos confidenciales de dos maneras. La forma de deshabilitarla depende en parte del tipo de cuenta que tenga. Si eres el administrador de Macie de una organización, también depende de si deseas deshabilitar la detección automática solo para determinadas cuentas de miembros o para tu organización en general. Si lo inhabilita para su organización, lo deshabilitará para todas las cuentas que actualmente forman parte de su organización. Si posteriormente se unen más cuentas a su organización, la detección automática también estará deshabilitada para esas cuentas.
Para deshabilitar la detección automática de datos confidenciales para una organización o una cuenta independiente de Macie, utilice la [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operación. O, si utiliza AWS Command Line Interface (AWS CLI), ejecute el comando [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html). En la solicitud, especifique `DISABLED` para el parámetro `status`.
Para deshabilitar la detección automática de datos confidenciales solo para determinadas cuentas de miembros de una organización, utilice la [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)operación. O bien, si está utilizando el AWS CLI, ejecute el comando [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html). En tu solicitud, usa el `accountId` parámetro para especificar el ID de cuenta para la que deseas deshabilitar la detección automática. En el parámetro `status`, especifique `DISABLED`. Para deshabilitar la detección automática de una cuenta, Macie debe estar habilitada actualmente para la cuenta.
Los siguientes ejemplos muestran cómo utilizarlos AWS CLI para deshabilitar la detección automática de datos confidenciales en una o más cuentas de una organización. En este primer ejemplo, se inhabilita la detección automática en una organización. Inhabilita la detección automática para la cuenta de administrador de Macie y para todas las cuentas de los miembros de la organización.
```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```
¿Cuál *us-east-1* es la región en la que se puede deshabilitar la detección automática de datos confidenciales para la organización? La región de EE. UU. Este (Virginia del Norte). Si la solicitud es correcta, Macie deshabilita la detección automática para la organización y devuelve una respuesta vacía.
Los siguientes ejemplos deshabilitan la detección automática de datos confidenciales en las cuentas de dos miembros de una organización. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```
Donde:
+ *us-east-1*es la región en la que se deshabilita la detección automática de datos confidenciales para las cuentas especificadas, la región EE.UU. Este (Virginia del Norte).
+ *123456789012*y *111122223333* son la cuenta de las cuentas IDs para las que se debe deshabilitar la detección automática de datos confidenciales.
Si la solicitud es correcta para todas las cuentas especificadas, Macie devuelve una matriz vacía`errors`. Si la solicitud falla en algunas cuentas, la matriz especifica el error que se produjo en cada cuenta afectada. Por ejemplo:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
En la respuesta anterior, no se pudo realizar la solicitud para la cuenta especificada (`123456789012`) porque Macie tiene actualmente suspendida la cuenta.
Si la solicitud falla en todas las cuentas, recibirás un mensaje en el que se describe el error que se ha producido. Por ejemplo:
```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```
En la respuesta anterior, la solicitud falló porque la configuración de habilitación de miembros de la organización está configurada actualmente para permitir la detección automática de datos confidenciales en todas las cuentas ()`ALL`. Para solucionar el error, el administrador de Macie primero debe cambiar esta configuración a o. `NONE` `NEW` Para obtener información sobre esta configuración, consulte [Habilitación de la detección de datos confidenciales automatizada](discovery-asdd-account-enable.md).
------
# Revisión de los resultados de la detección de datos confidenciales automatizada
Si la detección automática de datos confidenciales está habilitada, Amazon Macie genera y mantiene automáticamente datos de inventario adicionales, estadísticas y otra información sobre los depósitos de uso general del Amazon Simple Storage Service (Amazon S3) para su cuenta. Si es el administrador de Macie de una organización, esto incluye de forma predeterminada los buckets de S3 que sean propiedad de sus cuentas de miembro.
La información adicional recoge los resultados de actividades de detección de datos confidenciales automatizada que Macie haya realizado hasta ahora. También complementa otra información que Macie proporciona sobre sus datos de Amazon S3, como la configuración de acceso público y acceso compartido para buckets de S3 individuales. Además de los metadatos y las estadísticas, Macie genera registros de los datos confidenciales que encuentra y de los análisis que realiza, es decir, los *resultados de datos confidenciales* y los *resultados de la detección de datos confidenciales*.
A medida que la detección de datos confidenciales automatizada progresa cada día, las siguientes características y datos pueden ayudarle a revisar y evaluar los resultados:
+ [**Panel de **resumen****](discovery-asdd-results-s3-dashboard.md): proporciona estadísticas agregadas del patrimonio de datos de Amazon S3. Las estadísticas incluyen datos de métricas clave, como el número total de buckets en los que Macie ha encontrado datos confidenciales y cuántos de esos grupos son de acceso público. También informan sobre problemas que afectan a la cobertura de sus datos de Amazon S3.
+ [**Mapa térmico de **cubos de S3****](discovery-asdd-results-s3-inventory-map.md): proporciona una representación visual interactiva de la sensibilidad de los datos en todo su patrimonio de datos, agrupados por Cuenta de AWS. Para cada cuenta, el mapa incluye estadísticas de confidencialidad agregadas y utiliza colores para indicar la puntuación de confidencialidad actual de cada segmento que posee la cuenta. El mapa también utiliza símbolos para ayudarle a identificar los buckets que son de acceso público, los que Macie no puede analizar, etc.
+ [**Tabla de **cubos de S3****](discovery-asdd-results-s3-inventory-table.md): proporciona información resumida de cada uno de los cubos de S3 de su inventario. Para cada bucket, la tabla incluye datos como la puntuación de confidencialidad actual del bucket, la cantidad de objetos que Macie puede analizar en el bucket y si ha configurado algún trabajo de detección de datos confidenciales para analizar periódicamente los objetos del bucket. Si lo desea, puede exportar los datos de la tabla a un archivo de valores separados por comas (CSV).
+ [**Detalles del **depósito de S3****](discovery-asdd-results-s3-inventory-details.md): proporciona información y estadísticas detalladas sobre un depósito de S3. Los detalles incluyen una lista de los objetos que Macie ha analizado en el bucket y un desglose de los tipos y el número de apariciones de datos confidenciales que Macie ha encontrado en el bucket. Estos detalles se suman a los detalles sobre la configuración que afecta a la seguridad y la privacidad de los datos del bucket.
+ [**Resultados de datos confidenciales**](discovery-asdd-results-s3-findings.md): proporciona informes detallados de los datos confidenciales que Macie haya encontrado en objetos de S3 individuales. Los detalles incluyen cuándo ha encontrado Macie los datos confidenciales y los tipos y el número de ocurrencias de los datos confidenciales que ha encontrado Macie. Los detalles también incluyen información sobre el bucket y el objeto de S3 afectados, incluida la configuración de acceso público del bucket y la fecha en que se modificó el objeto por última vez.
+ [**Resultados de la detección de datos confidenciales**](discovery-asdd-results-s3-sddrs.md): proporciona registros del análisis que Macie ha realizado para objetos de S3 individuales. Esto incluye objetos en los que Macie no encuentre datos confidenciales y objetos que Macie no pueda analizar debido a errores o problemas. Si Macie encuentra datos confidenciales en un objeto, el resultado de la detección de datos confidenciales proporcionará información sobre los datos confidenciales que Macie encontró.
Con estos datos, puede evaluar la confidencialidad de los datos en todo su patrimonio de datos de Amazon S3 y profundizar para evaluar e investigar los buckets y objetos individuales de S3. Junto con la información que Macie proporciona sobre la seguridad y la privacidad de sus datos de Amazon S3, también puede identificar los casos en los que podría ser necesaria una solución inmediata, por ejemplo, un bucket de acceso público en el que Macie encontró datos confidenciales.
Los datos adicionales pueden ayudarle a evaluar y supervisar la cobertura de los datos de Amazon S3. Con los datos de cobertura, puede comprobar el estado de los análisis del patrimonio de datos en general y de los buckets de S3 individuales que tenga. También puede identificar los problemas que impidieron que Macie analizara objetos en buckets específicos. Si soluciona los problemas, puede aumentar la cobertura de sus datos de Amazon S3 durante los ciclos de análisis posteriores. Para obtener más información, consulte [Evaluación de cobertura de detección de datos confidenciales automatizada](discovery-coverage.md).
**Topics**
+ [Revisión de estadísticas de confidencialidad de los datos en el panel de resumen](discovery-asdd-results-s3-dashboard.md)
+ [Visualización de la confidencialidad de los datos con el mapa de buckets de S3](discovery-asdd-results-s3-inventory-map.md)
+ [Evaluación de la confidencialidad de los datos con la tabla de buckets S3](discovery-asdd-results-s3-inventory-table.md)
+ [Revisión de los detalles de confidencialidad de los datos de los buckets de S3](discovery-asdd-results-s3-inventory-details.md)
+ [Análisis de resultados de la detección de datos confidenciales automatizada](discovery-asdd-results-s3-findings.md)
+ [Acceso a los resultados de detección producidos por la detección de datos confidenciales automatizada](discovery-asdd-results-s3-sddrs.md)
# Revisión de estadísticas de confidencialidad de los datos en el panel de resumen
En la consola de Amazon Macie, el panel de **Resumen** proporciona una instantánea de las estadísticas agregadas y los datos de resultados de sus datos de Amazon Simple Storage Service (Amazon S3) en la Región de AWS actual. Está diseñado para ayudarle a evaluar la seguridad general de sus datos de Amazon S3.
Las estadísticas del panel de control incluyen datos sobre métricas de seguridad clave, como la cantidad de buckets de uso general de S3 a los que se puede acceder públicamente o que se comparten con otros Cuentas de AWS. El panel también muestra grupos de datos de resultados agregados de su cuenta, por ejemplo, los buckets que generaron más resultados durante los siete días anteriores. Si es el administrador de Macie de una organización, el panel proporciona estadísticas y datos agregados de todas las cuentas de su organización. Si lo desea, puede filtrar los datos por cuenta.
Si la detección automática de datos confidenciales está habilitada, el panel de **resumen** incluye estadísticas adicionales. Las estadísticas recopilan el estado y los resultados de las actividades de descubrimiento automatizadas que Macie ha realizado hasta ahora para sus datos de Amazon S3. En la siguiente imagen se muestra un ejemplo de estas estadísticas.
![\[Estadísticas de detección de datos confidenciales automatizada en el panel Resumen. Cada estadística tiene datos de ejemplo.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)
Las estadísticas se organizan principalmente en dos secciones: **Detección automatizada** y **Problemas de cobertura**. Las estadísticas de la sección **Detección automatizada** proporcionan una instantánea del estado actual y los resultados de las actividades de detección de datos confidenciales automatizada. Las estadísticas de la sección de **problemas de cobertura** indican si los problemas impidieron que Macie analizara los objetos en depósitos de S3 individuales. Las estadísticas no incluyen datos de los trabajos de detección de datos confidenciales que haya creado y ejecutado. Sin embargo, si corrige los problemas de cobertura de la detección de datos confidenciales automatizada, es probable que también aumente la cobertura de los trabajos que ejecute posteriormente.
**Topics**
+ [Visualización del panel](#discovery-asdd-results-s3-dashboard-view)
+ [Descripción de las estadísticas del panel](#discovery-asdd-results-s3-dashboard-statistics)
## Mostrar el panel Resumen
Siga estos pasos para mostrar el panel **Resumen** en la consola de Amazon Macie. Para consultar las estadísticas mediante programación, utilice la [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)operación de la API Amazon Macie.
**Visualización del panel Resumen**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, elija **Resumen**. Macie muestra el panel **Resumen**.
1. Para profundizar y revisar los datos de respaldo de un elemento del panel de control, selecciónelo.
Si es el administrador de Macie de una organización, el panel muestra estadísticas y datos agregados de su cuenta y de las cuentas de miembros de la organización. Para mostrar los datos solo de una cuenta en particular, introduce el ID de la cuenta en el cuadro **Cuenta** situado encima del panel de control.
## Conozca las estadísticas de descubrimiento de datos confidenciales en el panel de resumen
El panel de **resumen** incluye estadísticas agregadas que pueden ayudarle a supervisar la detección automática de datos confidenciales para sus datos de Amazon S3. Proporciona una instantánea del estado actual y los resultados de los análisis de sus datos de Amazon S3 en la Región de AWS actual. Por ejemplo, puede utilizar las estadísticas del panel de control para determinar rápidamente en cuántos buckets de S3 Amazon Macie ha encontrado datos confidenciales y cuántos de esos buckets son de acceso público. También puede evaluar la cobertura de sus datos de Amazon S3. Las estadísticas de cobertura pueden ayudarle a identificar los problemas que impiden que Macie analice los objetos en buckets de S3 individuales.
En el panel, las estadísticas de detección de datos confidenciales automatizada se organizan en las siguientes secciones:
+ [Almacenamiento y detección de datos confidenciales](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [Detección automatizada](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [Problemas de cobertura](#discovery-asdd-results-s3-dashboard-coverage-statistics)
Las estadísticas individuales de cada sección son las siguientes. Para obtener información sobre las estadísticas de otras secciones del panel, consulte[Descripción de los componentes del panel Resumen](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main).
### Almacenamiento y detección de datos confidenciales
En la parte superior del panel, las estadísticas indican la cantidad de datos que almacena en Amazon S3 y la cantidad de esos datos que Amazon Macie puede analizar para detectar datos confidenciales. La siguiente imagen muestra un ejemplo de estas estadísticas para una organización con siete cuentas.
![\[La sección Almacenamiento y detección de datos confidenciales del panel. Cada campo contiene datos de ejemplo.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-summary-dashboard-storage.png)
Las estadísticas individuales de esta sección son:
+ **Total de cuentas**: este campo aparece si es el administrador de Macie de una organización o si tiene una cuenta de Macie independiente. Indica el número total de Cuentas de AWS cubos propios en tu inventario de cubos. Si es administrador de Macie, este es el número total de cuentas de Macie que administra para su organización. Si tiene una cuenta Macie independiente, este valor es *1*.
**Total de buckets de S3**: este campo aparece si tiene una cuenta de miembro en una organización. Indica el número total de buckets de uso general de su inventario, incluidos los buckets que no almacenen ningún objeto.
+ **Almacenamiento**: estas estadísticas proporcionan información sobre el tamaño de almacenamiento de los objetos de su inventario de buckets:
+ **Clasificable**: el tamaño total de almacenamiento de todos los objetos que Macie puede analizar en los buckets.
+ **Total**: el tamaño total de almacenamiento de todos los objetos de los buckets, incluidos los objetos que Macie no puede analizar.
Si alguno de los objetos son archivos comprimidos, estos valores no reflejan el tamaño real de esos archivos una vez descomprimidos. Si el control de versiones está habilitado para alguno de los buckets, estos valores se basan en el tamaño de almacenamiento de la última versión de cada objeto de esos buckets.
+ **Objetos**: estas estadísticas ofrecen información sobre el número de objetos en su inventario de buckets:
+ **Clasificable** el número total de objetos que Macie puede analizar en los buckets.
+ **Total**: el número total de objetos de los buckets, incluidos los objetos que Macie no puede analizar.
En las estadísticas anteriores, los objetos son *clasificables* si utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Puede detectar datos confidenciales en los objetos mediante Macie. Para obtener más información, consulte [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md).
Tenga en cuenta que las estadísticas de **Almacenamiento** y **Objetos** no incluyen datos sobre los objetos de los buckets a los que Macie no puede acceder. Para identificar los grupos en los que este es el caso, seleccione la estadística de **Acceso denegado** en la sección **Problemas de cobertura** del panel.
### Detección automatizada
Esta sección recoge el estado y los resultados de las actividades automatizadas de descubrimiento de datos confidenciales que Amazon Macie ha realizado hasta ahora para sus datos de Amazon S3. En la siguiente imagen se muestra un ejemplo de las estadísticas que proporciona esta sección.
![\[La sección Detección automatizada del panel. Un gráfico y los campos relacionados contienen datos de ejemplo.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-summary-dashboard-asdd.png)
Las estadísticas individuales de esta sección son las siguientes.
**Total de buckets**
El gráfico de rosquilla indica el número total de buckets de su inventario de buckets. El gráfico agrupa los buckets en categorías en función de la puntuación de confidencialidad actual de cada uno de ellos:
+ **Confidencial** *(*rojo*): el número total de buckets cuya puntuación de confidencialidad oscila entre *51* y 100.*
+ **No confidencial** (*azul*): el número total de buckets cuya puntuación de confidencialidad oscila entre *1* y *49*.
+ **Aún no se ha analizado** *(*gris claro*): el número total de buckets cuya puntuación de confidencialidad es 50*.
+ **Error de clasificación** (*gris oscuro*): número total de buckets cuya puntuación de confidencialidad es *-1*.
Para obtener más información sobre el rango de puntuaciones y etiquetas de confidencialidad que define Macie, consulte [Puntuación de confidencialidad para buckets de S3](discovery-scoring-s3.md).
Para revisar las estadísticas adicionales de un grupo, coloque el cursor sobre el grupo:
+ **Buckets**: el número total de buckets
+ **Accesible públicamente**: el número total de compartimentos que permiten al público en general tener acceso de lectura o escritura al bucket.
+ **Bytes clasificables**: el tamaño total de almacenamiento de todos los objetos que Macie puede analizar en los buckets. Estos objetos utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Para obtener más información, consulte [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md).
+ **Total de bytes**: el tamaño total de almacenamiento de todos los buckets.
En las estadísticas anteriores, los valores del tamaño de almacenamiento se basan en el tamaño de almacenamiento de la última versión de cada objeto de los buckets. Si alguno de los objetos son archivos comprimidos, estos valores no reflejan el tamaño real de esos archivos una vez descomprimidos.
**Confidencial**
Esta área indica el número total de buckets que actualmente tienen una puntuación de confidencialidad que va de *51* a *100*. Dentro de este grupo, el término **Acceso público** indica el número total de buckets que también permiten al público en general tener acceso de lectura o escritura al bucket.
**No confidencial**
Esta área indica el número total de buckets que actualmente tienen una puntuación de confidencialidad que va de *1* a *49*. Dentro de este grupo, el término **Acceso público** indica el número total de buckets que también permiten al público en general tener acceso de lectura o escritura al bucket.
Para determinar y calcular los valores de las estadísticas de **Acceso público**, Macie analiza una combinación de ajustes a nivel de cuenta y de bucket para cada grupo, como la configuración de bloqueo del acceso público para la cuenta y el bucket, y la política del bucket para el grupo. Macie lo hace hasta 10 000 cubos por cuenta. Para obtener más información, consulte [Cómo supervisa Macie la seguridad de los datos de Amazon S3](monitoring-s3-how-it-works.md).
Tenga en cuenta que las estadísticas de la sección **Detección automatizada** no incluyen los resultados de los trabajos de detección de datos confidenciales que haya creado y ejecutado.
### Problemas de cobertura
En esta sección, las estadísticas indican si ciertos tipos de problemas impidieron que Amazon Macie analizara los objetos de los buckets de S3 individuales. En la siguiente imagen se muestra un ejemplo de las estadísticas que proporciona esta sección.
![\[La sección Problemas de cobertura del panel. Cada campo contiene datos de ejemplo.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-summary-dashboard-coverage.png)
Las estadísticas individuales de esta sección son:
+ **Acceso denegado**: el número total de buckets a los que Macie no tiene permiso para acceder. Macie no puede analizar ningún objeto de estos buckets. La configuración de permisos de los buckets impide que Macie acceda a los buckets y a los objetos de los buckets.
+ **Error de clasificación**: el número total de buckets que Macie aún no ha analizado debido a errores de clasificación a nivel de objeto. Macie intentó analizar uno o más objetos de estos buckets. Sin embargo, Macie no pudo analizar los objetos debido a problemas con la configuración de los permisos en el objeto, el contenido de los objetos o las cuotas.
+ **No clasificable**: el número total de buckets que no almacenan ningún objeto clasificable. Macie no puede analizar ningún objeto de estos buckets. Todos los objetos utilizan clases de almacenamiento de Amazon S3 que Macie no admite o tienen extensiones de nombre de archivo para formatos de archivo o almacenamiento que Macie no admite.
Elija el valor de una estadística para mostrar detalles adicionales y, según proceda, una guía de corrección. Si soluciona los problemas de acceso y los errores de clasificación, puede aumentar la cobertura de sus datos de Amazon S3 durante los ciclos de análisis posteriores. Para obtener más información, consulte [Evaluación de cobertura de detección de datos confidenciales automatizada](discovery-coverage.md).
Tenga en cuenta que las estadísticas de la sección **Problemas de cobertura** no incluyen los datos de los trabajos de detección de datos confidenciales que haya creado y ejecutado. Sin embargo, si corrige los problemas de cobertura que afectan a la detección de datos confidenciales automatizada, es probable que también aumente la cobertura de los trabajos que ejecute posteriormente.
# Visualización de la confidencialidad de los datos con el mapa de buckets de S3
En la consola de Amazon Macie, el mapa de calor de los **buckets de S3** proporciona una representación visual interactiva de la confidencialidad de los datos en todo el patrimonio de datos de Amazon Simple Storage Service (Amazon S3). La información adicional recoge los resultados de las actividades de detección de datos confidenciales automatizada que Macie ha realizado hasta ahora para los datos de Amazon S3 en la Región de AWS actual.
Si es el administrador de Macie de una organización, el mapa incluye los resultados de los buckets de S3 que sean propiedad de sus cuentas de miembros. Los datos se agrupan Cuenta de AWS y ordenan por ID de cuenta, como se muestra en la siguiente imagen.
![\[El mapa de buckets de S3. Muestra cuadrados de diferentes colores, uno para cada bucket, agrupados por cuenta.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-s3-map-small.png)
El mapa muestra los datos de hasta 100 grupos de S3 para cada cuenta. Para mostrar los datos de todos los grupos, puedes [cambiar a la vista de tabla](discovery-asdd-results-s3-inventory-table.md) y, en su lugar, revisar los datos en formato tabular.
Para mostrar el mapa, elija **Buckets de S3** en el panel de navegación de la consola. Luego, elija mapa (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-s3-map-view.png)) en la parte superior de la página. El mapa solo está disponible si la detección de datos confidenciales automatizada está habilitada actualmente. No incluye los resultados de los trabajos de detección de datos confidenciales que haya creado y ejecutado.
**Topics**
+ [Interpretación de los datos del mapa de buckets de S3](#discovery-asdd-results-s3-inventory-map-legend)
+ [Interactúa con el mapa de buckets de S3](#discovery-asdd-results-s3-inventory-map-use)
## Interpretación de los datos del mapa de buckets de S3
En el mapa de **buckets de S3**, cada cuadrado representa un bucket de uso general de S3 del inventario de buckets. El color de un cuadrado representa la puntuación de confidencialidad actual de un bucket, que mide la intersección de dos dimensiones principales: la cantidad de datos confidenciales que Macie ha encontrado en el bucket y la cantidad de datos que Macie ha analizado en el bucket. La intensidad del tono del color representa el lugar en el que se sitúa la puntuación en un rango de valores de confidencialidad de datos, como se muestra en la siguiente imagen.
![\[El espectro de colores para las puntuaciones de confidencialidad: tonos azules para 1-49, tonos rojos para 51-100 y gris para -1.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/sensitivity-scoring-spectrum.png)
En general, puede interpretar la intensidad del color y el matiz de la siguiente manera:
+ **Azul**: si la puntuación de confidencialidad actual de un bucket va de *1* a *49*, el cuadrado del bucket es azul y la etiqueta de confidencialidad del bucket es **No confidencial**. La intensidad del tono azul refleja el número de objetos únicos que Macie ha analizado en el bucket en relación con el número total de objetos únicos del bucket. Un tono más oscuro indica una puntuación de confidencialidad más baja.
+ **Sin color**: si la puntuación de confidencialidad actual de un bucket es *50*, el cuadrado del bucket no está coloreado y la etiqueta de confidencialidad del bucket **no se ha analizado aún**. Además, el cuadrado tiene un borde discontinuo.
+ **Rojo**: si la puntuación de confidencialidad actual de un bucket oscila entre *51* y *100*, el cuadrado del bucket es rojo y la etiqueta de confidencialidad del bucket es **Confidencial**. La intensidad del tono rojo refleja la cantidad de datos confidenciales que Macie ha encontrado en el bucket. Un tono más oscuro indica una puntuación de confidencialidad más alta.
+ **Gris**: si la puntuación de confidencialidad actual de un bucket es *-1*, el cuadrado del bucket es de color gris oscuro y la etiqueta de confidencialidad del bucket es **un error de clasificación**. La intensidad del tono no varía.
Para obtener más información sobre el rango de puntuaciones y etiquetas de confidencialidad que define Macie, consulte [Puntuación de confidencialidad para buckets de S3](discovery-scoring-s3.md).
En el mapa, el cuadrado de un bucket S3 también puede contener un símbolo. El símbolo indica un error, un problema u otro tipo de consideración que podría afectar a la evaluación de la confidencialidad de un bucket. Un símbolo también puede indicar un posible problema con la seguridad del bucket; por ejemplo, el bucket es de acceso público. En la siguiente tabla se enumeran los símbolos que Macie utiliza para avisarle de estos casos.
| Símbolo | Definición | Description (Descripción) |
| --- | --- | --- |
| ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-map-access-denied.png) | Acceso denegado | A Macie no se le permite acceder al bucket ni a los objetos del bucket. En consecuencia, Macie no puede analizar ningún objeto del bucket. Este problema suele producirse porque un bucket tiene una política de bucket restrictiva. Para obtener información acerca de cómo resolver este problema, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md). |
| ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-map-publicly-accessible.png) | Accesible públicamente | El público en general tiene acceso de lectura o escritura al bucket. Para tomar esta decisión, Macie analiza una combinación de ajustes para cada grupo, como la configuración de bloqueo del acceso público para la cuenta y el grupo, y la política del segmento para el grupo. Macie puede hacer esto con hasta 10 000 compartimentos por cuenta. Para obtener más información, consulte [Cómo supervisa Macie la seguridad de los datos de Amazon S3](monitoring-s3-how-it-works.md). |
| ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-map-unclassifiable.png) | No clasificable | Macie no puede analizar ningún objeto del bucket. Todos los objetos del bucket utilizan clases de almacenamiento de Amazon S3 que Macie no admite o tienen extensiones de nombre de archivo para formatos de archivo o almacenamiento que Macie no admite. Para que Macie pueda analizar un objeto, el objeto debe utilizar una clase de almacenamiento compatible y tener una extensión de nombre de archivo para un archivo o formato de almacenamiento compatible. Para obtener más información, consulte [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md). |
| ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-map-zero-bytes.png) | Cero bytes | El bucket no almacena ningún objeto que Macie pueda analizar. El bucket está vacío o todos los objetos del bucket contienen cero (0) bytes de datos. |
## Interactúa con el mapa de buckets de S3
Al revisar el mapa de **buckets de S3**, podrá interactuar con él de diferentes maneras para revelar y evaluar datos y detalles adicionales de cuentas y buckets individuales. Siga estos pasos para mostrar el mapa y utilizar las diversas características que proporciona.
**Para interactuar con el mapa de buckets de S3**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, elija **Buckets de S3**. La página de **buckets de S3** muestra un mapa de su inventario de buckets. Si la página muestra su inventario en formato tabular, seleccione map (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-s3-map-view.png)) en la parte superior de la página.
De forma predeterminada, el mapa no muestra los datos de los buckets que actualmente están excluidos de la detección de datos confidenciales automatizada. Si es el administrador de Macie de una organización, tampoco muestra los datos de las cuentas para las que la detección de datos confidenciales automatizada esté deshabilitada actualmente. Para mostrar estos datos, seleccione una **X** en el marcador del filtro **¿Está supervisado por la detección automatizada?** situado debajo del cuadro de filtro.
1. En la parte superior de la página, si lo desea, seleccione Actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) para recuperar los metadatos del bucket más recientes de Amazon S3.
1. En el mapa de **buckets de S3**, realice una de las siguientes acciones:
+ Para determinar cuántos cubos tienen una etiqueta de sensibilidad específica, consulte las insignias de colores que se encuentran inmediatamente debajo de la identificación. Cuenta de AWS Las insignias muestran el recuento total de buckets, desglosado por etiqueta de confidencialidad.
Por ejemplo, la insignia roja indica el número total de buckets que son propiedad de la cuenta y que tienen la etiqueta de **Confidencial**. *La puntuación de confidencialidad de estos buckets oscila entre *51* y 100*. La insignia azul indica el número total de buckets que son propiedad de la cuenta y que tienen la etiqueta de **No confidencial**. *La puntuación de confidencialidad de estos buckets oscila entre *1* y 49*.
+ Para revisar un subconjunto de información sobre un bucket, coloca el cursor sobre el cuadrado del bucket. En una ventana emergente se muestra el nombre del bucket y la puntuación de confidencialidad actual.
La ventana emergente también muestra el número total de objetos que Macie puede analizar en el bucket y el tamaño total de almacenamiento de la última versión de esos objetos. Estos objetos son *clasificables*. Los objetos son clasificables si utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Para obtener más información, consulte [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md).
+ Para filtrar el mapa y mostrar solo los buckets que tienen un valor específico para un campo, coloque el cursor en el cuadro de filtro y, a continuación, añada una condición de filtro para el campo. Macie aplica los criterios de la condición y muestra la condición debajo del cuadro de filtro. Para refinar aún más los resultados, añada condiciones de filtro para campos adicionales. Para obtener más información, consulte [Filtrado del inventario de un bucket de S3](monitoring-s3-inventory-filter.md).
+ Para desglosar y mostrar solo los buckets que pertenezcan a una cuenta en particular, elija el ID de la cuenta. Macie abre una nueva pestaña que filtra y muestra los datos únicamente de esa cuenta.
1. Para revisar las estadísticas de confidencialidad de los datos y otra información de un segmento en particular, elige el cuadrado del segmento. A continuación, consulte el panel de detalles. Para obtener información acerca de estos detalles, consulte [Revisión de los detalles de confidencialidad de los datos de los buckets de S3](discovery-asdd-results-s3-inventory-details.md).
**sugerencia**
En la pestaña **Detalles del bucket** del panel, puede desplazarse y profundizar en muchos de los campos. Para mostrar los buckets que tienen el mismo valor para un campo, elija ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) en el campo. Para mostrar los buckets que tienen otros valores para un campo, elija ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) en el campo.
# Evaluación de la confidencialidad de los datos con la tabla de buckets S3
Para revisar la información resumida de los buckets de Amazon Simple Storage Service (Amazon S3), puede utilizar la tabla de buckets de **S3 de la consola** de Amazon Macie. Al usar la tabla, puede revisar y analizar un inventario de sus depósitos de uso general en el estado actual Región de AWS y desglosarlo para revisar la información y las estadísticas detalladas de los cubos individuales. Si es el administrador de Macie de una organización, la tabla incluye información sobre los grupos que pertenecen a sus cuentas de miembro. Si prefiere acceder a los datos y consultarlos mediante programación, puede utilizar el [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)funcionamiento de la API Amazon Macie.
En la consola, puede ordenar y filtrar la tabla para personalizar la vista. Si lo desea, puede exportar los datos de la tabla a un archivo de valores separados por comas (CSV). Si elige un bucket de S3 en la tabla, el panel de detalles muestra información adicional sobre el bucket. Esto incluye detalles y datos estadísticos para la configuración, y las métricas que proporcionan información sobre la seguridad y la privacidad de los datos del bucket. Si su cuenta tiene habilitada la detección de datos confidenciales automatizada, también se recopilan los resultados de las actividades de detección de datos confidenciales automatizada que Macie ha realizado hasta ahora para el bucket.
**Evaluación de la confidencialidad de los datos mediante la tabla de buckets de S3**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, elija **Buckets de S3**. La página **Buckets de S3** muestra su inventario de buckets.
De forma predeterminada, la página no muestra los datos de los buckets que actualmente están excluidos de la detección de datos confidenciales automatizada. Si es el administrador de Macie de una organización, tampoco muestra los datos de las cuentas para las que la detección de datos confidenciales automatizada esté deshabilitada actualmente. Para mostrar estos datos, seleccione una **X** en el marcador del filtro **¿Está supervisado por la detección automatizada?** situado debajo del cuadro de filtro.
1. Elija tabla (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-s3-table-view.png)) en la parte superior de la página. Macie muestra el número de buckets de su inventario y una tabla con los buckets.
1. Para recuperar los metadatos del bucket más recientes de Amazon S3, seleccione actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) en la parte superior de la página.
Si el icono de información (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-info-blue.png)) aparece junto al nombre de algún bucket, le recomendamos que lo haga. Este icono indica que se creó un bucket durante las últimas 24 horas, posiblemente después de que Macie recuperara por última vez los metadatos del bucket y del objeto de Amazon S3 como parte del [ciclo de actualización diario](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).
1. En la tabla de **buckets de S3**, consulte la información resumida sobre cada uno de los buckets de su inventario:
+ **Confidencialidad**: la puntuación de confidencialidad actual del bucket. Para obtener información sobre el rango de puntuaciones de confidencialidad que define Macie, consulte [Puntuación de confidencialidad para buckets de S3](discovery-scoring-s3.md).
+ **Bucket**: el nombre del bucket.
+ **Cuenta**: el ID de Cuenta de AWS cuenta del propietario del depósito.
+ **Objetos clasificables**: el número total de objetos que Macie puede analizar para detectar datos confidenciales en el bucket.
+ **Tamaño clasificable**: el tamaño total de almacenamiento de todos los objetos que Macie puede analizar para detectar datos confidenciales en el bucket.
Este valor no refleja el tamaño real de los objetos comprimidos después de descomprimirlos. Además, si el control de versiones está activado para el bucket, este valor se basa en el tamaño de almacenamiento de la última versión de cada objeto del bucket.
+ **Supervisado por el trabajo**: si se han configurado los trabajos de detección de datos confidenciales para analizar periódicamente los objetos del bucket de forma diaria, semanal o mensual.
Si el valor de este campo es *Sí*, el bucket se incluye explícitamente en un trabajo periódico o el bucket ha cumplido los criterios de un trabajo periódico en las últimas 24 horas. Además, el estado de al menos uno de esos trabajos no es *Cancelado*. Macie actualiza estos datos a diario.
+ **Ejecución más reciente del trabajo**: si se ha configurado algún trabajo puntual o periódico de detección de datos confidenciales para analizar los objetos del bucket, este campo indica la fecha y hora más recientes en las que se empezó a ejecutar uno de esos trabajos. De lo contrario, aparecerá un guion (–) en este campo.
Los objetos son *clasificables* si utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Puede detectar datos confidenciales en los objetos mediante Macie. Para obtener más información, consulte [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md).
1. Para analizar su inventario mediante la tabla, realice alguna de las siguientes acciones:
+ Para ordenar la tabla por un campo específico, seleccione el encabezado de la columna del campo. Para cambiar el orden de clasificación, vuelva a seleccionar el encabezado de la columna.
+ Para filtrar la tabla y mostrar solo los buckets que tengan un valor específico para un campo, coloque el cursor en el cuadro de filtro y, a continuación, añada una condición de filtro para el campo. Para refinar aún más los resultados, añada condiciones de filtro para campos adicionales. Para obtener más información, consulte [Filtrado del inventario de un bucket de S3](monitoring-s3-inventory-filter.md).
+ Para revisar las estadísticas de confidencialidad de los datos y otra información de un depósito en particular, elige el nombre del depósito. A continuación, consulte el panel de detalles. Para obtener información acerca de estos detalles, consulte [Revisión de los detalles del bucket de S3](discovery-asdd-results-s3-inventory-details.md).
**sugerencia**
En la pestaña **Detalles del bucket** del panel, puede desplazarse y profundizar en muchos de los campos. Para mostrar los buckets que tienen el mismo valor para un campo, elija ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) en el campo. Para mostrar los buckets que tienen otros valores para un campo, elija ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) en el campo.
1. Para exportar los datos de la tabla a un archivo CSV, seleccione la casilla de verificación de cada fila que desee exportar o seleccione la casilla del encabezado de la columna de selección para seleccionar todas las filas. A continuación, elija **Exportar a CSV** en la parte superior de la página. Puede exportar hasta 50 000 filas de la tabla.
1. Para realizar un análisis más profundo e inmediato de los objetos de uno o más cubos, seleccione la casilla de verificación de cada uno de ellos. Después elija **Crear trabajo**. Para obtener más información, consulte [Creación de un trabajo de detección de datos confidenciales](discovery-jobs-create.md).
# Revisión de los detalles de confidencialidad de los datos de los buckets de S3
A medida que avance la detección automática de datos confidenciales, podrá revisar los resultados detallados de las estadísticas y demás información que Amazon Macie proporciona sobre cada uno de sus depósitos de Amazon Simple Storage Service (Amazon S3). Si es el administrador de Macie de una organización, incluirá los buckets que sean propiedad de las cuentas de miembro.
Las estadísticas y la información incluyen detalles que proporcionan información sobre la seguridad y la privacidad de los datos de un bucket de S3. También recopilan los resultados de las actividades automatizadas de descubrimiento de datos confidenciales que Macie ha llevado a cabo hasta ahora en un solo paquete. Por ejemplo, puede encontrar una lista de objetos que Macie ha analizado en un depósito. También puede encontrar un desglose de los tipos y el número de apariciones de datos confidenciales que Macie ha encontrado en un depósito. Tenga en cuenta que estos datos no incluyen los resultados de los trabajos de descubrimiento de datos confidenciales que usted cree y ejecute.
Macie recalcula y actualiza automáticamente las estadísticas y los detalles de sus depósitos de S3 mientras realiza la detección automática de datos confidenciales. Por ejemplo:
+ Si Macie no encuentra datos confidenciales en un objeto de S3, reduce la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario. Macie también añade el objeto a la lista de objetos que ha seleccionado para su análisis.
+ Si Macie encuentra datos confidenciales en un objeto de S3, Macie añade esas apariciones al desglose de los tipos de datos confidenciales que Macie ha encontrado en el bucket. Macie también aumenta la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario. Además, Macie añade el objeto a la lista de objetos que ha seleccionado para el análisis. Estas tareas se suman a la creación de un resultado de datos confidenciales para el objeto.
+ Si Macie encuentra datos confidenciales en un objeto de S3 que posteriormente se modifican o eliminan, Macie elimina las incidencias de datos confidenciales del objeto del desglose de tipos de datos confidenciales del depósito. Macie también reduce la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario. Además, Macie elimina el objeto de la lista de objetos que ha seleccionado para su análisis.
+ Si Macie intenta analizar un objeto S3 pero un problema o error impide el análisis, Macie añade el objeto a la lista de objetos que ha seleccionado para el análisis e indica que no ha podido analizarlo.
Si es el administrador de Macie de una organización o tiene una cuenta de Macie independiente, si lo desea, puede utilizar estos detalles para evaluar y ajustar determinadas configuraciones de detección automática para un bucket de S3. Por ejemplo, puede incluir o excluir tipos específicos de datos confidenciales de la puntuación de un segmento. Para obtener más información, consulte [Ajuste de las puntuaciones de confidencialidad para buckets de S3](discovery-asdd-s3bucket-manage.md).
**Para revisar los detalles de confidencialidad de datos de un bucket de S3**
Para revisar la confidencialidad de los datos y otros detalles de un bucket de S3, puede utilizar la consola Amazon Macie o la API de Amazon Macie. En la consola, el panel de detalles proporciona un acceso centralizado a esta información. Con la API, puede recuperar y procesar los datos mediante programación.
------
#### [ Console ]
Siga estos pasos para revisar la confidencialidad de los datos y otros detalles de un bucket de S3 mediante la consola Amazon Macie.
**Para revisar los detalles de un bucket de S3**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, elija **Buckets de S3**. La página **Buckets de S3** muestra un mapa interactivo de su inventario de buckets. Si lo prefiere, elija tabla (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-s3-table-view.png)) en la parte superior de la página para mostrar el inventario en formato tabular.
De forma predeterminada, la página no muestra los datos de los buckets que actualmente están excluidos de la detección de datos confidenciales automatizada. Si es el administrador de Macie de una organización, tampoco muestra los datos de las cuentas para las que la detección de datos confidenciales automatizada esté deshabilitada actualmente. Para mostrar estos datos, seleccione una **X** en el marcador del filtro **¿Está supervisado por la detección automatizada?** situado debajo del cuadro de filtro.
1. Para recuperar los metadatos del bucket más recientes de Amazon S3, seleccione actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) en la parte superior de la página.
1. Seleccione el bucket cuyos detalles quiera revisar. El panel de detalles muestra estadísticas de confidencialidad de los datos y otra información sobre el depósito.
En la parte superior del panel se muestra información general sobre el depósito: el nombre del depósito, el ID de cuenta del Cuenta de AWS propietario del depósito y la puntuación de sensibilidad actual del depósito. Si es administrador de Macie o tiene una cuenta de Macie independiente, también ofrece opciones para cambiar determinadas configuraciones de la detección automatizada en el bucket. Los ajustes e información adicionales se organizan en las siguientes pestañas:
[Sensibilidad](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [Detalles del depósito](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [Muestras de objetos](#discovery-asdd-results-s3-inventory-sample-details) \$1 [Descubrimiento de datos confidenciales](#discovery-asdd-results-s3-inventory-sdd-details)
Los ajustes individuales y la información de cada pestaña son los siguientes.
**Confidencialidad**
Esta pestaña muestra la puntuación de confidencialidad actual del bucket, que va de *-1* a *100*. Para obtener información sobre el rango de puntuaciones de confidencialidad que define Macie, consulte [Puntuación de confidencialidad para buckets de S3](discovery-scoring-s3.md).
La pestaña también proporciona un desglose de los tipos de datos confidenciales que Macie ha encontrado en los objetos del bucket y el número de veces que aparecen cada tipo:
+ **Tipo de datos confidenciales**: el identificador único (ID) del identificador de datos administrados que ha detectado los datos o el nombre del identificador de datos personalizado que ha detectado los datos.
El ID de un identificador de datos administrados describe el tipo de datos confidenciales para cuya detección está diseñado; por ejemplo, **USA\$1PASSPORT\$1NUMBER** para los números de pasaporte estadounidenses. Para obtener más información sobre cada identificador de datos administrados, consulte [Uso de identificadores de datos administrados](managed-data-identifiers.md).
+ **Recuento**: el número total de apariciones de los datos que detectó el identificador de datos administrado o personalizado.
+ **Estado de la puntuación**: este campo aparece si es administrador de Macie o si tiene una cuenta de Macie independiente. Especifica si las apariciones de los datos se incluyen o excluyen de la puntuación de confidencialidad del bucket.
Si Macie calcula la puntuación del segmento, usted puede ajustar el cálculo incluyendo o excluyendo tipos específicos de datos confidenciales de la puntuación: seleccione la casilla de verificación del identificador que detectó los datos confidenciales que desee incluir o excluir y, a continuación, seleccione una opción del menú **Acciones**. Para obtener más información, consulte [Ajuste de las puntuaciones de confidencialidad para buckets de S3](discovery-asdd-s3bucket-manage.md).
Si Macie no ha encontrado datos confidenciales en los objetos que el bucket almacena actualmente, en esta sección se muestra el mensaje **No se encontraron detecciones**.
Tenga en cuenta que la pestaña **Sensibilidad** no incluye los datos de los objetos que se modificaron o eliminaron después de que Macie los analizara. Si los objetos se modifican o eliminan después del análisis, Macie recalcula y actualiza automáticamente las estadísticas y los datos correspondientes para excluir los objetos.
**Detalles del bucket**
Esta pestaña proporciona detalles sobre la configuración del bucket, incluida la configuración de seguridad y privacidad de los datos. Por ejemplo, puede revisar los desgloses de la configuración de acceso público del bucket y determinar si el bucket replica objetos o se comparte con otros Cuentas de AWS.
Cabe destacar que el campo **Última actualización** indica cuándo Macie recuperó por última vez los metadatos del bucket o de los objetos del bucket de Amazon S3. El campo **Última ejecución de detección automatizada** indica cuándo Macie analizó por última vez los objetos del bucket mientras realizaba una detección de datos confidenciales automatizada. Si este análisis no se realizó, aparecerá un guion (–) en este campo.
La pestaña también proporciona estadísticas de objeto que pueden ayudarle a evaluar la cantidad de datos que Macie puede analizar en el bucket. También indica si ha configurado algún trabajo de detección de datos confidenciales para analizar los objetos del bucket. En caso afirmativo, puede acceder a los detalles del trabajo que se ejecutó más recientemente y, si lo desea, mostrar los resultados que arroje el trabajo.
En algunos casos, es posible que esta pestaña no incluya todos los detalles de un depósito. Esto puede ocurrir si almacena más de 10 000 depósitos en Amazon S3. Macie conserva los datos de inventario completos de solo 10 000 cubos por cuenta, es decir, los 10 000 depósitos que se crearon o modificaron más recientemente. Sin embargo, Macie puede analizar los objetos de los depósitos que superen esta cuota. Para revisar los detalles adicionales de los buckets, utilice Amazon S3.
Para obtener más información sobre la información de esta pestaña, consulte [Revisión de los detalles de los bucket de S3](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details).
**Muestras de objetos**
En esta pestaña se enumeran los objetos que Macie ha seleccionado para el análisis mientras realizaba la detección de datos confidenciales automatizada para el bucket. Si lo desea, elija el nombre de un objeto para abrir la consola de Amazon S3 y mostrar las propiedades del objeto.
La lista incluye datos de hasta 100 objetos. La lista se rellena en función del valor del campo **Confidencialidad del objeto**: **Confidencial**, seguido de **No confidencial**, seguido de los objetos que Macie no ha podido analizar.
En la lista, el campo **Confidencialidad del objeto** indica si Macie encontró datos confidenciales en un objeto:
+ **Confidencial**: Macie encontró al menos una aparición de datos confidenciales en el objeto.
+ **No confidencial**: Macie no encontró datos confidenciales en el objeto.
+ **–** (*guión*): Macie no pudo completar el análisis del objeto debido a un problema o error.
El campo **Resultados de clasificación** indica si Macie pudo analizar un objeto:
+ **Completado**: Macie completó el análisis del objeto.
+ **Parcial**: Macie analizó solo un subconjunto de datos del objeto debido a un problema o error. Por ejemplo, el objeto es un archivo comprimido que contiene archivos en un formato no compatible.
+ **Omitido**: Macie no pudo analizar ningún dato del objeto debido a un problema o error. Por ejemplo, el objeto está cifrado con una clave que Macie no puede usar.
Tenga en cuenta que la lista no incluye los objetos que se modificaron o eliminaron después de que Macie los analizara o intentara analizarlos. Macie elimina automáticamente un objeto de la lista si el objeto se modifica o elimina posteriormente.
**Detección de datos confidenciales**
Esta pestaña proporciona estadísticas agregadas y automatizadas de detección de datos confidenciales para el bucket:
+ **Bytes analizados**: la cantidad total de datos, en bytes, que Macie ha analizado en el bucket.
+ **Tamaño clasificable**: el tamaño total de almacenamiento de todos los objetos que Macie puede analizar en el bucket. Estos objetos utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Para obtener más información, consulte [Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md).
+ **Detecciones totales**: el número total de apariciones de datos confidenciales que Macie ha encontrado en el bucket. Esto incluye las incidencias que actualmente están suprimidas por la configuración de la puntuación de confidencialidad del bucket.
El gráfico **Objetos analizados** indica el número total de objetos que Macie ha analizado en el bucket. También proporciona una representación visual del número de objetos en los que Macie encontró o no encontró datos confidenciales. La leyenda que aparece debajo del gráfico muestra un desglose de estos resultados:
+ **Objetos confidenciales** (*rojo*): el número total de objetos en los que Macie encontró al menos una aparición de datos confidenciales.
+ **Objetos no confidenciales** (*azul*): el número total de objetos en los que Macie no encontró datos confidenciales.
+ **Objetos omitidos** (*gris oscuro*): el número total de objetos que Macie no pudo analizar debido a un problema o error.
En el área situada debajo de la leyenda del gráfico se muestra un desglose de los casos en los que Macie no ha podido analizar los objetos porque se produjeron ciertos problemas de permisos o errores criptográficos:
+ **Omitido: cifrado no válido:** número total de objetos cifrados con claves proporcionadas por el cliente. Macie no puede acceder a estas claves.
+ **Omitido: KMS no válido:** número total de objetos cifrados con claves AWS Key Management Service (AWS KMS) que ya no están disponibles. Estos objetos se cifran con las AWS KMS keys que estaban deshabilitadas, están programadas para su eliminación o se eliminaron. Macie no puede usar estas claves.
+ **Omitido: permiso denegado**: el número total de objetos a los que Macie no puede acceder debido a la configuración de permisos del objeto o a la configuración de permisos de la clave que se utilizó para cifrar el objeto.
Para obtener más información sobre estos y otros tipos de problemas y errores que pueden producirse, consulte [Solución de problemas de cobertura](discovery-coverage-remediate.md). Si corrige los problemas y errores, puede aumentar la cobertura de los datos del bucket durante los ciclos de análisis posteriores.
Las estadísticas de la pestaña **Detección de datos confidenciales** no incluyen los datos de los objetos que se modificaron o eliminaron después de que Macie los analizara o intentara analizarlos. Si los objetos se modifican o eliminan después de que Macie los analice o intente analizarlos, Macie recalcula automáticamente estas estadísticas para excluirlos.
------
#### [ API ]
Para recuperar la confidencialidad de los datos y otros detalles de un bucket de S3 mediante programación, dispone de varias opciones. La opción adecuada depende de los detalles que desee recuperar:
+ Para recuperar la puntuación de sensibilidad actual de un depósito y las estadísticas de análisis agregadas, utilice la [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)operación. O bien, si está utilizando AWS Command Line Interface (AWS CLI), ejecute el [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)comando. Las estadísticas incluyen datos como el número de objetos que Macie ha analizado y el número de objetos en los que Macie ha encontrado datos confidenciales.
+ Para obtener un desglose de los tipos y la cantidad de datos confidenciales que Macie ha encontrado en un depósito, utilice la operación. [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) O bien, si está utilizando el AWS CLI, ejecute el [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)comando. El desglose también proporciona detalles sobre el identificador de datos administrado o personalizado que detectó cada tipo de datos confidenciales.
+ Para recuperar una lista de hasta 100 objetos que Macie seleccionó de un depósito para su análisis, utilice la [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)operación. O bien, si está utilizando el AWS CLI, ejecute el [list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html)comando. Para cada objeto, la lista especifica: el nombre de recurso de Amazon (ARN) del objeto, si Macie completó su análisis del objeto y si Macie encontró datos confidenciales en el objeto.
En su solicitud, utilice el `resourceArn` parámetro para especificar el ARN del depósito del que se van a recuperar los detalles. Si utiliza el AWS CLI, utilice el `resource-arn` parámetro para especificar el ARN.
Para obtener detalles adicionales sobre un depósito de S3, como la configuración de acceso público del depósito, utilice la [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)operación. Si utilizas el comando describe-buckets AWS CLI, ejecuta el comando [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) para recuperar estos detalles. En su solicitud, si lo desea, utilice criterios de filtro para especificar el nombre del depósito. Para obtener más información y ejemplos, consulta [Filtrado del inventario de un bucket de S3](monitoring-s3-inventory-filter.md).
Los siguientes ejemplos muestran cómo utilizarlos AWS CLI para recuperar los detalles de confidencialidad de los datos de un depósito de S3. En este primer ejemplo, se recupera la puntuación de sensibilidad actual y las estadísticas de análisis agregadas de un depósito.
```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
¿Dónde *arn:aws:s3:::amzn-s3-demo-bucket* está el ARN de la cubeta? Si la solicitud se realiza correctamente, recibirá un resultado similar al siguiente:
```
{
"profileUpdatedAt": "2024-11-21T15:44:46+00:00",
"sensitivityScore": 83,
"sensitivityScoreOverridden": false,
"statistics": {
"totalBytesClassified": 933599,
"totalDetections": 3641,
"totalDetectionsSuppressed": 0,
"totalItemsClassified": 111,
"totalItemsSensitive": 84,
"totalItemsSkipped": 1,
"totalItemsSkippedInvalidEncryption": 0,
"totalItemsSkippedInvalidKms": 0,
"totalItemsSkippedPermissionDenied": 0
}
}
```
El siguiente ejemplo muestra un desglose de los tipos de datos confidenciales que Macie ha encontrado en un depósito de S3 y el número de veces que aparece cada tipo. El desglose también especifica qué identificador de datos gestionados o identificador de datos personalizado detectó los datos. También indica si las apariciones están actualmente excluidas (`suppressed`) de la puntuación de sensibilidad del depósito, si Macie calcula la puntuación automáticamente.
```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
¿Dónde *arn:aws:s3:::amzn-s3-demo-bucket* está el ARN de la cubeta? Si la solicitud se realiza correctamente, recibirá un resultado similar al siguiente:
```
{
"detections": [
{
"count": 8,
"id": "AWS_CREDENTIALS",
"name": "AWS_CREDENTIALS",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_NUMBER",
"name": "CREDIT_CARD_NUMBER",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_SECURITY_CODE",
"name": "CREDIT_CARD_SECURITY_CODE",
"suppressed": false,
"type": "MANAGED"
},
{
"arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
"count": 8,
"id": "3293a69d-4a1e-4a07-8715-208ddexample",
"name": "Employee IDs with keyword",
"suppressed": false,
"type": "CUSTOM"
},
{
"count": 1237,
"id": "USA_SOCIAL_SECURITY_NUMBER",
"name": "USA_SOCIAL_SECURITY_NUMBER",
"suppressed": false,
"type": "MANAGED"
}
]
}
```
En este ejemplo, se recupera una lista de objetos que Macie seleccionó de un bucket de S3 para su análisis. Para cada objeto, la lista también indica si Macie completó su análisis del objeto y si Macie encontró datos confidenciales en el objeto.
```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
¿Dónde *arn:aws:s3:::amzn-s3-demo-bucket* está el ARN de la cubeta? Si la solicitud se realiza correctamente, recibirá un resultado similar al siguiente:
```
{
"artifacts": [
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
"classificationResultStatus": "PARTIAL",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
"classificationResultStatus": "SKIPPED"
}
]
}
```
------
# Análisis de resultados de la detección de datos confidenciales automatizada
Cuando Amazon Macie realiza una detección de datos confidenciales automatizada, crea un resultado de datos confidenciales para cada objeto de Amazon Simple Storage Service (Amazon S3) en el que encuentra datos confidenciales. Un *resultado de datos confidenciales* es un informe detallado de los datos confidenciales que Macie encontró en un objeto de S3. Los resultados no incluyen los datos confidenciales que encontró Macie. En cambio, proporciona información que puede utilizar para investigar y corregir más a fondo, según sea necesario.
Cada resultado de datos confidenciales proporciona una clasificación de gravedad y detalles como:
+ La fecha y hora en que Macie encontró los datos confidenciales.
+ La categoría y los tipos de datos confidenciales que encontró Macie.
+ El número de apariciones de cada tipo de datos confidenciales que Macie encontró.
+ Cómo descubrió Macie los datos confidenciales, si mediante la detección de datos confidenciales automatizada o un trabajo de detección de datos confidenciales.
+ El nombre, la configuración de acceso público, el tipo de cifrado y otra información sobre el bucket y el objeto de S3 afectados.
Según el tipo de archivo o el formato de almacenamiento del objeto de S3 afectado, los detalles también pueden incluir la ubicación de hasta 15 apariciones de los datos confidenciales que Macie encontró.
Macie almacena los resultados de datos confidenciales durante 90 días. Puede acceder a ellos mediante la consola de Amazon Macie o la API de Amazon Macie. También puede supervisar y procesar los resultados mediante otras aplicaciones, servicios y sistemas. Para obtener más información, consulte [Revisión y análisis de resultados](findings.md).
**Análisis de los resultados generados por la detección de datos confidenciales automatizada**
Para identificar y analizar los resultados que Macie crea mientras realiza la detección de datos confidenciales automatizada para su cuenta, puede filtrar sus resultados. Con los filtros, puede utilizar atributos específicos de los resultados para crear vistas y consultas personalizadas. Para filtrar los resultados, puede utilizar la consola de Amazon Macie o enviar consultas mediante programación con la API de Amazon Macie. Para obtener más información, consulte [Filtro de resultados](findings-filter-overview.md).
**nota**
Si su cuenta forma parte de una organización que administra varias cuentas de Macie de forma centralizada, solo el administrador de Macie de su organización tendrá acceso directo a los resultados que la detección de datos confidenciales automatizada genera para las cuentas de su organización. Si tiene una cuenta de miembro y desea revisar los resultados para su cuenta, póngase en contacto con su administrador de Macie.
------
#### [ Console ]
Siga estos pasos para identificar y analizar los resultados mediante la consola de Amazon Macie.
**Para analizar los resultados generados por la detección automatizada**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Resultados**.
1. Para mostrar los resultados que fueron suprimidos por una [regla de supresión](findings-suppression.md), cambie la configuración del **Estado del resultado**. Seleccione **Todos** para mostrar los resultados suprimidos y no suprimidos, o bien seleccione **Archivado** para mostrar solo los resultados suprimidos. Para volver a ocultar los resultados suprimidos, seleccione **Actual**.
1. Coloque el cursor en el cuadro **Criterios de filtro**. En la lista de campos que aparece, seleccione **Tipo de origen**.
Este campo especifica cómo Macie encontró los datos confidenciales que dieron lugar a un resultado, a la detección de datos confidenciales automatizada o a un trabajo de detección de datos confidenciales. Para encontrar este campo en la lista de campos de filtro, puede examinar la lista completa o introducir parte del nombre del campo para reducir la lista de campos.
1. Seleccione **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** como valor del campo y, a continuación, elija **Aplicar**. Macie aplica los criterios de filtro y añade la condición a un token de filtro en el cuadro **Criterios de filtro.**
1. Para refinar los resultados, añada condiciones de filtro para campos adicionales, por ejemplo, **Creado en** para el intervalo de tiempo en el que se creó un resultado, **nombre de bucket S3** para el nombre del bucket afectado o **Tipo de detección de datos confidenciales** para el tipo de dato confidencial que se detectó y produjo un resultado.
Si desea volver a utilizar este conjunto de condiciones posteriormente, puede guardarlo como regla de filtro. Para ello, seleccione **Guardar regla** en el cuadro **Criterios de filtro**. Ingrese un nombre y, opcionalmente, una descripción para la regla. Cuando termine, elija **Save (Guardar)**.
------
#### [ API ]
Para identificar y analizar los resultados mediante programación, especifique los criterios de filtrado en las consultas que envíe mediante la [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html)operación [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)o de la API Amazon Macie. La **ListFindings** operación devuelve una matriz de resultados IDs, con un identificador para cada hallazgo que coincida con los criterios del filtro. A continuación, puede utilizarlos IDs para recuperar los detalles de cada hallazgo. La operación **GetFindingStatistics** devuelve datos estadísticos agregados sobre todos los resultados que coinciden con los criterios de filtro, agrupados por un campo que especifique en la solicitud. Para obtener más información sobre el filtrado de resultados mediante programación, consulte [Filtro de resultados](findings-filter-overview.md).
En los criterios de filtro, incluya una condición para el campo `originType`. Este campo especifica cómo Macie encontró los datos confidenciales que dieron lugar a un resultado, a la detección de datos confidenciales automatizada o a un trabajo de detección de datos confidenciales. Si el descubrimiento automatizado de datos confidenciales generó un resultado, el valor de este campo es `AUTOMATED_SENSITIVE_DATA_DISCOVERY`.
Para identificar y analizar los hallazgos mediante el comando AWS Command Line Interface (AWS CLI), ejecute el comando [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) o [get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html). En los siguientes ejemplos, se utiliza el **list-findings** comando para recuperar la búsqueda IDs de todos los hallazgos de alta gravedad que la detección automática de datos confidenciales produjo en la actualidad. Región de AWS
Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```
Donde:
+ `classificationDetails.originType` especifica el nombre JSON del campo **Tipo de origen** y:
+ `eq` especifica el operador *igual*.
+ `AUTOMATED_SENSITIVE_DATA_DISCOVERY` es un valor enumerado para el campo.
+ *`severity.description`* especifica el nombre JSON del campo **Gravedad** y:
+ *`eq`* especifica el operador *igual*.
+ *`High`* es un valor enumerado para el campo.
Si la solicitud se realiza correctamente, Macie devuelve una matriz. `findingIds` La matriz indica el identificador único de cada resultado que coincide con los criterios de filtro, como se muestra en el siguiente ejemplo.
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
Si ningún resultado coincide con los criterios del filtro, Macie devuelve una matriz `findingIds` vacía.
```
{
"findingIds": []
}
```
------
# Acceso a los resultados de detección producidos por la detección de datos confidenciales automatizada
Cuando Amazon Macie realiza una detección automatizada de datos confidenciales, crea un registro de análisis para cada objeto de Amazon Simple Storage Service (Amazon S3) que seleccione para el análisis. Estos registros, denominados *resultados de la detección de datos confidenciales*, registran detalles sobre el análisis que Macie realiza en objetos de S3 individuales. Esto incluye objetos en los que Macie no encuentra datos confidenciales y en objetos que Macie no puede analizar debido a errores o problemas como la configuración de permisos o el uso de un archivo o formato de almacenamiento no compatible. Los resultados del detección de datos confidenciales le proporcionan registros de análisis que pueden resultar útiles para auditorías o investigaciones sobre la privacidad y la protección de los datos.
Si Macie encuentra datos confidenciales en un objeto de S3, el resultado de la detección de datos confidenciales proporcionará información sobre los datos confidenciales que Macie encontró. La información incluye los mismos tipos de detalles que proporciona un resultado de datos confidenciales. También proporciona información adicional, como la ubicación de hasta 1000 apariciones de cada tipo de datos confidenciales que Macie encontró. Por ejemplo:
+ El número de columna y fila de una celda o campo de un libro de Microsoft Excel, un archivo CSV o un archivo TSV
+ La ruta a un campo o matriz en un archivo JSON o líneas JSON
+ El número de línea de una línea de un archivo de texto no binario que no sea un archivo CSV, JSON, líneas JSON o TSV, por ejemplo, un archivo HTML, TXT o XML
+ El número de página de una página de un archivo en formato de documento portátil (PDF) de Adobe
+ El índice de registro y la ruta a un campo de un registro en un contenedor de objetos de Apache Avro o un archivo de Apache Parquet
Si el objeto de S3 afectado es un archivo de almacenamiento, como un archivo .tar o .zip, el resultado de la detección de datos confidenciales también proporciona datos de ubicación detallados para la aparición de datos confidenciales en archivos individuales que Macie haya extraído del archivo. Macie no incluye esta información en los resultados de datos confidenciales para los archivos archivados. Para informar sobre los datos de ubicación, los resultados de la detección de datos confidenciales utilizan un [esquema JSON estandarizado](findings-locate-sd-schema.md).
**nota**
Al igual que en el caso de los resultados de datos confidenciales, los resultados de la detección de datos confidenciales no incluyen aquellos datos confidenciales que Macie encuentra en los objetos de S3. En su lugar, proporcionan detalles de análisis que pueden ser útiles para auditorías o investigaciones.
Macie almacena los resultados de la detección de datos confidenciales durante 90 días. No puede acceder a ellos directamente en la consola de Amazon Macie ni con la API de Amazon Macie. En cambio, usted configura Macie para que los cifre y almacene en un bucket de S3. El bucket puede servir como un repositorio definitivo y a largo plazo para todos sus resultados de detección de datos confidenciales. Para determinar dónde se encuentra este repositorio para su cuenta, elija **Resultados de la detección** en el panel de navegación de la consola de Amazon Macie. Para hacerlo mediante programación, utilice la [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)operación de la API Amazon Macie. Si no ha configurado este repositorio para su cuenta, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md) para obtener información sobre cómo hacerlo.
Tras configurar Macie para almacenar los resultados de la detección de datos confidenciales en un bucket de S3, Macie escribe los resultados en archivos JSON Lines (.jsonl), cifra y añade esos archivos al bucket como archivos GNU Zip (.gz). Para la detección de datos confidenciales automatizada, Macie añade los archivos a una carpeta llamada `automated-sensitive-data-discovery` en el bucket. A continuación, si lo desea, puede acceder a los resultados de esa carpeta y consultarlos. Si su cuenta forma parte de una organización que administre varias cuentas de Macie de forma centralizada, Macie añade los archivos a la carpeta `automated-sensitive-data-discovery` del bucket de su cuenta de administrador de Macie.
Los resultados de la detección de datos confidenciales siguen un esquema estandarizado. Esto puede ayudarle a consultarlos, supervisarlos y procesarlos mediante otras aplicaciones, servicios y sistemas. Para ver un ejemplo detallado e instructivo de cómo puede consultar y utilizar estos resultados, consulte la siguiente entrada del blog de *AWS seguridad*: [Cómo consultar y visualizar los resultados del descubrimiento de datos confidenciales de Macie con Amazon Athena y Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick. Para ver ejemplos de consultas de Athena que puede utilizar para analizar los resultados, visite el repositorio de [Amazon Macie Results](https://github.com/aws-samples/amazon-macie-results-analytics) Analytics en. GitHub Este repositorio también proporciona instrucciones para configurar Athena para recuperar y descifrar los resultados, y scripts para crear tablas para los resultados.
# Evaluación de cobertura de detección de datos confidenciales automatizada
A medida que avanza la detección de datos confidenciales automatizada para su cuenta u organización, Amazon Macie proporciona estadísticas y detalles para ayudarle a evaluar y supervisar la cobertura de su patrimonio de datos de Amazon Simple Storage Service (Amazon S3). Con estos datos, puede comprobar el estado de la detección de datos confidenciales automatizada para el patrimonio de datos en general y para los buckets de S3 individuales en él. También puede identificar los problemas que impidieron que Macie analizara objetos en buckets específicos. Si soluciona los problemas, puede aumentar la cobertura de sus datos de Amazon S3 durante los ciclos de análisis posteriores.
Los datos de cobertura proporcionan una instantánea del estado actual de la detección de datos confidenciales automatizada para sus buckets de uso general de S3 en la Región de AWS actual. Si es el administrador de Macie de una organización, incluirá los buckets que sean propiedad de las cuentas de miembro. Para cada bucket, los datos indican si se produjeron problemas cuando Macie intentó analizar los objetos del bucket. Si se produjeron problemas, los datos indican la naturaleza de cada problema y, en algunos casos, el número de casos. Los datos se actualizan a medida que avanza la detección de datos confidenciales automatizada cada día. Si Macie analiza o intenta analizar uno o más objetos de un bucket durante un ciclo de análisis diario, Macie actualiza la cobertura y otros datos para reflejar los resultados.
En el caso de determinados tipos de problemas, puede revisar los datos en conjunto de todos los buckets de uso general de S3 y, si lo prefiere, desglosarlos para obtener detalles adicionales sobre cada uno de ellos. Por ejemplo, los datos de cobertura pueden ayudarle a identificar rápidamente todos los buckets a los que Macie no puede acceder desde su cuenta. Los datos de cobertura también indican los problemas a nivel de objeto que se han producido. Estos problemas, denominados *errores de clasificación*, impidieron que Macie analizara objetos específicos de un bucket. Por ejemplo, puedes determinar cuántos objetos no pudo analizar Macie en un depósito porque los objetos están cifrados con una clave AWS Key Management Service (AWS KMS) que ya no está disponible.
Si utiliza la consola de Amazon Macie para revisar los datos de cobertura, la vista de los datos incluye un asesoramiento de corrección para solucionar cada tipo de problema. Los temas siguientes de esta sección también proporcionan un asesoramiento de corrección para cada tipo.
**Topics**
+ [Revisión de los datos de cobertura](discovery-coverage-review.md)
+ [Solución de problemas de cobertura](discovery-coverage-remediate.md)
# Revisión de los datos de cobertura de la detección de datos confidenciales automatizada
Para revisar y evaluar la cobertura de la detección de datos confidenciales automatizada, puede utilizar la consola de Amazon Macie o la API de Amazon Macie. Tanto la consola como la API proporcionan datos que indican el estado actual de los análisis de los buckets de uso general de Amazon Simple Storage Service (Amazon S3) en la Región de AWS actual. Los datos incluyen información sobre los problemas que crean lagunas en los análisis:
+ Buckets a los que Macie no puede acceder. Macie no puede analizar ningún objeto de estos cubos. La configuración de permisos de los cubos impide que Macie acceda a los cubos y a los objetos de los cubos.
+ Buckets que no almacenan ningún objeto clasificable. Macie no puede analizar ningún objeto de estos cubos. Todos los objetos utilizan clases de almacenamiento de Amazon S3 que Macie no admite o tienen extensiones de nombre de archivo para formatos de archivo o almacenamiento que Macie no admite.
+ Buckets que Macie aún no ha podido analizar debido a errores de clasificación en el objeto. Macie intentó analizar uno o más objetos de estos buckets. Sin embargo, Macie no pudo analizar los objetos debido a problemas con la configuración de los permisos en el objeto, el contenido de los objetos o las cuotas.
Los datos de cobertura se actualizan a medida que avanza la detección de datos confidenciales automatizada cada día. Si es el administrador de Macie de una organización, los datos incluyen información de los buckets de S3 que sean propiedad de sus cuentas de miembros.
**nota**
Los datos de cobertura no incluyen explícitamente los resultados de los trabajos de detección de datos confidenciales que haya creado y ejecutado. Sin embargo, si corrige los problemas de cobertura que afectan a la detección de datos confidenciales automatizada, es probable que también aumente la cobertura de los trabajos que ejecute posteriormente. Para evaluar la cobertura de un trabajo, [revise los resultados del trabajo](discovery-jobs-manage-results.md). Si los eventos de registro u otros resultados de un trabajo indican problemas de cobertura, la [guía de corrección para la detección de datos confidenciales automatizada](discovery-coverage-remediate.md) puede ayudarle a solucionar algunos de los problemas.
**Revisión de los datos de cobertura de la detección de datos confidenciales automatizada**
Para revisar los datos de la cobertura de la detección de datos confidenciales automatizada, puede utilizar la consola de Amazon Macie o la API de Amazon Macie. En la consola, una sola página proporciona una vista unificada de los datos de cobertura de todos sus buckets de uso general de S3 en la región actual. Esto incluye un resumen de los problemas que se han producido recientemente en cada bucket. La página también ofrece opciones para revisar grupos de datos por tipo de problema. Para realizar un seguimiento de la investigación de problemas en buckets específicos, puede exportar los datos de la página a un archivo de valores separados por comas (CSV).
------
#### [ Console ]
Siga estos pasos para revisar los datos de cobertura mediante la consola de Amazon Macie.
**Revisión de los datos de cobertura**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, elija **Cobertura de recursos**.
1. En la página **Cobertura de recursos**, seleccione la pestaña correspondiente al tipo de datos de cobertura que desee revisar:
+ **Todos**: muestra todos los grupos de su cuenta. Para cada bucket, el campo **Problemas** indica si los problemas impidieron que Macie analizara los objetos del bucket. Si el valor de este campo es **Ninguno**, Macie ha analizado al menos uno de los objetos del bucket o no ha intentado analizar ninguno de los objetos del bucket todavía. Si hay problemas, este campo indica la naturaleza de los problemas y cómo solucionarlos. En el caso de los errores de clasificación en el objeto, también puede indicar (entre paréntesis) el número de ocurrencias del error.
+ **Acceso denegado**: enumera buckets a los que Macie no puede acceder. La configuración de permisos de estos buckets impide que Macie acceda a los buckets y a los objetos de los buckets. En consecuencia, Macie no puede analizar ningún objeto de los buckets.
+ **Error de clasificación**: enumera los buckets que Macie aún no ha analizado debido a errores de clasificación a nivel de objeto (problemas con la configuración de los permisos, el contenido de los objetos o las cuotas). Para cada bucket, el campo **Problemas** indica la naturaleza de cada tipo de error que se ha producido y ha impedido a Macie analizar un objeto del bucket. También indica cómo corregir cada tipo de error. Dependiendo del error, también puede indicar (entre paréntesis) el número de ocurrencias del error.
+ **No clasificable**: enumera los bucket que Macie no puede analizar porque no almacenan ningún objeto clasificable. Todos los objetos de estos buckets utilizan clases de almacenamiento de Amazon S3 no compatibles o tienen extensiones de nombre de archivo para formatos de archivo o almacenamiento no compatibles. En consecuencia, Macie no puede analizar ningún objeto de los buckets.
1. Para desglosar y revisar los datos de respaldo de un bucket, elija el nombre del bucket. A continuación, consulte el panel de detalles para ver las estadísticas y otra información sobre el bucket.
1. Para exportar la tabla a un archivo CSV, seleccione **Exportar a CSV** en la parte superior de la página. El archivo CSV resultante contiene un subconjunto de metadatos para cada bucket de la tabla, con un máximo de 50 000 buckets. El archivo incluye un campo **Problemas de cobertura**. El valor de este campo indica si los problemas impidieron a Macie analizar los objetos del bucket y, de ser así, la naturaleza de los problemas.
------
#### [ API ]
Para revisar los datos de cobertura mediante programación, especifique los criterios de filtrado en las consultas que envíe mediante la [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)operación de la API Amazon Macie. Esta operación devuelve una matriz de objetos. Cada objeto contiene datos estadísticos y otra información sobre un bucket de uso general de S3 que coincida con los criterios del filtro.
En los criterios de filtro, incluya una condición para el tipo de datos de cobertura que desee revisar:
+ Para identificar los buckets a los que Macie no puede acceder debido a la configuración de permisos de los buckets, incluye una condición en la que el valor del campo`errorCode` sea igual a `ACCESS_DENIED`.
+ Para identificar los buckets a los que Macie puede acceder y que aún no ha analizado, incluye las condiciones en las que el valor del campo `sensitivityScore` sea igual a `50` y el valor del campo `errorCode` no sea igual a `ACCESS_DENIED`.
+ Para identificar los buckets que Macie no puede analizar porque todos los objetos de los buckets utilizan clases o formatos de almacenamiento no compatibles, incluya condiciones en las que el valor del campo `classifiableSizeInBytes` sea igual a `0` y el valor del campo `sizeInBytes` sea mayor que `0`.
+ Para identificar los grupos en los que Macie ha analizado al menos un objeto, incluya condiciones en las que el valor del campo `sensitivityScore` esté comprendido entre 1 y 99, pero no sea igual a `50`. Para incluir también los buckets en los que se asignó manualmente la puntuación máxima, el rango debe estar comprendido entre 1 y 100.
+ Para identificar los buckets que Macie aún no ha analizado debido a errores de clasificación a nivel de objeto, incluye una condición en la que el valor del campo `sensitivityScore` sea igual a `-1`. Para, a continuación, revisar un desglose de los tipos y la cantidad de errores que se produjeron en un segmento en particular, utilice la operación. [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)
Si utilizas el comando AWS Command Line Interface (AWS CLI), especifica los criterios de filtrado en las consultas que envíes ejecutando el comando [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html). Para ver un desglose de los tipos y la cantidad de errores que se produjeron en un bucket de S3 concreto, si los hubiera, ejecute el comando. [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)
Por ejemplo, los siguientes AWS CLI comandos utilizan criterios de filtrado para recuperar los detalles de todos los buckets de S3 a los que Macie no puede acceder debido a la configuración de permisos de los buckets.
Este ejemplo está preparado para Unix, Linux y macOS:
```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```
Este ejemplo tiene el formato de Microsoft Windows.
```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```
Si la solicitud se realiza correctamente, Macie devuelve una `buckets` matriz. La matriz contiene un objeto para cada depósito de S3 que se encuentra en el actual Región de AWS y que coincide con los criterios del filtro.
Si ningún bucket de S3 coincide con los criterios del filtro, Macie devuelve una matriz `buckets` vacía.
```
{
"buckets": []
}
```
Para obtener más información sobre cómo especificar los criterios de filtro en las consultas, incluidos ejemplos de criterios comunes, consulte [Filtrado del inventario de un bucket de S3](monitoring-s3-inventory-filter.md).
------
Para obtener información detallada que podría ayudarle a solucionar los problemas de cobertura, consulte [Solución de problemas de cobertura para la detección de datos confidenciales automatizada](discovery-coverage-remediate.md).
# Solución de problemas de cobertura para la detección de datos confidenciales automatizada
A medida que avanza la detección de datos confidenciales automatizada cada día, Amazon Macie proporciona estadísticas y detalles para ayudarle a evaluar y supervisar la cobertura de su patrimonio de datos de Amazon Simple Storage Service (Amazon S3). Mediante la [revisión de los datos de cobertura](discovery-coverage-review.md), puede comprobar el estado de la detección de datos confidenciales automatizada para el patrimonio de datos en general y para los buckets de S3 individuales en él. También puede identificar los problemas que impidieron que Macie analizara objetos en buckets específicos. Si soluciona los problemas, puede aumentar la cobertura de sus datos de Amazon S3 durante los ciclos de análisis posteriores.
Macie informa de varios tipos de problemas que reducen la cobertura de la detección automatizada de sus datos de Amazon S3 mediante la detección de datos confidenciales automatizada. Esto incluye problemas en el bucket que impiden que Macie analice cualquier objeto de un bucket de S3. También incluye problemas en el objeto. Estos problemas, denominados *errores de clasificación*, impidieron que Macie analizara objetos específicos de un bucket. La siguiente información puede ayudarle a investigar y solucionar los problemas.
**Topics**
+ [Acceso denegado](#discovery-issues-access-denied)
+ [Error de clasificación: contenido no válido](#discovery-issues-invalid-content)
+ [Error de clasificación: cifrado no válido](#discovery-issues-classification-error-invalid-encryption)
+ [Error de clasificación: clave KMS no válida](#discovery-issues-classification-error-invalid-key)
+ [Error de clasificación: permiso denegado](#discovery-issues-classification-error-permission-denied)
+ [No clasificable](#discovery-issues-unclassifiable)
**sugerencia**
Para investigar los errores de clasificación a nivel de objeto de un bucket de S3, comience por revisar la lista de muestras de objetos del bucket. Esta lista indica los objetos que Macie analizó o intentó analizar en el bucket, para un máximo de 100 objetos.
Para revisar la lista en la consola de Amazon Macie, elija el bucket en la página de **buckets de S3** y, a continuación, elija la pestaña **Muestras de objetos** en el panel de detalles. Para revisar la lista mediante programación, utilice el [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)funcionamiento de la API Amazon Macie. Si el estado del análisis de un objeto es **Omitido** (`SKIPPED`), es posible que el objeto haya provocado el error.
## Acceso denegado
La configuración de permisos del bucket impide que Macie acceda al bucket y a los objetos del bucket. Macie no puede analizar ningún objeto de este bucket.
**Detalles**
La causa más común de este tipo de problemas es una política de bucket restrictiva. Una *política de bucket* es una política basada en recursos AWS Identity and Access Management (IAM) que especifica qué acciones puede realizar un principal (usuario, cuenta, servicio u otra entidad) en un bucket de S3 y las condiciones en las que un principal puede realizar esas acciones. Una *política de bucket restrictiva* utiliza instrucciones explícitas `Allow` o `Deny` restrictivas que conceden o restringen el acceso a los datos de un bucket en función de condiciones específicas. Por ejemplo, una política de bucket puede contener una instrucción `Allow` o `Deny` que deniegue el acceso a un bucket a menos que se utilicen direcciones IP de origen específicas para acceder al bucket.
Si la política de bucket de un bucket de S3 contiene una instrucción `Deny` explícita con una o más condiciones, es posible que a Macie no se le permita recuperar y analizar los objetos del bucket para detectar datos confidenciales. Macie solo puede proporcionar un subconjunto de información sobre el bucket, como el nombre y la fecha de creación del bucket.
**Asesoramiento de corrección**
Para solucionar este problema, actualice la política del bucket para el bucket de S3. Asegúrese de que la política permita a Macie acceder al bucket y a los objetos del bucket. Para permitir este acceso, añada a la política una condición para el rol vinculado al servicio de Macie (`AWSServiceRoleForAmazonMacie`). La condición debe impedir que el rol vinculado al servicio de Macie coincida con la restricción `Deny` de la política. Para ello, puede utilizar la clave de contexto de la condición global `aws:PrincipalArn` y el nombre de recurso de Amazon (ARN) del rol vinculado al servicio de Macie para su cuenta.
Si actualiza la política del bucket y Macie obtiene acceso al bucket de S3, Macie detectará el cambio. Cuando esto sucede, Macie actualizará las estadísticas, los datos de inventario y demás información que proporcione sobre sus datos de Amazon S3. Además, los objetos del bucket tendrán mayor prioridad para el análisis durante un ciclo de análisis posterior.
**Referencia adicional**
Para obtener más información sobre cómo actualizar una política de bucket de S3 para permitir que Macie acceda a un bucket, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md). Para obtener más información acerca del uso de políticas de buckets para controlar el acceso a buckets, consulte [Políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) y [Cómo Amazon S3 autoriza una petición](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) en la *Guía del usuario de Amazon Simple Storage Service*.
## Error de clasificación: contenido no válido
Este tipo de error de clasificación se produce si Macie intenta analizar un objeto de un bucket de S3 y el objeto tiene un formato incorrecto o contiene contenido que supera la cuota de detección de datos confidenciales. Macie no puede analizar el objeto.
**Detalles**
Este error suele producirse porque un objeto S3 es un archivo con formato incorrecto o dañado. En consecuencia, Macie no puede analizar todos los datos del archivo.
Este error también puede producirse si el análisis de un objeto de S3 supera la cuota de detección de datos confidenciales de un archivo individual. Por ejemplo, el tamaño de almacenamiento del objeto supera la cuota de tamaño para ese tipo de archivo.
En cualquier caso, Macie no puede completar el análisis del objeto S3 y el estado del análisis del objeto es **Omitido** (`SKIPPED`).
**Asesoramiento de corrección**
Para investigar este error, descargue el objeto de S3 y compruebe el formato y el contenido del archivo. Evalúe también el contenido del archivo comparándolo con las cuotas de Macie para la detección de datos confidenciales.
Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.
**Referencia adicional**
Para obtener una lista de las cuotas de detección de datos confidenciales, incluidas las cuotas para determinados tipos de archivos, consulte[Cuotas para Macie](macie-quotas.md). Para obtener información sobre cómo Macie actualiza las puntuaciones de sensibilidad y otra información que proporciona sobre los buckets de S3, consulte [Cómo funciona la detección de datos confidenciales automatizada](discovery-asdd-how-it-works.md).
## Error de clasificación: cifrado no válido
Este tipo de error de clasificación se produce si Macie intenta analizar un objeto de un bucket de S3 y el objeto está cifrado con una clave proporcionada por el cliente. El objeto utiliza el cifrado SSE-C, lo que significa que Macie no puede recuperar ni analizar el objeto.
**Detalles**
Amazon S3 admite varias opciones de cifrado para los objetos S3. En la mayoría de estas opciones, Macie puede descifrar un objeto mediante el rol vinculado al servicio de Macie de su cuenta. Sin embargo, esto depende del tipo de cifrado utilizado.
Para que Macie pueda descifrar un objeto de S3, el objeto debe estar cifrado con una clave a la que Macie pueda acceder y que Macie pueda usar. Si un objeto está cifrado con una clave proporcionada por el cliente, Macie no puede proporcionar el material clave necesario para recuperar el objeto de Amazon S3. En consecuencia, Macie no puede analizar el objeto y el estado del análisis del objeto es **Omitido** (`SKIPPED`).
**Asesoramiento de corrección**
Para corregir este error, cifre los objetos S3 con claves administradas o claves AWS Key Management Service (AWS KMS) de Amazon S3. Si prefiere usar AWS KMS claves, las claves pueden ser claves de KMS AWS administradas o claves de KMS administradas por el cliente que Macie puede usar.
Para cifrar los objetos de S3 existentes con claves a las que Macie pueda acceder y utilizar, puede cambiar la configuración de cifrado de los objetos. Para cifrar objetos nuevos con claves a las que Macie pueda acceder y utilizar, cambie la configuración de cifrado predeterminada del bucket de S3. Asegúrese también de que la política del bucket no exija que los objetos nuevos se cifren con una clave proporcionada por el cliente.
Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.
**Referencia adicional**
Para obtener información sobre los requisitos y las opciones para usar Macie para analizar objetos de S3 cifrados, consulte [Análisis de objetos de Amazon S3 cifrados](discovery-supported-encryption-types.md). Para obtener información sobre las opciones de cifrado y la configuración de los buckets de S3, consulte la [protección de los datos con cifrado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) y la [configuración del comportamiento de cifrado del servidor para los buckets de S3 predeterminado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) en la *guía del usuario de Amazon Simple Storage Service*.
## Error de clasificación: clave KMS no válida
Este tipo de error de clasificación se produce si Macie intenta analizar un objeto de un bucket de S3 y el objeto se cifra con una clave AWS Key Management Service (AWS KMS) que ya no está disponible. Macie no puede recuperar y analizar el objeto.
**Detalles**
AWS KMS ofrece opciones para deshabilitar y eliminar las opciones gestionadas por el cliente. AWS KMS keys Si un objeto de S3 está cifrado con una clave KMS desactivada, cuya eliminación está programada o ya se ha eliminado, Macie no podrá recuperar ni descifrar el objeto. En consecuencia, Macie no puede analizar el objeto y el estado del análisis del objeto es **Omitido** (`SKIPPED`). Para que Macie pueda analizar un objeto cifrado, el objeto debe estar cifrado con una clave a la que Macie pueda acceder y que Macie pueda usar.
**Asesoramiento de corrección**
Para corregir este error, vuelva a activar la opción correspondiente AWS KMS key o cancele la eliminación programada de la clave, en función del estado actual de la clave. Si la clave correspondiente ya se ha eliminado, este error no se puede corregir.
Para determinar cuál se AWS KMS key utilizó para cifrar un objeto de S3, puede empezar por utilizar Macie para revisar la configuración de cifrado del lado del servidor para el bucket de S3. Si la configuración de cifrado predeterminada del bucket está configurada para utilizar una clave KMS, los detalles del bucket indican qué clave se utiliza. A continuación, puede comprobar el estado de esa clave. Como alternativa, puede utilizar Amazon S3 para revisar la configuración de cifrado del bucket y los objetos individuales del bucket.
Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.
**Referencia adicional**
Para obtener información sobre el uso de Macie para revisar la configuración de cifrado del lado del servidor de un bucket de S3, consulte [Revisión de los detalles de los bucket de S3](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details). Para obtener información sobre cómo volver a habilitar AWS KMS key o cancelar la eliminación programada de una clave, consulte [Enabling and disabling keys](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) y [Deleting keys](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *.
## Error de clasificación: permiso denegado
Este tipo de error de clasificación se produce si Macie intenta analizar un objeto de un bucket de S3 y Macie no puede recuperarlo ni descifrarlo debido a la configuración de permisos del objeto o a la configuración de permisos de la clave que se utilizó para cifrar el objeto. Macie no puede recuperar y analizar el objeto.
**Detalles**
Este error suele producirse porque un objeto de S3 está cifrado con una clave AWS Key Management Service (AWS KMS) administrada por el cliente que Macie no puede utilizar. Si un objeto se cifra con una clave gestionada por el cliente AWS KMS key, la política de la clave debe permitir a Macie descifrar los datos mediante la clave.
Este error también puede producirse si la configuración de permisos de Amazon S3 impide que Macie recupere un objeto de S3. La política de bucket para el bucket de S3 puede restringir el acceso a objetos de bucket específicos o permitir que solo determinadas entidades principales (usuarios, cuentas, servicios u otras entidades) accedan a los objetos. O bien, la lista de control de acceso (ACL) de un objeto puede restringir el acceso a ese objeto. En consecuencia, es posible que a Macie no se le permita acceder al objeto.
Para cualquiera de los casos precedentes, Macie no puede recuperar y analizar el objeto y el estado del análisis del objeto es **Omitido** (`SKIPPED`).
**Asesoramiento de corrección**
Para corregir este error, determine si el objeto de S3 está cifrado con una AWS KMS key administrada por el cliente. Si es así, asegúrese de que la política de claves permita al rol vinculado al servicio de Macie (`AWSServiceRoleForAmazonMacie`) para descifrar los datos con la clave. La forma en que se permita este acceso depende de si la cuenta propietaria AWS KMS key también es propietaria del depósito de S3 que almacena el objeto. Si la misma cuenta es propietaria de la clave KMS y del bucket, el usuario de la cuenta debe actualizar la política de claves. Si una cuenta es propietaria de la clave KMS y otra cuenta es propietaria del bucket, el usuario de la cuenta propietaria de la clave debe permitir el acceso entre cuentas a la clave.
Puedes generar automáticamente una lista de todos los clientes gestionados a los AWS KMS keys que Macie necesita acceder para analizar los objetos de los depósitos de S3 de tu cuenta. Para ello, ejecute el script AWS KMS Permission Analyzer, que está disponible en el repositorio de [Amazon Macie](https://github.com/aws-samples/amazon-macie-scripts) Scripts en. GitHub El script también puede generar un script adicional de comandos AWS Command Line Interface (AWS CLI). Si lo desea, puede ejecutar esos comandos para actualizar las políticas y los ajustes de configuración necesarios para las claves de KMS que especifique.
Si a Macie ya se le permite usar el objeto correspondiente AWS KMS key o si el objeto S3 no está cifrado con una clave KMS gestionada por el cliente, asegúrese de que la política del bucket permita a Macie acceder al objeto. Compruebe también que la ACL del objeto permite a Macie leer los datos y metadatos del objeto.
Para la política de bucket, puede permitir este acceso añadiendo una condición para el rol vinculado al servicio de Macie a la política. La condición debe impedir que el rol vinculado al servicio de Macie coincida con la restricción `Deny` de la política. Para ello, puede utilizar la clave de contexto de la condición global `aws:PrincipalArn` y el nombre de recurso de Amazon (ARN) del rol vinculado al servicio de Macie para su cuenta.
En el caso de la ACL del objeto, puedes permitir este acceso si trabajas con el propietario del objeto para que te añada Cuenta de AWS como cesionario con `READ` los permisos para el objeto. A continuación, Macie puede utilizar el rol vinculado al servicio de su cuenta para recuperar y analizar el objeto. Considere también la posibilidad de cambiar la configuración de propiedad del objeto para el bucket. Puedes usar esta configuración ACLs para deshabilitar todos los objetos del depósito y conceder permisos de propiedad a la cuenta propietaria del depósito.
Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.
**Referencia adicional**
Para obtener más información sobre cómo permitir que Macie descifre datos con una AWS KMS key administrada por el cliente, consulte [Permitir a Macie utilizar un sistema gestionado por el cliente AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration). Para obtener información sobre cómo actualizar una política de bucket de S3 para permitir que Macie acceda a un bucket, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md).
Para obtener información sobre cómo modificar una política de claves, consulte [Cambiar una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) en la *AWS Key Management Service Guía para desarrolladores*. Para obtener información sobre el uso del cifrado de objetos S3 gestionado AWS KMS keys por el cliente, consulte [Uso del cifrado del lado del servidor con AWS KMS claves](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) en la Guía del usuario de *Amazon Simple Storage Service*.
Para obtener información sobre el uso de políticas de bucket para controlar el acceso a los buckets de S3, consulte [Control de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) y [Cómo Amazon S3 autoriza una solicitud](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) en la Guía del *usuario de Amazon Simple Storage Service*. Para obtener información sobre el uso ACLs de la configuración de propiedad de objetos para controlar el acceso a los objetos de S3, consulte [Administrar el acceso ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) y [controlar la propiedad de los objetos y deshabilitar ACLs su depósito](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) en la *Guía del usuario de Amazon Simple Storage Service*.
## No clasificable
Este problema indica que todos los objetos de un bucket de S3 se almacenan utilizando clases de almacenamiento de Amazon S3 no compatibles o formatos de archivo o almacenamiento no compatibles. Macie no puede analizar ningún objeto del bucket.
**Detalles**
Para poder ser seleccionado y analizado, un objeto de S3 debe utilizar una clase de almacenamiento de Amazon S3 compatible con Macie. El objeto también debe tener una extensión de nombre de archivo para un archivo o formato de almacenamiento que Macie admita. Si un objeto no cumple estos criterios, se trata como un *objeto no clasificable*. Macie no intenta extraer ni analizar los datos en objetos no clasificables.
Si todos los objetos de un bucket de S3 son objetos no clasificables, el bucket total es un *bucket no clasificable*. Macie no puede realizar una detección de datos confidenciales automatizada para el bucket.
**Asesoramiento de corrección**
Para solucionar este problema, revise las reglas de configuración del ciclo de vida y otros ajustes que determinan qué clases de almacenamiento se utilizan para almacenar objetos en el bucket de S3. Considere la posibilidad de ajustar esa configuración para utilizar las clases de almacenamiento compatibles con Macie. También puede cambiar la clase de almacenamiento de los objetos existentes en el bucket.
Evalúa también los formatos de archivo y de almacenamiento de los objetos existentes en el bucket de S3. Para analizar los objetos, considere la posibilidad de transferir los datos, de forma temporal o permanente, a objetos nuevos que utilicen un formato compatible.
Si se añaden objetos al bucket de S3 y utilizan una clase y un formato de almacenamiento compatibles, Macie los detectará la próxima vez que evalúe el inventario del bucket. Cuando esto suceda, Macie dejará de informar de que el bucket *no clasificable* en las estadísticas, los datos de cobertura y otra información que proporciona sobre sus datos de Amazon S3. Además, los nuevos objetos tendrán mayor prioridad para el análisis durante un ciclo de análisis posterior.
**Referencia adicional**
Para obtener información sobre las clases de almacenamiento de Amazon S3 y los formatos de archivo y almacenamiento compatibles con Macie, consulte[Clases y formatos de almacenamiento compatibles](discovery-supported-storage.md). Para obtener información sobre las reglas de configuración del ciclo de vida y las opciones de clases de almacenamiento que ofrece Amazon S3, [consulte Administración del ciclo de vida del almacenamiento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) y [Uso de las clases de almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) en la *Guía del usuario de Amazon Simple Storage Service*.
# Ajuste de las puntuaciones de confidencialidad para buckets de S3
A medida que revise y evalúe las estadísticas, los datos y otros resultados de la detección de datos confidenciales automatizada, es posible que desee afinar las evaluaciones de confidencialidad de sus buckets de Amazon Simple Storage Service (Amazon S3). Puede que quiera también capturar los resultados de las investigaciones que realice usted o su organización para buckets específicos. Si eres el administrador de Amazon Macie de una organización o tienes una cuenta de Macie independiente, puedes realizar estos cambios ajustando la puntuación de sensibilidad y otros ajustes para los cubos individuales. Si tiene una cuenta de miembro en una organización, contacte con su administrador de Macie para ajustar la configuración de los buckets de su propiedad. Solo el administrador de Macie de su organización puede ajustar esta configuración para sus buckets.
Si es administrador de Macie o tiene una cuenta de Macie independiente, puede ajustar la puntuación de sensibilidad de un bucket de S3 de las siguientes maneras:
+ **Asigne una puntuación de sensibilidad**: de forma predeterminada, Macie calcula automáticamente la puntuación de sensibilidad de un cubo. La puntuación se basa principalmente en la cantidad de datos confidenciales que Macie ha encontrado en un bucket y en la cantidad de datos que Macie ha analizado en un bucket. Para obtener más información, consulte [Puntuación de confidencialidad para buckets de S3](discovery-scoring-s3.md).
Puede anular la puntuación calculada de un bucket y asignar manualmente la puntuación máxima (*100*), con lo que también se aplica la etiqueta de *Confidencialidad* al bucket. Si lo hace, Macie dejará de realizar la búsqueda automática de datos confidenciales para el depósito, ya que los cubos con una puntuación de 100 se excluirán del análisis posterior. Para volver a calcular la puntuación automáticamente y reanudar el escaneo, vuelva a cambiar la configuración.
+ **Excluya o incluya tipos de datos confidenciales en la puntuación de sensibilidad**: si se calcula automáticamente, la puntuación de sensibilidad de un segmento se basa en parte en la cantidad de datos confidenciales que Macie ha encontrado en el depósito. Esto se debe principalmente a la naturaleza y el número de tipos de datos confidenciales que Macie ha encontrado y al número de veces que aparece cada tipo. De forma predeterminada, Macie incluye las apariciones de todos los tipos de datos confidenciales al calcular la puntuación de un bucket.
Puede ajustar el cálculo excluyendo o incluyendo tipos específicos de datos confidenciales en la puntuación de un segmento. Por ejemplo, si Macie detectó direcciones postales en un bucket y usted determina que esto es aceptable, puede excluir todas las direcciones postales que aparezcan en la puntuación del bucket. Si excluye un tipo de datos confidenciales, Macie seguirá inspeccionando el bucket en busca de ese tipo de datos e informando de los casos que encuentre. Sin embargo, esas ocurrencias no afectan a la puntuación del bucket. Para volver a incluir un tipo de datos confidenciales en la puntuación, vuelva a cambiar la configuración.
También puede excluir un bucket de S3 de los análisis posteriores. Si excluye un bucket, las estadísticas y los detalles de detección de datos confidenciales existentes del bucket persisten. Por ejemplo, la puntuación de confidencialidad actual del bucket permanece inalterada. Sin embargo, Macie deja de analizar los objetos del bucket cuando realiza una detección de datos confidenciales automatizada para su cuenta. Tras excluir un bucket, puede volver a incluirlo posteriormente.
Si cambias una configuración que afecta a la puntuación de sensibilidad de un bucket de S3, Macie empezará inmediatamente a recalcular la puntuación. Macie también actualiza las estadísticas y otra información que proporciona sobre el bucket y los datos de Amazon S3 en general. Por ejemplo, si asignas la puntuación máxima a un segmento, Macie incrementará el recuento de grupos *sensibles en las estadísticas agregadas*.
**Para ajustar la puntuación de sensibilidad u otros ajustes de un cubo de S3**
Para ajustar la puntuación de confidencialidad u otros ajustes de un bucket de S3, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.
------
#### [ Console ]
Siga estos pasos para ajustar la puntuación de sensibilidad o la configuración de un bucket S3 mediante la consola Amazon Macie.
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, elija **Buckets de S3**. La página **Buckets de S3** muestra su inventario de buckets.
De forma predeterminada, la página no muestra los datos de los buckets que actualmente están excluidos de los análisis. Si es el administrador de Macie de una organización, tampoco muestra los datos de las cuentas para las que la detección de datos confidenciales automatizada esté deshabilitada actualmente. Para mostrar estos datos, seleccione una **X** en el marcador del filtro **¿Está supervisado por la detección automatizada?** situado debajo del cuadro de filtro.
1. Elija el bucket de S3 cuya configuración quiera ajustar. Puede elegir el bucket mediante la vista de tabla (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-s3-table-view.png)) o el mapa interactivo (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-s3-map-view.png)).
1. En la página de detalles, realice alguna de las siguientes acciones:
+ Para anular la puntuación de confidencialidad calculada y asignar manualmente una puntuación, active **Asignar puntuación máxima** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/tgl-gray-off.png)). Esto cambia la puntuación del bucket a *100* y se aplica la etiqueta de *confidencial* al bucket.
+ Para asignar una puntuación de confidencialidad que Macie calcule automáticamente, desactive **Asignar puntuación máxima** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/tgl-blue-on.png)).
+ Para excluir o incluir tipos específicos de datos confidenciales en la puntuación de confidencialidad, seleccione la pestaña **Confidencialidad**. En la tabla de **detecciones**, seleccione la casilla de verificación correspondiente al tipo de datos confidenciales que desee excluir o incluir. A continuación, en el menú **Acciones**, elija **Excluir de la puntuación** para excluir el tipo o elija **Incluir en la puntuación** para incluir el tipo.
En la tabla, el campo **Tipo de datos confidenciales** especifica el identificador de datos administrados o el identificador de datos personalizado que detectó los datos. Para un identificador de datos administrados, se trata de un identificador (ID) único que describe el tipo de datos confidenciales que el identificador está diseñado para detectar; por ejemplo, **USA\$1PASSPORT\$1NUMBER** para los números de pasaporte estadounidenses. Para obtener más información sobre cada identificador de datos administrados, consulte [Uso de identificadores de datos administrados](managed-data-identifiers.md).
+ Para excluir el bucket de los análisis posteriores, active **Excluir de la detección automatizada** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/tgl-gray-off.png)).
+ Para incluir el bucket en los análisis subsiguientes, si antes lo hubiera excluido, desactive **Excluir de la detección automatizada** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/tgl-blue-on.png)).
------
#### [ API ]
Para ajustar la puntuación de sensibilidad o un ajuste de un bucket de S3 mediante programación, dispone de varias opciones. La opción adecuada depende de lo que desee ajustar.
**Asignación de puntuación de confidencialidad**
Para asignar una puntuación de sensibilidad a un bucket S3, utilice la [UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)operación. En tu solicitud, usa el `resourceArn` parámetro para especificar el nombre de recurso de Amazon (ARN) del bucket. Para el `sensitivityScoreOverride` parámetro, realice una de las siguientes acciones:
+ Para anular la puntuación calculada y asignar manualmente la puntuación máxima, especifique`100`.
+ Para asignar una puntuación que Macie calcule automáticamente, omita el parámetro. Si este parámetro es nulo, Macie calcula y asigna la puntuación.
Si utiliza AWS Command Line Interface (AWS CLI), ejecute el [update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html)comando para asignar una puntuación de sensibilidad a un bucket de S3. En su solicitud, utilice el `resource-arn` parámetro para especificar el ARN del depósito. Omita o utilice el `sensitivity-score-override` parámetro para especificar qué puntuación asignar.
Si la solicitud es correcta, Macie asigna la puntuación especificada y devuelve una respuesta vacía.
**Excluya o incluya tipos de datos confidenciales en la puntuación de sensibilidad**
Para excluir o incluir tipos de datos confidenciales en la puntuación de sensibilidad de un bucket de S3, utilice la [UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)operación. Al utilizar esta operación, se sobrescriben los ajustes de inclusión y exclusión actuales de la puntuación de un segmento. Por lo tanto, es una buena idea recuperar primero la configuración actual y determinar cuáles desea conservar. Para recuperar la configuración actual, utilice la [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)operación.
Cuando esté listo para actualizar la configuración, utilice el `resourceArn` parámetro para especificar el ARN del bucket de S3. Para el `suppressDataIdentifiers` parámetro, realice una de las siguientes acciones:
+ Para excluir un tipo de datos confidenciales de la puntuación del segmento, utilice el `type` parámetro para especificar el tipo de identificador de datos que detectó los datos, un identificador de datos gestionados (`MANAGED`) o un identificador de datos personalizado (`CUSTOM`). Utilice el `id` parámetro para especificar el identificador único del identificador de datos gestionado o personalizado que detectó los datos.
+ Para incluir un tipo de datos confidenciales en la puntuación del segmento, no especifique ningún detalle del identificador de datos administrado o personalizado que detectó los datos.
+ Para incluir todos los tipos de datos confidenciales en la puntuación del segmento, no especifiques ningún valor. Si el valor del `suppressDataIdentifiers` parámetro es nulo (vacío), Macie incluye todos los tipos de detecciones al calcular la puntuación.
Si está utilizando el AWS CLI, ejecute el [update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html)comando para excluir o incluir tipos de datos confidenciales en la puntuación de sensibilidad de un bucket de S3. Utilice el `resource-arn` parámetro para especificar el ARN del depósito. Utilice el `suppress-data-identifiers` parámetro para especificar qué tipos de datos confidenciales debe excluir o incluir en la puntuación del depósito. Para recuperar y revisar primero la configuración actual del depósito, ejecute el [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)comando.
Si la solicitud es correcta, Macie actualiza la configuración y devuelve una respuesta vacía.
**Excluya o incluya un bucket de S3 en los análisis**
Para excluir o incluir posteriormente un segmento de S3 en los análisis, utilice la [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)operación. O bien, si está utilizando el AWS CLI, ejecute el [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)comando. Para obtener detalles y ejemplos adicionales, consulte[Excluir o incluir los depósitos de S3 en la detección automática de datos confidenciales](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets).
Los siguientes ejemplos muestran cómo utilizarlos AWS CLI para ajustar la configuración individual de un bucket de S3. En este primer ejemplo, se asigna manualmente la puntuación de sensibilidad máxima (`100`) a un depósito. Anula la puntuación calculada del cubo.
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```
¿Dónde *arn:aws:s3:::amzn-s3-demo-bucket* está el ARN del depósito S3?
El siguiente ejemplo cambia la puntuación de sensibilidad de un segmento S3 por una puntuación que Macie calcula automáticamente. Actualmente, el cubo tiene una puntuación asignada manualmente que anula la puntuación calculada. En este ejemplo, se elimina esa anulación al omitir el `sensitivity-score-override` parámetro de la solicitud.
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```
¿Dónde *arn:aws:s3:::amzn-s3-demo-bucket2* está el ARN del depósito S3?
Los siguientes ejemplos excluyen determinados tipos de datos confidenciales de la puntuación de sensibilidad de un bucket de S3. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```
Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```
Donde:
+ *arn:aws:s3:::amzn-s3-demo-bucket3*es el ARN del bucket S3.
+ *ADDRESS*es el identificador único del identificador de datos gestionados que detectó un tipo de datos confidenciales para excluirlos (direcciones postales).
+ *3293a69d-4a1e-4a07-8715-208ddexample*es el identificador único del identificador de datos personalizado que detectó un tipo de datos confidenciales para excluirlos.
El siguiente conjunto de ejemplos incluye más adelante todos los tipos de datos confidenciales en la puntuación de sensibilidad del segmento S3. Sobrescribe la configuración de exclusión actual del depósito especificando un valor vacío (nulo) para el `suppress-data-identifiers` parámetro. Para Linux, macOS o Unix:
```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```
Para Microsoft Windows:
```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```
¿Dónde *arn:aws:s3:::amzn-s3-demo-bucket3* está el ARN del depósito S3?
------
# Puntuación de confidencialidad para buckets de S3
Si la detección de datos confidenciales automatizada está habilitada, Amazon Macie calcula y asigna automáticamente una puntuación de confidencialidad a cada bucket de uso general de Amazon Simple Storage Service (Amazon S3) que supervise y analice en una cuenta o para una organización. Una *puntuación de confidencialidad* es una representación cuantitativa de la cantidad de datos confidenciales que puede contener un bucket de S3. En función de esa puntuación, Macie también asigna una etiqueta de confidencialidad a cada bucket. Una *etiqueta de confidencialidad* es una representación cualitativa de la puntuación de confidencialidad de un bucket. Estos valores pueden servir como puntos de referencia para determinar dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon S3 e identificar y supervisar los posibles riesgos de seguridad de esos datos.
De forma predeterminada, la puntuación de confidencialidad y la etiqueta de un bucket de S3 reflejan los resultados de las actividades automatizadas de detección de datos confidenciales que Macie ha realizado hasta ahora para ese bucket. No reflejan los resultados de los trabajos de detección de datos confidenciales que cree y ejecute. Además, ni la puntuación ni la etiqueta implican ni indican de otro modo la criticidad o importancia que un bucket o los objetos de un bucket pueden tener para su organización. Sin embargo, puede anular la puntuación calculada de un bucket y asignar manualmente la puntuación máxima (*100*) al bucket. Esto también asigna la etiqueta *Confidencial* al bucket. Para anular una puntuación calculada, debe ser el administrador de Macie de la cuenta propietaria del bucket o tener una cuenta de Macie independiente.
**Topics**
+ [Dimensiones y rangos de puntuación de confidencialidad](#discovery-scoring-s3-dimensions)
+ [Supervisión de las puntuaciones de confidencialidad](#discovery-scoring-s3-monitoring)
## Dimensiones y rangos de puntuación de confidencialidad
Si la calcula Amazon Macie, la puntuación de confidencialidad de un bucket de S3 es una medida cuantitativa de la intersección de dos dimensiones principales:
+ La cantidad de datos confidenciales que Macie ha encontrado en el bucket. Esto se debe principalmente a la naturaleza y el número de tipos de datos confidenciales que Macie ha encontrado en el bucket y al número de veces que aparece cada tipo.
+ La cantidad de datos que Macie ha analizado en el depósito. Esto se debe principalmente al número de objetos únicos que Macie ha analizado en el bucket en relación con el número total de objetos únicos del bucket.
La puntuación de confidencialidad de un bucket de S3 determina qué etiqueta de confidencialidad asigna Macie al bucket. La etiqueta de confidencialidad es una representación cualitativa de la puntuación, por ejemplo: *Confidencial* o *No confidencial*. En la consola de Amazon Macie, la puntuación de confidencialidad de un bucket también determina qué color utiliza Macie para representar el bucket en las visualizaciones de datos, como se muestra en la siguiente imagen.
![\[El espectro de colores para las puntuaciones de confidencialidad: tonos azules para 1-49, tonos rojos para 51-100 y gris para -1.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/sensitivity-scoring-spectrum.png)
Las puntuaciones de confidencialidad oscilan entre *-1* y *100*, tal y como se describe en la siguiente tabla. Para evaluar las entradas de la puntuación de un bucket de S3, puede consultar las estadísticas de detección de datos confidenciales y otros detalles que Macie proporcione sobre el bucket.
| Puntuación de confidencialidad | Etiqueta de confidencialidad | Información adicional |
| --- | --- | --- |
| -1 | Error de clasificación | Macie aún no ha conseguido analizar ninguno de los objetos del bucket debido a errores de clasificación de objetos: problemas con la configuración de los permisos, el contenido de los objetos o las cuotas de objetos. Cuando Macie intentó analizar uno o más objetos del bucket, se produjeron errores. Por ejemplo, un objeto es un archivo con un formato incorrecto o un objeto está cifrado con una clave a la que Macie no puede acceder o que no puede utilizar. Los datos de cobertura del bucket pueden ayudarle a investigar y corregir los errores. Para obtener más información, consulte [Evaluación de cobertura de detección de datos confidenciales automatizada](discovery-coverage.md). Macie seguirá intentando analizar los objetos del bucket. Si Macie analiza un objeto correctamente, actualizará la puntuación de confidencialidad y la etiqueta del bucket para reflejar los resultados del análisis. |
| 1-49 | No confidencial | En este rango, una puntuación más alta, como *49*, indica que Macie ha analizado relativamente pocos objetos del bucket. Una puntuación más baja, como *1*, indica que Macie ha analizado muchos objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado relativamente pocos tipos y casos de datos confidenciales en esos objetos. Una puntuación de *1* también puede indicar que el bucket no almacena ningún objeto o que todos los objetos del bucket contienen cero (0) bytes de datos. Las estadísticas de los objetos incluidas en los detalles del bucket pueden ayudarle a determinar si este es el caso. Para obtener más información, consulte [Revisión de los detalles del bucket de S3](discovery-asdd-results-s3-inventory-details.md). |
| 50 | Aún no se ha analizado | Macie aún no ha intentado analizar ni ha analizado ninguno de los objetos del bucket. Macie asigna automáticamente esta puntuación cuando habilita por primera vez la detección automatizada en su cuenta o cuando se añade un bucket al inventario de buckets de una cuenta. En una organización, un bucket también puede tener esta puntuación si la detección automatizada nunca se ha habilitado para la cuenta propietaria del bucket. Una puntuación de *50* también puede indicar que la configuración de permisos del bucket impide que Macie acceda al bucket o a los objetos del bucket. Por lo general, esto se debe a una política de bucket restrictiva. Los detalles del bucket pueden ayudarle a determinar si este es el caso, ya que Macie solo puede proporcionar un subconjunto de información sobre el bucket. Para obtener información acerca de cómo resolver este problema, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md). |
| 51–99 | Confidencial | En este rango, una puntuación más alta, como *99*, indica que Macie ha analizado muchos objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado muchos tipos y apariciones de datos confidenciales en esos objetos. Una puntuación más baja, como *51*, indica que Macie ha analizado un número moderado de objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado al menos algunos tipos y apariciones de datos confidenciales en esos objetos. |
| 100 | Confidencial | La puntuación se asignó manualmente al bucket y prevaleció sobre la puntuación calculada. Macie no asigna esta puntuación a los buckets. |
## Supervisión de las puntuaciones de confidencialidad
Cuando habilita inicialmente la detección de datos confidenciales automatizada en su cuenta, Amazon Macie asigna automáticamente una puntuación de confidencialidad de *50* a cada bucket de S3 que sea propiedad de la cuenta. Macie también asigna esta puntuación a un bucket cuando este se añade a su inventario de buckets de una cuenta. En función de esa puntuación, la etiqueta de confidencialidad de cada bucket es *Aún no se ha analizado*. La excepción es un bucket vacío, que es un bucket que no almacena ningún objeto o que todos los objetos del bucket contienen cero (0) bytes de datos. Si este es el caso de un bucket, Macie le asigna una puntuación de *1* al bucket y le asigna la etiqueta *No confidencial*.
A medida que avanza la detección automatizada de su cuenta, Macie actualiza las puntuaciones de confidencialidad y las etiquetas de los buckets de S3 para reflejar los resultados del análisis. Por ejemplo:
+ Si Macie no encuentra datos confidenciales en un objeto, reduce la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.
+ Si Macie encuentra datos confidenciales en un objeto, aumenta la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.
+ Si Macie encuentra datos confidenciales en un objeto que se ha modificado posteriormente, elimina las detecciones de datos confidenciales del objeto de la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.
+ Si Macie encuentra datos confidenciales en un objeto y los elimina posteriormente, elimina las detecciones de datos confidenciales del objeto de la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.
+ Si se añade un objeto a un bucket que antes estaba vacío y Macie encuentra datos confidenciales en el objeto, Macie aumenta la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.
+ Si la configuración de permisos de un bucket impide a Macie recuperar información sobre el bucket o los objetos del bucket o acceder a ellos, Macie cambia la puntuación de confidencialidad del bucket a *50* y cambia la etiqueta de confidencialidad del bucket a *Aún no se ha analizado*.
Los resultados del análisis pueden empezar a aparecer en un plazo de 48 horas a partir de la activación de la detección de datos confidenciales automatizada para una cuenta.
Si es el administrador de Macie de una organización o si tiene una cuenta de Macie independiente, puede ajustar la configuración de la puntuación de confidencialidad de su organización o cuenta:
+ Para ajustar la configuración de los análisis posteriores de todos los buckets de S3, cambie los ajustes de la cuenta. Puede empezar a incluir o excluir identificadores de datos administrados específicos, identificadores de datos personalizados o listas de permitidos. También puede excluir buckets específicos. Para obtener más información, consulte [Configuración de los ajustes de detección automatizada](discovery-asdd-account-configure.md).
+ Para ajustar la configuración de los buckets de S3 individuales, cambie la configuración de cada bucket. Puede incluir o excluir tipos específicos de datos confidenciales de la puntuación de un bucket. También puede especificar si desea asignar una puntuación calculada automáticamente a un bucket. Para obtener más información, consulte [Ajuste de las puntuaciones de confidencialidad para buckets de S3](discovery-asdd-s3bucket-manage.md).
Si deshabilita la detección de datos confidenciales automatizada, el efecto varía según las puntuaciones y etiquetas de confidencialidad existentes. Si la deshabilita para una cuenta de miembro de una organización, las puntuaciones y etiquetas existentes se mantendrán para los buckets de S3 que sean propiedad de la cuenta. Si la deshabilita para una organización en general o para una cuenta independiente de Macie, las puntuaciones y etiquetas existentes solo se conservarán durante 30 días. Transcurridos 30 días, Macie restablece las puntuaciones y las etiquetas de todos los buckets que sean propiedad de la organización o la cuenta. Si un bucket almacena objetos, Macie cambia la puntuación a *50* y le asigna la etiqueta *Aún no se ha analizado*. Si un bucket está vacío, Macie cambia la puntuación a *1* y asigna la etiqueta *No confidencial* al bucket. Tras este restablecimiento, Macie deja de actualizar las puntuaciones de confidencialidad y las etiquetas de los buckets, a menos que vuelva a activar la detección de datos confidenciales automatizada para la organización o la cuenta.
# Configuración predeterminada para la detección de datos confidenciales automatizada
Si la detección automática de datos confidenciales está habilitada, Amazon Macie selecciona y analiza automáticamente los objetos de muestra de todos los depósitos de uso general de Amazon Simple Storage Service (Amazon S3) de su cuenta. Si es el administrador de Macie de una organización, esto incluye de forma predeterminada los buckets de S3 que sean propiedad de sus cuentas de miembro.
Si es administrador de Macie o tiene una cuenta de Macie independiente, puede afinar el alcance de los análisis excluyendo buckets de S3 específicos de la detección de datos confidenciales automatizada. Puede hacerlo de dos maneras: cambiando la configuración de la cuenta y cambiando la configuración para buckets individuales. Como administrador de Macie, también puede activar o desactivar la detección de datos confidenciales automatizada para las cuentas individuales de su organización.
De forma predeterminada, Macie analiza los objetos de S3 utilizando únicamente el conjunto de identificadores de datos administrados que recomendamos para la detección de datos confidenciales automatizada. Macie no utiliza ningún identificador de datos personalizado ni permite listas que usted haya definido. Si es administrador de Macie o tiene una cuenta de Macie independiente, puede personalizar los análisis configurando Macie para que utilice identificadores de datos administrados específicos, identificadores de datos personalizados y listas de permitidos. Para ello, puede cambiar la configuración de su cuenta.
Para obtener más información sobre cómo cambiar la configuración, consulte [Configuración de los ajustes de detección de datos confidenciales automatizada](discovery-asdd-account-configure.md).
**Topics**
+ [Identificadores de datos administrados predeterminados](#discovery-asdd-settings-defaults-mdis)
+ [Actualización de la configuración predeterminada](#discovery-asdd-mdis-default-updates)
## Identificadores de datos administrados predeterminados para la detección de datos confidenciales automatizada
De forma predeterminada, Amazon Macie analiza los objetos de S3 utilizando únicamente el conjunto de identificadores de datos administrados que recomendamos para la detección de datos confidenciales automatizada. Este conjunto predeterminado de identificadores de datos administrados está diseñado para detectar categorías y tipos comunes de datos confidenciales. Según nuestras investigaciones, puede detectar categorías y tipos generales de datos confidenciales y, al mismo tiempo, optimizar los resultados al reducir el ruido.
El conjunto predeterminado es dinámico. A medida que publicamos nuevos identificadores de datos administrados, los añadimos al conjunto predeterminado si es probable que puedan optimizar aún más los resultados de la detección de datos confidenciales automatizada. Con el tiempo, también podríamos añadir o eliminar del conjunto los identificadores de datos administrados existentes. La eliminación de un identificador de datos administrados no afecta a las estadísticas ni a los detalles de detección de datos confidenciales existentes en sus buckets de S3. Por ejemplo, si eliminamos el identificador de datos administrados de un tipo de datos confidenciales que Macie detectó anteriormente en un bucket, Macie seguirá informando de esas detecciones. Si añadimos o eliminamos un identificador de datos administrados del conjunto predeterminado, actualizamos esta página para indicar la naturaleza y el momento del cambio. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [historial de documentos](doc-history.md).
En los siguientes temas, se enumeran los identificadores de datos gestionados que se encuentran actualmente en el conjunto predeterminado, organizados por categoría y tipo de datos confidenciales. Especifican el identificador (ID) único de cada identificador de datos administrados del conjunto. Este ID describe el tipo de datos confidenciales que un identificador de datos administrados está diseñado para detectar, por ejemplo: `PGP_PRIVATE_KEY` para las claves privadas de PGP y `USA_PASSPORT_NUMBER` para los números de pasaportes estadounidenses. Si cambia la configuración de detección de datos confidenciales automatizada de su cuenta, puede usar este ID para excluir explícitamente un identificador de datos administrados de los análisis posteriores.
**Topics**
+ [Credenciales](#discovery-asdd-settings-defaults-mdis-credentials)
+ [Información financiera](#discovery-asdd-settings-defaults-mdis-financial)
+ [Información de identificación personal (PII)](#discovery-asdd-settings-defaults-mdis-pii)
Para obtener más información sobre identificadores de datos administrados específicos o una lista completa de todos los identificadores de datos administrados que Macie proporciona actualmente, consulte [Uso de identificadores de datos administrados](managed-data-identifiers.md).
### Credenciales
Para detectar la aparición de datos de credenciales en los objetos de S3, Macie utiliza los siguientes identificadores de datos gestionados de forma predeterminada.
| Tipos de datos confidenciales | ID de identificador de datos administrados |
| --- | --- |
| AWS clave de acceso secreta | AWS\$1CREDENTIALS |
| Encabezado de autorización básica de HTTP | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Clave privada de OpenSSH | OPENSSH\$1PRIVATE\$1KEY |
| Clave privada de PGP | PGP\$1PRIVATE\$1KEY |
| Clave privada del estándar de criptografía de clave pública (PKCS) | PKCS |
| Clave privada PuTTY | PUTTY\$1PRIVATE\$1KEY |
### Información financiera
Para detectar la aparición de información financiera en los objetos de S3, Macie utiliza los siguientes identificadores de datos gestionados de forma predeterminada.
| Tipos de datos confidenciales | ID de identificador de datos administrados |
| --- | --- |
| Datos de banda magnética de tarjetas de crédito | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Número de tarjeta de crédito | CREDIT\$1CARD\$1NUMBER (para números de tarjetas de crédito próximos a una palabra clave) |
### Información de identificación personal (PII)
Para detectar la aparición de información de identificación personal (PII) en objetos de S3, Macie utiliza de forma predeterminada los siguientes identificadores de datos administrados.
| Tipos de datos confidenciales | ID de identificador de datos administrados |
| --- | --- |
| Número de identificación del permiso de conducir | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (para EE. UU.), UK\$1DRIVERS\$1LICENSE |
| Número de registro electoral | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Número de identificación nacional | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Número de seguro nacional (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Número de pasaporte | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Número de Seguro Social (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Número de la Seguridad Social (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Número de identificación o referencia del contribuyente | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## Actualización de la configuración predeterminada para la detección de datos confidenciales automatizada
En la siguiente tabla se describen los cambios en la configuración que Amazon Macie utiliza de forma predeterminada para la detección de datos confidenciales automatizada. Para obtener alertas automáticas sobre cambios, suscríbase a la fuente RSS en la página de [historial de documentos de Macie](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Se implementó un nuevo conjunto dinámico de identificadores de datos administrados predeterminados | Las nuevas configuraciones de detección de datos confidenciales automatizada ahora se basan en un [conjunto dinámico predeterminado de identificadores de datos administrados](#discovery-asdd-settings-defaults-mdis). Si habilita la detección de datos confidenciales automatizada por primera vez en esta fecha o después, la configuración se basará en el conjunto dinámico. Si habilitó la detección de datos confidenciales automatizada por primera vez antes de esta fecha, la configuración se basará en un conjunto diferente de identificadores de datos administrados. Para obtener más información, consulte las notas al pie después de esta tabla. | 2 de agosto de 2023 |
| Disponibilidad general | Versión inicial de la detección de datos confidenciales automatizada. | 28 de noviembre de 2022 |
Si habilitó inicialmente la detección de datos confidenciales automatizada antes del 2 de agosto de 2023, su configuración no se basa en el conjunto dinámico de identificadores de datos administrados predeterminados. En lugar de ello, se basa en un conjunto estático de identificadores de datos administrados que definimos para la versión inicial de la detección de datos confidenciales automatizada, tal y como se indica en la siguiente tabla.
Para determinar cuándo habilitó inicialmente la detección de datos confidenciales automatizada, puede usar la consola de Amazon Macie: seleccione **Detección de datos confidenciales automatizada** en el panel de navegación y consulte la fecha de activación en la sección **Estado**. También puede hacerlo mediante programación: utilice la [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operación de la API de Amazon Macie y consulte el valor del campo. `firstEnabledAt` Si la fecha es anterior al 2 de agosto de 2023 y desea empezar a utilizar el conjunto dinámico de identificadores de datos gestionados predeterminados, póngase en contacto con nosotros para obtener ayuda. AWS Support
En la siguiente tabla se enumeran todos los identificadores de datos administrados que se encuentran en el conjunto estático. La tabla se ordena primero por categoría de datos confidenciales y, después, por tipo de datos confidenciales. Para obtener más información sobre identificadores de datos gestionados específicos, consulte [Uso de identificadores de datos administrados](managed-data-identifiers.md).
| Categoría de datos confidenciales | Tipos de datos confidenciales | ID de identificador de datos administrados |
| --- | --- | --- |
| Credenciales | AWS clave de acceso secreta | AWS\$1CREDENTIALS |
| Credenciales | Encabezado de autorización básica de HTTP | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Credenciales | Clave privada de OpenSSH | OPENSSH\$1PRIVATE\$1KEY |
| Credenciales | Clave privada de PGP | PGP\$1PRIVATE\$1KEY |
| Credenciales | Clave privada del estándar de criptografía de clave pública (PKCS) | PKCS |
| Credenciales | Clave privada PuTTY | PUTTY\$1PRIVATE\$1KEY |
| Información financiera | Número de cuenta bancaria | BANK\$1ACCOUNT\$1NUMBER (para números de cuentas bancarias de Canadá y EE. UU.), FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER |
| Información financiera | Fecha de caducidad de la tarjeta | CREDIT\$1CARD\$1EXPIRATION |
| Información financiera | Datos de banda magnética de tarjetas de crédito | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Información financiera | Número de tarjeta de crédito | CREDIT\$1CARD\$1NUMBER (para números de tarjetas de crédito próximos a una palabra clave) |
| Información financiera | Código de verificación de tarjeta de crédito | CREDIT\$1CARD\$1SECURITY\$1CODE |
| Información personal: información médica personal (PHI) | Número de registro de la Administración para el Control de Drogas (DEA) | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER |
| Información personal: PHI | Número de reclamación del seguro médico (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER |
| Información personal: PHI | Número de seguro médico o identificación médica | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER |
| Información personal: PHI | Código del sistema de codificación de procedimientos comunes de atención médica (HCPCS) | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE |
| Información personal: PHI | Código nacional de medicamento (NDC) | USA\$1NATIONAL\$1DRUG\$1CODE |
| Información personal: PHI | Identificador nacional de proveedores (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER |
| Información personal: PHI | Identificador único de dispositivo (UDI) | MEDICAL\$1DEVICE\$1UDI |
| Información personal: información de identificación personal (PII) | Fecha de nacimiento | DATE\$1OF\$1BIRTH |
| Información personal: PII | Número de identificación del permiso de conducir | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (para EE. UU.), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE |
| Información personal: PII | Número de registro electoral | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Información personal: PII | Nombre completo | NAME |
| Información personal: PII | Coordenadas del sistema de posicionamiento global (GPS) | LATITUDE\$1LONGITUDE |
| Información personal: PII | Dirección postal | ADDRESS, BRAZIL\$1CEP\$1CODE |
| Información personal: PII | Número de identificación nacional | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Información personal: PII | Número de seguro nacional (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Información personal: PII | Número de pasaporte | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Información personal: PII | Número de residencia permanente | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER |
| Información personal: PII | Número de teléfono | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (para Canadá y EE. UU.), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER |
| Información personal: PII | Número de Seguro Social (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Información personal: PII | Número de la Seguridad Social (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Información personal: PII | Número de identificación o referencia del contribuyente | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
| Información personal: PII | Número de identificación de vehículo (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER |
# Ejecución de trabajos de detección de datos confidenciales
Con Amazon Macie, puede crear y ejecutar trabajos de detección de datos confidenciales para automatizar la detección, el registro y la notificación de información confidencial en buckets de uso general de Amazon Simple Storage Service (Amazon S3). Un *trabajo de detección de datos confidenciales* es una serie de tareas automatizadas de procesamiento y análisis que Macie realiza para detectar y reportar datos confidenciales en objetos de Amazon S3. Cada trabajo proporciona informes detallados de los datos confidenciales que Macie encuentra y de los análisis que realiza. Al crear y ejecutar trabajos, puede crear y mantener una visión integral de los datos que almacena su organización en Amazon S3 y de cualquier riesgo de seguridad o de conformidad de datos.
Para ayudarlo a atender y mantener el cumplimiento de sus requisitos de seguridad y privacidad de datos, Macie ofrece varias opciones para programar y definir el alcance de un trabajo. Puede configurar un trabajo para que se ejecute solo una vez para el análisis y la evaluación bajo demanda, o de forma recurrente para el análisis periódico, la evaluación y la supervisión. Usted define la amplitud y la profundidad del análisis: buckets de S3 específicos que seleccione o bucket que coincidan con criterios específicos. Si lo desea, puede refinar el alcance de ese análisis seleccionando opciones adicionales. Las opciones incluyen criterios personalizados que se derivan de las propiedades de los objetos de S3, como las etiquetas, los prefijos y la fecha en que se modificó un objeto por última vez.
Para cada trabajo, también debe especificar los tipos de datos confidenciales que desea que Macie detecte y notifique. Puede configurar un trabajo para que utilice [los identificadores de datos administrados](managed-data-identifiers.md) que proporciona Macie, [los identificadores de datos personalizados](custom-data-identifiers.md) que usted defina o una combinación de ambos. Al seleccionar identificadores de datos gestionados y personalizados específicos para un trabajo, puede personalizar el análisis para que se centre en tipos específicos de datos confidenciales. Para afinar el análisis, también puede configurar un trabajo para que utilice [listas de permitidos](allow-lists.md). Las listas de permitidos especifican el texto y los patrones de texto que desea que Macie ignore, normalmente excepciones de datos confidenciales para los escenarios o entornos particulares de su organización.
Cada trabajo genera registros de los datos confidenciales que Macie encuentra y de los análisis que realiza Macie: los *resultados de datos confidenciales* y los resultados de la detección de *datos confidenciales*. Un *resultado de datos confidenciales* es un informe detallado de los datos confidenciales que Macie encontró en un objeto de S3. Un *resultado de detección de datos confidenciales* es un registro de los detalles sobre el análisis de un objeto S3. Macie crea un resultado de detección de datos confidenciales para cada objeto que usted configure un trabajo para analizar. Esto incluye objetos en los que Macie no encuentra datos confidenciales y, por lo tanto, no produce resultados de datos confidenciales y objetos que Macie no puede analizar debido a problemas o errores. Cada tipo de registro sigue un esquema estandarizado, que puede ayudarle a consultar, supervisar y procesar los registros para cumplir con sus requisitos de seguridad y conformidad.
**Topics**
+ [Opciones de alcance para trabajos](discovery-jobs-scope.md)
+ [Creación de una tarea](discovery-jobs-create.md)
+ [Revisión de los resultados del un trabajo](discovery-jobs-manage-results.md)
+ [Administración de trabajos](discovery-jobs-manage.md)
+ [Supervisión de trabajos con CloudWatch registros](discovery-jobs-monitor-cw-logs.md)
+ [Previsión y supervisión de costos](discovery-jobs-costs.md)
+ [Identificadores de datos administrados recomendados para trabajos](discovery-jobs-mdis-recommended.md)
# Opciones de alcance para trabajos de detección de datos confidenciales
Con los trabajos de detección de datos confidenciales, se define el alcance del análisis que lleva a cabo Amazon Macie para detectar y notificar datos confidenciales en sus buckets de uso general de Amazon Simple Storage Service (Amazon S3). Para ayudarle a hacerlo, Macie ofrece varias opciones específicas para cada trabajo que puede elegir al crear y configurar un trabajo.
**Topics**
+ [Buckets de S3 o criterios para buckets](#discovery-jobs-scope-buckets)
+ [Profundidad de muestreo](#discovery-jobs-scope-sampling)
+ [Ejecución inicial: inclusión de objetos de S3 existentes](#discovery-jobs-scope-objects)
+ [Criterios de objeto de S3](#discovery-jobs-scope-criteria)
## Buckets de S3 o criterios para buckets
Al crear un trabajo de detección de datos confidenciales, se puede especificar qué buckets de S3 almacenan objetos que desea que Macie analice cuando se ejecute el trabajo. Puede hacerlo de dos maneras: seleccionando buckets de S3 específicos de su inventario de buckets o especificando criterios personalizados que se deriven de las propiedades de los buckets de S3.
**Selección de buckets de S3 específicos**
Con esta opción, selecciona de forma explícita cada bucket de S3 que desee analizar. Luego, cuando se ejecuta el trabajo, Macie analiza los objetos solo en los buckets que seleccione. Si configura un trabajo para que se ejecute periódicamente de forma diaria, semanal o mensual, Macie analiza los objetos de esos mismos cubos cada vez que se ejecuta el trabajo.
Esta configuración resulta útil en los casos en los que quiera realizar un análisis específico de un conjunto de datos específico. Esto le proporciona un control preciso y predecible sobre los buckets que analiza un trabajo.
**Especificación de criterios del bucket de S3**
Con esta opción, se definen los criterios de tiempo de ejecución que determinan qué buckets de S3 analizar. Los criterios consisten en una o más condiciones que se derivan de las propiedades del bucket, como las etiquetas y la configuración del acceso público. Cuando se ejecuta el trabajo, Macie identifica los cubos que coinciden con sus criterios y, a continuación, analiza los objetos de esos cubos. Si configura un trabajo para que se ejecute periódicamente, Macie lo hará cada vez que se ejecute el trabajo. En consecuencia, Macie podría analizar los objetos de diferentes cubos cada vez que se ejecute el trabajo, en función de los cambios en el inventario de cubos y de los criterios que defina.
Esta configuración resulta útil en los casos en los que desee que el alcance del análisis se adapte dinámicamente a los cambios en el inventario de buckets. Si configura un trabajo para que utilice los criterios de los cubos y lo ejecute periódicamente, Macie identificará automáticamente los nuevos depósitos que coincidan con los criterios e inspeccionará esos depósitos en busca de datos confidenciales.
En los temas de esta sección, se proporcionan detalles adicionales acerca de cada opción.
**Topics**
+ [Selección de buckets de S3 específicos](#discovery-jobs-scope-buckets-select)
+ [Especificación de los criterios de los buckets de S3](#discovery-jobs-scope-buckets-criteria)
### Selección de buckets de S3 específicos
Si elige seleccionar de forma explícita cada uno de los cubos de S3 que desee analizar en un trabajo, Macie le proporcionará un inventario de los depósitos de uso general en el momento actual. Región de AWS A continuación, puede revisar su inventario y seleccionar los buckets que desee. Si es el administrador de Macie de una organización, su inventario incluye buckets que sean propiedad de sus cuentas de miembro. Puede seleccionar hasta 1000 de estos buckets, que abarquen hasta 1000 cuentas.
Para ayudarle a seleccionar buckets, el inventario proporciona detalles y estadísticas para cada bucket. Esto incluye la cantidad de datos que un trabajo puede analizar en cada bucket: los *objetos clasificables* son objetos que utilizan una [clase de almacenamiento de Amazon S3 compatible](discovery-supported-storage.md#discovery-supported-s3-classes) y tienen una extensión de nombre de archivo para un [formato de archivo o almacenamiento compatible](discovery-supported-storage.md#discovery-supported-formats). El inventario también indica si ha configurado algún trabajo existente para analizar los objetos de un bucket. Estos detalles pueden ayudarle a estimar la amplitud de un trabajo y a afinar sus selecciones de buckets.
En la tabla de inventario:
+ **Confidencialidad**: especifica la puntuación de confidencialidad actual de un bucket, si la [detección de datos confidenciales automatizada](discovery-asdd.md) está habilitada.
+ **Objetos clasificables**: especifica el número total de objetos que el trabajo puede analizar en el bucket.
+ **Tamaño clasificable**: especifica el tamaño total de almacenamiento de todos los objetos que el trabajo puede analizar en el bucket.
Si el bucket almacena objetos comprimidos, este valor no refleja el tamaño real de los objetos comprimidos después de descomprimirlos. Si el control de versiones está activado para el bucket, este valor se basa en el tamaño de almacenamiento de la última versión de cada objeto del bucket.
+ **Supervisado por el trabajo**: especifica si ha configurado algún trabajo de detección de datos confidenciales existente para analizar periódicamente los objetos del bucket de forma diaria, semanal o mensual.
Si el valor de este campo es **Sí**, el bucket se incluye explícitamente en un trabajo periódico o el bucket ha cumplido los criterios de un trabajo periódico en las últimas 24 horas. Además, el estado de al menos uno de esos trabajos no es *Cancelado*. Macie actualiza estos datos a diario.
+ **Última ejecución de un trabajo**: si ha configurado trabajos periódicos o únicos en el bucket, este campo especifica la fecha y la hora más recientes en las que se inició la ejecución de uno de esos trabajos. De lo contrario, aparecerá un guion (–) en este campo.
Si el icono de información (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-info-blue.png)) aparece junto a algún nombre de bucket de la tabla, le recomendamos que recupere los últimos metadatos del bucket de Amazon S3. Para ello, seleccione actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) encima de la tabla. Este icono indica que se creó un bucket durante las últimas 24 horas, posiblemente después de que Macie recuperara por última vez los metadatos del bucket y del objeto de Amazon S3 como parte del ciclo de actualización diario. Para obtener más información, consulte [Actualizaciones de datos](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).
Si el icono de advertencia (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-warning-red.png)) aparece junto al nombre de un bucket, significa que Macie no puede acceder al bucket. Esto significa que el trabajo no podrá analizar los objetos del bucket. Para investigar el problema, revise la política y la configuración de permisos del bucket en Amazon S3. Por ejemplo, el bucket puede tener una política de bucket restrictiva. Para obtener más información, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md).
Para personalizar la vista y encontrar depósitos específicos con mayor facilidad, puede filtrar la tabla introduciendo los criterios de filtrado en el cuadro de filtro. La siguiente tabla muestra algunos ejemplos.
| Para mostrar los buckets que... | Aplicar este filtro... |
| --- | --- |
| Son propiedad de una cuenta específica | ID de cuenta = the 12-digit ID for the account |
| Accesible públicamente | Permiso efectivo = Público |
| No se incluyen en ningún trabajo periódico | Supervisados activamente por trabajo = Falso |
| No se incluyen en ningún trabajo periódico o único | Definidos en el trabajo = Falso |
| Tienen una clave de etiqueta concreta\$1 | Clave de etiqueta = the tag key |
| Tienen un valor de etiqueta especifico\$1 | Valor de etiqueta = the tag value |
| Almacenan objetos no cifrados (u objetos que usan el cifrado del cliente) | El recuento de objetos mediante cifrado está Sin encriptar y Desde = 1 |
\$1 Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Además, debe especificar un valor completo y válido. No puede especificar valores parciales ni utilizar caracteres comodín.
Para mostrar los detalles adicionales de un bucket, elija el nombre del bucket y consulte el panel de detalles. En el panel, también puede:
+ Desplazarse y profundizar en ciertos campos eligiendo una lupa para el campo. Elija ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) mostrar los cubos con el mismo valor. Elija ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) mostrar los cubos con otros valores.
+ Recupere los metadatos más recientes de los objetos del bucket. Esto puede resultar útil si ha creado un bucket recientemente o ha realizado cambios importantes en los objetos de un bucket durante las últimas 24 horas. Para recuperar los datos, seleccione actualizar (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-object-data.png)) en la sección **Estadísticas de objetos** del panel. Esta opción está disponible para los buckets que contienen 30 000 objetos o menos.
En algunos casos, es posible que el panel no incluya todos los detalles de un depósito. Esto puede ocurrir si almacena más de 10 000 depósitos en Amazon S3. Macie conserva los datos de inventario completos de solo 10 000 cubos por cuenta, es decir, los 10 000 depósitos que se crearon o modificaron más recientemente. Sin embargo, puede configurar un trabajo para analizar los objetos de los depósitos que superen esta cuota. Para revisar los detalles adicionales de estos buckets, utilice Amazon S3.
### Especificación de los criterios de los buckets de S3
Si decide especificar los criterios del bucket para un trabajo, Macie ofrece opciones para definir y probar los criterios. Son criterios de tiempo de ejecución que determinan qué buckets de S3 almacenan objetos para analizar. Cada vez que se ejecuta el trabajo, Macie identifica los buckets de uso general que coincidan con sus criterios y analiza los objetos de los buckets correspondientes. Si es el administrador de Macie de una organización, incluirá los buckets que sean propiedad de las cuentas de miembro.
#### Definición de los criterios de bucket
Los criterios consisten en una o más condiciones que se derivan de las propiedades del bucket de S3. Cada condición, también denominada *criterio*, consta de las siguientes partes:
+ Un campo basado en una propiedad, como el **ID de cuenta** o el **permiso efectivo**.
+ Un operador, como *igual a* (`eq`) o *no igual a*(`neq`).
+ Uno o varios valores.
+ Una declaración de inclusión o exclusión que indica si el trabajo debe analizar (*include*) u omitir (*exclude*) los buckets que coincidan con la condición.
Si especifica más de un valor para un campo, Macie utiliza la lógica OR para unir los valores. Si especifica más de una condición para los criterios, Macie utiliza la lógica AND para unir las condiciones. Además, las condiciones de exclusión tienen prioridad sobre las condiciones de inclusión. Por ejemplo, si incluye buckets de acceso público y excluye los que tienen etiquetas específicas, el trabajo analiza los objetos de cualquier bucket de acceso público, a menos que el bucket tenga una de las etiquetas especificadas.
Puede definir condiciones que se deriven de cualquiera de los siguientes campos basados en propiedades de los objetos de S3.
**ID de cuenta**
El identificador (ID) único del propietario Cuenta de AWS de un bucket. Para especificar varios valores para este campo, introduzca el ID de cada cuenta y separe cada entrada con una coma.
Macie no admite el uso de caracteres comodín ni valores parciales para las entradas.
**Nombre del bucket**
Nombre del bucket de. Este campo se correlaciona con el campo **Nombre**, no con el campo **Nombre de recurso de Amazon (ARN**), en Amazon S3. Para especificar varios valores para este campo, introduzca el ID de cada bucket y separe cada entrada con una coma.
Tenga en cuenta que los valores distinguen entre mayúsculas y minúsculas. Además, Macie no admite el uso de valores parciales o caracteres comodín en este tipo de condición.
**Permisos efectivos**
Especifica si un bucket es accesible públicamente. Puede elegir uno o varios de los siguientes valores para este campo:
+ **No público**: el público en general no tiene acceso de lectura ni escritura al bucket.
+ **Público**: el público en general tiene acceso de lectura o escritura al bucket.
+ **Desconocido**: Macie no ha podido evaluar la configuración de acceso público del bucket. Un problema o una cuota impidieron que Macie recuperara y evaluara los datos necesarios.
Para determinar si un bucket es accesible públicamente, Macie analiza una combinación de configuraciones de niveles de cuentas y de buckets para cada bucket: la configuración de bloqueo de acceso público de la cuenta, la configuración de bloqueo de acceso público del bucket, la política de buckets para ese bucket y la lista de control de acceso (ACL) del bucket. Para obtener información sobre estos ajustes, consulte [Control de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) y [bloqueo del acceso público a su almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) en la *Guía del usuario de Amazon Simple Storage Service*.
**Acceso compartido**
Especifica si un bucket se comparte con otro Cuenta de AWS, con una identidad de acceso de CloudFront origen (OAI) de Amazon o con un control de acceso de CloudFront origen (OAC). Puede elegir uno o varios de los siguientes valores para este campo:
+ **Externo**: el depósito se comparte con una o más de las siguientes opciones, o con una combinación de las siguientes: una CloudFront OAI, una CloudFront OAC o una cuenta externa a tu organización (que no forma parte de ella).
+ **Interno**: el bucket se comparte con una o más cuentas que son internas (forman parte) de su organización. No se comparte con una CloudFront OAI ni con una OAC.
+ **No compartido**: el depósito no se comparte con otra cuenta, una CloudFront OAI o una OAC. CloudFront
+ **Desconocido**: Macie no ha podido evaluar la configuración de acceso compartido del bucket. Un problema o una cuota impidieron que Macie recuperara y evaluara los datos necesarios.
Para determinar si un depósito se comparte con otro Cuenta de AWS, Macie analiza la política del depósito y la ACL del depósito. Además, una *organización* se define como un conjunto de cuentas de Macie que se administran de forma centralizada como un grupo de cuentas relacionadas mediante una invitación de Macie AWS Organizations o por invitación de Macie. Para obtener información sobre las opciones de Amazon S3 para compartir depósitos, consulte [Control de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Para determinar si un depósito se comparte con una CloudFront OAI o una OAC, Macie analiza la política del depósito. Una CloudFront OAI o una OAC permiten a los usuarios acceder a los objetos de un depósito a través de una o más distribuciones específicas. CloudFront Para obtener más información CloudFront OAIs y OACs, consulte [Restringir el acceso a un origen de Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.
**Etiquetas**
Las etiquetas que están asociadas al bucket. Las etiquetas son etiquetas que puede definir y asignar a determinados tipos de AWS recursos, incluidos los depósitos de S3. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Para obtener más información acerca del etiquetado de buckets de S3, consulte [Uso de etiquetas de asignación de costos de buckets de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Para un trabajo de detección de datos confidenciales, puede usar este tipo de condición para incluir o excluir los buckets que tengan una clave de etiqueta específica, un valor de etiqueta específico o una clave de etiqueta y un valor de etiqueta específicos (como un par). Por ejemplo:
+ Si especifica **Project** como clave de etiqueta y no especifica ningún valor de etiqueta para una condición, cualquier bucket que contenga la clave de etiqueta del *proyecto* cumplirá los criterios de la condición, independientemente de los valores de etiqueta asociados a esa clave de etiqueta.
+ Si especifica **Development** y **Test** como valores de etiqueta y no especifica ninguna clave de etiqueta para una condición, cualquier bucket que contenga el valor de etiqueta **Development** o **Test** cumple los criterios de la condición, independientemente de los valores de etiqueta asociados a esas claves de etiqueta.
Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Además, Macie no admite el uso de valores parciales o caracteres comodín en este tipo de condiciones.
Para especificar varias claves de etiqueta en una condición, introduzca cada clave de etiqueta en el campo **Clave** y separe cada entrada con una coma. Para especificar varios valores de etiqueta en una condición, introduzca cada clave de etiqueta en el campo **Valor** y separe cada entrada con una coma.
Si almacena más de 10 000 depósitos en Amazon S3, tenga en cuenta que Macie no conserva los datos de las etiquetas de todos los depósitos. Macie conserva los datos de inventario completos de solo 10 000 cubos por cuenta, es decir, los 10 000 depósitos que se crearon o modificaron más recientemente. En el caso de los demás depósitos, las claves y los valores de las etiquetas asociados no se incluyen en los datos de inventario. Esto significa que los cubos no coincidirán con claves o valores de etiqueta específicos en una condición que utilice el operador *equals* (`eq`). Si especificas un operador *distinto de igual* (`neq`) para una condición basada en etiquetas, significa que los cubos coincidirán con la condición.
#### Probar los criterios de buckets
Mientras define los criterios del bucket, puede probar y refinar los criterios previsualizando los resultados. Para ello, expanda la sección **Vista previa de los resultados de los criterios** que aparece debajo de los criterios en la consola. En esta sección se muestra una tabla de hasta 25 grupos de uso general que actualmente cumplen los criterios.
Esto incluye la cantidad de datos que un trabajo puede analizar en cada bucket: los *objetos clasificables* son objetos que utilizan una [clase de almacenamiento de Amazon S3 compatible](discovery-supported-storage.md#discovery-supported-s3-classes) y tienen una extensión de nombre de archivo para un [formato de archivo o almacenamiento compatible](discovery-supported-storage.md#discovery-supported-formats). La tabla también indica si ha configurado algún trabajo existente para analizar los objetos de un bucket.
En la tabla:
+ **Confidencialidad**: especifica la puntuación de confidencialidad actual de un bucket, si la [detección de datos confidenciales automatizada](discovery-asdd.md) está habilitada.
+ **Objetos clasificables**: especifica el número total de objetos que el trabajo puede analizar en el bucket.
+ **Tamaño clasificable**: especifica el tamaño total de almacenamiento de todos los objetos que el trabajo puede analizar en el bucket.
Si el bucket almacena objetos comprimidos, este valor no refleja el tamaño real de los objetos comprimidos después de descomprimirlos. Si el control de versiones está activado para el bucket, este valor se basa en el tamaño de almacenamiento de la última versión de cada objeto del bucket.
+ **Supervisado por el trabajo**: especifica si ha configurado algún trabajo de detección de datos confidenciales existente para analizar periódicamente los objetos del bucket de forma diaria, semanal o mensual.
Si el valor de este campo es **Sí**, el bucket se incluye explícitamente en un trabajo periódico o el bucket ha cumplido los criterios de un trabajo periódico en las últimas 24 horas. Además, el estado de al menos uno de esos trabajos no es *Cancelado*. Macie actualiza estos datos a diario.
Si el icono de advertencia (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-warning-red.png)) aparece junto al nombre de un bucket, significa que Macie no puede acceder al bucket. Esto significa que el trabajo no podrá analizar los objetos del bucket. Para investigar el problema, revise la política y la configuración de permisos del bucket en Amazon S3. Por ejemplo, el bucket puede tener una política de bucket restrictiva. Para obtener más información, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md).
Para refinar los criterios del bucket para el trabajo, use las opciones de filtro para añadir, cambiar o eliminar condiciones de los criterios. A continuación, Macie actualizará la tabla para reflejar los cambios.
## Profundidad de muestreo
Con esta opción, usted especifica el porcentaje de objetos de S3 aptos que desea analice un trabajo de detección de datos confidenciales. Los objetos aptos son objetos que: utilizan una [clase de almacenamiento de Amazon S3 compatible](discovery-supported-storage.md#discovery-supported-s3-classes), tienen una extensión de nombre de archivo para un[ formato de archivo o almacenamiento compatible](discovery-supported-storage.md#discovery-supported-formats) y cumplen otros criterios que especifique para el trabajo.
Si este valor es menor que el 100 %, Macie selecciona de forma aleatoria los objetos que se van a analizar, hasta el porcentaje especificado y analiza todos los datos de esos objetos. Por ejemplo, si configura un trabajo para analizar 10 000 objetos y especifica una profundidad de muestreo del 20 %, Macie analiza aproximadamente 2000 objetos aptos seleccionados al azar cuando el trabajo se ejecuta.
Reducir la profundidad de muestreo de un trabajo puede disminuir el costo y la duración del trabajo. Esto resulta útil en los casos en los que los datos de los objetos son muy coherentes y se desea determinar si un bucket de S3, en lugar de cada objeto, almacena datos confidenciales.
Tenga en cuenta que esta opción controla el porcentaje de *objetos* que se analizan, no el porcentaje de *bytes* que se analizan. Si introduce una profundidad de muestreo inferior al 100 %, Macie analiza todos los datos de cada objeto seleccionado, no ese porcentaje de los datos de cada objeto seleccionado.
## Ejecución inicial: inclusión de objetos de S3 existentes
Puede utilizar los trabajos de detección de datos confidenciales para realizar un análisis continuo e incremental de los objetos en los buckets de S3. Si configura un trabajo para que se ejecute periódicamente, Macie lo hará por usted automáticamente. Cada ejecución analiza solo los objetos creados o modificados después de la ejecución anterior. Con la opción **Incluir objetos existentes**, puede elegir el punto de partida para el primer incremento:
+ Para analizar todos los objetos existentes inmediatamente después de terminar de crear el trabajo, active la casilla de verificación de esta opción.
+ Para esperar y analizar solo los objetos que se crean o modifican después de crear el trabajo y antes de ejecutarlo por primera vez, desactive la casilla de verificación de esta opción.
Desactivar esta casilla de verificación resulta útil en los casos en los que ya ha analizado los datos y desea seguir analizándolos periódicamente. Por ejemplo, si ha utilizado anteriormente otro servicio o aplicación para clasificar los datos y ha empezado a utilizar Macie recientemente, puede utilizar esta opción para garantizar el descubrimiento y la clasificación de forma continua de los datos sin incurrir en costos innecesarios ni duplicar los datos de clasificación.
Cada ejecución posterior del trabajo periódico analiza solo los objetos creados o modificados después de la ejecución anterior.
Tanto para los trabajos periódicos como para los únicos, también puede configurar un trabajo para analizar solo los objetos que se creen o modifiquen antes o después de un tiempo determinado o durante un intervalo de tiempo determinado. Para ello, añada criterios de objeto que utilicen la fecha de la última modificación de los objetos.
## Criterios de objeto de S3
Para afinar el alcance de un trabajo de detección de datos confidenciales, puede definir criterios personalizados para los objetos de S3. Macie utiliza estos criterios para determinar qué objetos analizar (*include*) u omitir (*exclude*) al ejecutar el trabajo. Los criterios se componen de una o más condiciones que se derivan de las propiedades de los objetos de S3. Las condiciones se aplican a los objetos de todos los buckets de S3 que se incluyen en el análisis. Si un bucket almacena varias versiones de un objeto, las condiciones se aplican a la última versión del objeto.
Si añade varias condiciones, Macie utiliza la lógica AND para unir las condiciones. Además, las condiciones de exclusión tienen prioridad sobre las condiciones de inclusión. Por ejemplo, si incluye objetos que tienen la extensión de nombre de archivo .pdf y excluye los objetos que pesan más de 5 MB, el trabajo analiza cualquier objeto que tenga la extensión de nombre de archivo .pdf, a menos que el objeto supere los 5 MB.
Puede definir condiciones que se deriven de cualquiera de las siguientes propiedades de los objetos de S3.
**Extensión de nombre de archivo**
Esto se correlaciona con la extensión del nombre de archivo de un objeto de S3. Puede usar este tipo de condición para incluir o excluir objetos según el tipo de archivo. Para hacerlo con varios tipos de archivos, introduzca la extensión del nombre de archivo de cada tipo y separe cada entrada con una coma, por ejemplo: **docx,pdf,xlsx**. Si introduce varias extensiones de nombre de archivo como valores para una condición, Macie utiliza la lógica OR para unir los valores.
Tenga en cuenta que los valores distinguen entre mayúsculas y minúsculas. Además, Macie no admite el uso de valores parciales o caracteres comodín en este tipo de condición.
Para obtener información sobre los tipos de archivos que Macie puede analizar, consulte [Formatos de archivo y almacenamiento compatibles](discovery-supported-storage.md#discovery-supported-formats).
**Última modificación**
Esto se correlaciona con el campo **Última modificación** de Amazon S3. En Amazon S3, este campo almacena la fecha y la hora en que se creó o se modificó por última vez un objeto de S3, la que sea más reciente.
En el caso de un trabajo de detección de datos confidenciales, esta condición puede ser una fecha específica, una fecha y hora específicas o un intervalo de tiempo exclusivo:
+ Para analizar los objetos que se modificaron por última vez después de una fecha y hora determinadas, introduzca los valores en los campos **Desde**.
+ Para analizar los objetos que se modificaron por última vez después de una fecha y hora determinadas, introduzca los valores en los campos **Hasta**.
+ Para analizar los objetos que se modificaron por última vez durante un intervalo de tiempo determinado, utilice los campos **Desde** para introducir los valores de la primera fecha o fecha y hora en el intervalo de tiempo. Utilice los campos **Hasta** para introducir los valores de la última fecha o fecha y hora del intervalo de tiempo.
+ Para analizar los objetos que se modificaron por última vez durante un día determinado, introduzca la fecha en el campo **Desde**. Introduzca la fecha del día siguiente en el campo **Hasta** la fecha. A continuación, compruebe que ambos campos de hora estén en blanco. (Macie trata un campo de tiempo en blanco como `00:00:00`). Por ejemplo, para analizar los objetos que se modificaron el 9 de agosto de 2023, introduzca **2023/08/09** en el campo **Desde** fecha inicial, introduzca **2023/08/10** en el campo **Hasta** fecha final y no introduzca ningún valor en ninguno de los campos de hora.
Introduzca cualquier valor de hora en el horario universal coordinado (UTC) y utilice la notación de 24 horas.
**Prefijo**
Esto se correlaciona con el campo **Clave** de Amazon S3. En Amazon S3, este campo almacena el nombre de un objeto de S3, incluido el prefijo del objeto. Un *prefijo* es similar a la ruta de un directorio dentro de un bucket. Permite agrupar objetos similares en un bucket, de forma similar a cuando se almacenan archivos similares en una carpeta de un sistema de archivos. Para obtener más información acerca de los prefijos y carpetas en Amazon S3, consulte [Organizar objetos en la consola de Amazon S3 utilizando carpetas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) en la guía del usuario de *Amazon Simple Storage Service*.
Puede usar este tipo de condición para incluir o excluir objetos cuyas claves (nombres) comiencen por un valor determinado. **Por ejemplo, para excluir todos los objetos cuya clave comience por *AWSLogs*, introduzca **AWSLogs** como valor una condición de **prefijo** y, a continuación, elija Excluir.**
Si introduce varios prefijos como valores para una condición, Macie utiliza la lógica OR para unir los valores. Por ejemplo, si introduce **AWSLogs1** y **AWSLogs2** como valores para una condición, cualquier objeto cuya clave comience por los criterios de la condición *AWSLogs1*o *AWSLogs2*coincida con ellos.
Cuando introduzca un valor para una condición de **Prefijo**, tenga en cuenta lo siguiente:
+ Los valores distinguen entre mayúsculas y minúsculas.
+ Macie no admite el uso de caracteres comodín en estos valores.
+ En Amazon S3, la clave de un objeto no incluye el nombre del bucket que almacena el objeto. Por este motivo, no especifique los nombres de los buckets en estos valores.
+ Si un prefijo incluye un delimitador, inclúyalo en el valor. Por ejemplo, introduzca esta **AWSLogs/eventlogs** opción para definir una condición para todos los objetos cuya clave comience por *AWSLogs/eventlogs.* Macie admite el delimitador predeterminado de Amazon S3, que es una barra (/), y los delimitadores personalizados.
Tenga en cuenta también que un objeto cumple con los criterios de una condición solo si la clave del objeto coincide exactamente con el valor que ha introducido, empezando por el primer carácter de la clave del objeto. Además, Macie aplica una condición al valor **Clave** completo de un objeto, incluido el nombre de archivo del objeto.
Por ejemplo, si la clave de un objeto es *AWSLogs/eventlogs/testlog.csv* e ingresas alguno de los siguientes valores para una condición, el objeto coincide con los criterios de la condición:
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
*Sin embargo, si lo introduce**eventlogs**, el objeto no cumple los criterios: el valor de la condición no incluye la primera parte de la clave,/. AWSLogs* Del mismo modo, si introduce **awslogs**, el objeto no cumple los criterios debido a las diferencias en el uso de mayúsculas y minúsculas.
**Tamaño del almacenamiento**
Esto se correlaciona con el campo **Tamaño** de Amazon S3. En Amazon S3, este campo indica el tamaño total de almacenamiento de un objeto de S3. Si un objeto es un archivo comprimido, este valor no refleja el tamaño real del archivo después de descomprimirlo.
Puede usar este tipo de condición para incluir o excluir objetos que sean más pequeños que un tamaño determinado, más grandes que un tamaño determinado o que estén dentro de un rango de tamaño determinado. Macie aplica este tipo de condición a todos los tipos de objetos, incluidos los archivos comprimidos o archivados y los archivos que contienen. Para obtener información sobre las restricciones basadas en el tamaño para cada formato compatible, consulte [Cuotas para Macie](macie-quotas.md).
**Etiquetas**
Las etiquetas asociadas a un objeto de S3. Las etiquetas son etiquetas que se pueden definir y asignar a determinados tipos de AWS recursos, incluidos los objetos de S3. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Para obtener información sobre el etiquetado de objetos de S3, consulte [Categorización del almacenamiento mediante etiquetas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Para un trabajo de detección de datos confidenciales, puede usar este tipo de condición para incluir o excluir objetos que tengan una etiqueta específica. Puede ser una clave de etiqueta específica o una clave de etiqueta y un valor de etiqueta específicos (como par). Si introduce varias extensiones de nombre de archivo como valores para una condición, Macie utiliza la lógica OR para unir los valores. Por ejemplo, si especifica **Project1** y **Project2** como claves de etiqueta para una condición, cualquier objeto que tenga la clave de etiqueta *Project1* o *Project2 *cumplirá los criterios de la condición.
Las claves y los valores de las etiquetas no distinguen entre mayúsculas y minúsculas. Además, Macie no admite el uso de valores parciales o caracteres comodín en este tipo de condición.
# Creación de un trabajo de detección de datos confidenciales
Con Amazon Macie, puede crear y ejecutar trabajos de detección de datos confidenciales para automatizar la detección, el registro y la notificación de información confidencial en buckets de uso general de Amazon Simple Storage Service (Amazon S3). Un *trabajo de detección de datos confidenciales* es una serie de tareas automatizadas de procesamiento y análisis que Macie realiza para detectar y reportar datos confidenciales en objetos de Amazon S3. A medida que avanza el análisis, Macie proporciona informes detallados sobre los datos confidenciales que encuentra y los análisis que realiza: los *resultados de datos confidenciales*, que muestran los datos confidenciales que Macie encuentra en objetos S3 individuales, y los *resultados de detección de datos confidenciales*, que registran detalles sobre el análisis de objetos S3 individuales. Para obtener más información, consulte [Revisión de los resultados del un trabajo](discovery-jobs-manage-results.md).
Cuando crea un trabajo, comienza por especificar qué buckets de S3 almacenan objetos que desea que Macie analice cuando se ejecute el trabajo: buckets específicos que seleccione o buckets que coincidan con criterios específicos. A continuación, especifique la frecuencia de ejecución del trabajo: una vez o periódicamente, a diario, semanal o mensualmente. También puede elegir opciones para mejorar el alcance del análisis del trabajo. Las opciones incluyen criterios personalizados que se derivan de las propiedades de los objetos de S3, como las etiquetas, los prefijos y la fecha en que se modificó un objeto por última vez.
Tras definir el cronograma y el alcance del trabajo, especifique qué identificadores de datos administrados y personalizados quiere utilizar:
+ Un *identificador de datos gestionados* es un conjunto de criterios y técnicas integrados que están diseñados para detectar un tipo específico de datos confidenciales, por ejemplo, números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región en particular. Estos identificadores pueden detectar una lista extensa y creciente de tipos de datos confidenciales en muchos países y regiones, incluidos varios tipos de datos de credenciales, información financiera e información de identificación personal (PII). Para obtener más información, consulte [Uso de identificadores de datos administrados](managed-data-identifiers.md).
+ Un *identificador de datos personalizado* es un conjunto de criterios que se define para detectar información confidencial. Con los identificadores de datos personalizados, puede detectar datos confidenciales que reflejen los escenarios, la propiedad intelectual o los datos patentados particulares de su organización, por ejemplo, los números de cuentas de los empleados IDs, los números de cuentas de los clientes o las clasificaciones de datos internas. Pueden complementar los identificadores de datos administrados que Macie proporciona. Para obtener más información, consulte [Creación de identificadores de datos personalizados](custom-data-identifiers.md).
A continuación, de forma opcional, seleccione las listas de permitidos que quiera utilizar. En Macie, una *lista de permitidos* especifica el texto o un patrón de texto que se debe ignorar. Por lo general, se trata de excepciones a los datos confidenciales en situaciones o entornos específicos, por ejemplo, los nombres o números de teléfono públicos de la organización o los datos de muestra que la organización utilice para las pruebas. Para obtener más información, consulte [Definición de excepciones de datos confidenciales con las listas de permitidos](allow-lists.md).
Cuando termine de elegir estas opciones, estará listo para introducir la configuración general del trabajo, como el nombre y la descripción del trabajo. A continuación, puede revisar y guardar el trabajo.
**Topics**
+ [Antes de comenzar: configuración de recursos clave](#discovery-jobs-create-prerequisites)
+ [Paso 1: elección de buckets de S3](#discovery-jobs-create-step1)
+ [Paso 2: Revisión de las selecciones o criterios de bucket de S3](#discovery-jobs-create-step2)
+ [Paso 3: Definir el cronograma y mejorar el alcance](#discovery-jobs-create-step3)
+ [Paso 4: Seleccione los identificadores de datos gestionados](#discovery-jobs-create-step4)
+ [Paso 5: Seleccione identificadores de datos personalizados](#discovery-jobs-create-step5)
+ [Paso 6: Selección de listas de permitidos](#discovery-jobs-create-step6)
+ [Paso 7: Introducir configuración general](#discovery-jobs-create-step7)
+ [Paso 8: revisión y creación](#discovery-jobs-create-step8)
## Antes de comenzar: configuración de recursos clave
Antes de crear un trabajo, es una buena idea seguir los siguientes pasos:
+ Compruebe que haya configurado un repositorio para los resultados de la detección de datos confidenciales. Para ello, seleccione **Resultados de la detección** en el panel de navegación de la consola de Amazon Macie. Para obtener más información sobre estos ajustes, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md).
+ Cree los identificadores de datos personalizados que desee que utilice el trabajo. Para aprender a hacerlo, consulte [Creación de identificadores de datos personalizados](custom-data-identifiers.md).
+ Cree las listas de permisos que desee que utilice el trabajo. Para aprender a hacerlo, consulte [Definición de excepciones de datos confidenciales con las listas de permitidos](allow-lists.md).
+ Si desea analizar los objetos de S3 que están cifrados, asegúrese de que Macie puede acceder a las claves de cifrado adecuadas y utilizarlas. Para obtener más información, consulte [Análisis de objetos de S3 cifrados](discovery-supported-encryption-types.md).
+ Si quiere analizar los objetos de un bucket de S3 que tiene una política de bucket restrictiva, asegúrese de que Macie puede acceder a los objetos. Para obtener más información, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md).
Si hace esto antes de crear un trabajo, agiliza la creación del trabajo y ayuda a garantizar que el trabajo puede analizar los datos que desea.
## Paso 1: elección de buckets de S3
El primer paso al crear un trabajo es especificar qué buckets de S3 almacenan objetos que quiera que Macie analice cuando se ejecute el trabajo. Para este paso, tiene dos opciones:
+ **Seleccionar buckets específicos**: con esta opción, selecciona de forma explícita cada bucket de S3 que desee analizar. Luego, cuando se ejecuta el trabajo, Macie analiza los objetos solo en los buckets que seleccione.
+ **Especificar los criterios de los buckets**: con esta opción, se definen los criterios de tiempo de ejecución que determinan qué buckets de S3 analizar. Los criterios consisten en una o más condiciones que se derivan de las propiedades del bucket. A continuación, cuando se ejecuta el trabajo, Macie identifica los buckets que coincidan con sus criterios y analiza los objetos de esos buckets.
Para obtener información detallada sobre estas opciones, consulte [Opciones de alcance para trabajos](discovery-jobs-scope.md).
Las siguientes secciones proporcionan instrucciones para elegir y configurar cada opción. Elija la sección para la opción que desee.
### Selección de buckets específicos
Si elige seleccionar de forma explícita cada segmento de S3 para analizarlo, Macie le proporcionará un inventario de sus grupos de uso general en el momento actual. Región de AWS A continuación, puede usar este inventario para seleccionar uno o más buckets para el trabajo. Para obtener más información sobre este inventario, consulte [Selección de buckets de S3 específicos](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select).
Si es el administrador de Macie de una organización, el inventario incluye buckets que son propiedad de las cuentas de miembros de su organización. Puede seleccionar hasta 1000 de estos buckets, que abarquen hasta 1000 cuentas.
**Selección de buckets de S3 específicos para el trabajo**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Trabajos**.
1. Seleccione **Crear trabajo**.
1. En la página **Elegir buckets de S3**, seleccione **Seleccionar buckets específicos**. Macie muestra una tabla con todos los buckets de uso general de su cuenta en la Región actual.
1. En la sección **Seleccionar buckets de S3**, si lo desea, elija refrescar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) para recuperar los metadatos de bucket más recientes de Amazon S3.
Si el icono de información (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-info-blue.png)) aparece junto al nombre de algún bucket, le recomendamos que lo haga. Este icono indica que se creó un bucket durante las últimas 24 horas, posiblemente después de que Macie recuperara por última vez los metadatos del bucket y del objeto de Amazon S3 como parte del [ciclo de actualización diario](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).
1. En la tabla, seleccione la casilla de verificación de cada segmento que desee que analice el trabajo.
**sugerencia**
Para encontrar buckets específicos más fácilmente, introduzca los criterios de filtro en el cuadro de filtro situado sobre la tabla. Puede ordenar las filas de la tabla si elige un encabezado de columna.
Para determinar si ya ha configurado un trabajo para analizar periódicamente los objetos de un bucket, consulte el campo **Supervisado por trabajo**. Si el valor de un campo es **Sí**, el bucket se incluye explícitamente en un trabajo periódico o el bucket ha cumplido los criterios de un trabajo periódico en las últimas 24 horas. Además, el estado de al menos uno de esos trabajos no es *Cancelado*. Macie actualiza estos datos a diario.
Para determinar cuándo fue la última vez que un trabajo periódico o único existente analizó los objetos de un bucket, consulte el campo **Último trabajo ejecutado**. Para obtener información adicional sobre ese trabajo, consulte los detalles del bucket.
Para mostrar los detalles de un bucket, elija el nombre del bucket. Además de la información relacionada con el trabajo, el panel de detalles proporciona estadísticas y otra información sobre el bucket, como la configuración de acceso público del bucket. Para obtener más información sobre esto, consulte [Revisión del inventario de buckets de S3](monitoring-s3-inventory-review.md).
1. Cuando termine de seleccionar los buckets, elija **Siguiente**.
En el siguiente paso, revisará y verificará las selecciones.
### Especificación de los criterios del bucket
Si decide especificar los criterios de tiempo de ejecución que determinan qué buckets de S3 deben analizarse, Macie ofrece opciones que le ayudarán a elegir los campos, los operadores y los valores para las condiciones individuales de los criterios. Para obtener más información sobre estas opciones, consulte [Especificación de los criterios de los buckets de S3](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria).
**Especificación de los criterios del bucket de S3 para el trabajo**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Trabajos**.
1. Seleccione **Crear trabajo**.
1. En la página **Elegir buckets de S3**, elija **Especificar los criterios del bucket**.
1. En **Especificar los criterios del bucket**, haga lo siguiente para añadir una condición a los criterios:
1. Coloque el cursor en el cuadro Criterios de filtrado y, a continuación, elija la propiedad del bucket que desee utilizar para la condición.
1. En el primer cuadro, elija un operador para la condición: **Igual** o **No igual**.
1. En el cuadro siguiente, introduzca uno o más valores para la propiedad.
Según el tipo y la naturaleza de la propiedad del bucket, Macie muestra diferentes opciones para introducir valores. Por ejemplo, si elige la propiedad de **Permiso efectivo**, Macie mostrará una lista de valores entre los que elegir. Si eliges la propiedad **ID de cuenta**, Macie mostrará un cuadro de texto en el que podrás introducir uno o varios. Cuenta de AWS IDs Para introducir varios valores en un cuadro de texto, introduzca cada valor y separe cada entrada con una coma.
1. Seleccione **Aplicar**. Macie añade la condición y la muestra debajo del cuadro de filtro.
De forma predeterminada, Macie añade la condición con una sentencia include. Esto significa que el trabajo está configurado para analizar (*incluir*) objetos en buckets que coincidan con la condición. Para omitir (*excluir*) los buckets que coincidan con la condición, elija **Incluir** para la condición y, a continuación, elija **Excluir**.
1. Repita los pasos anteriores para cada condición adicional que desee agregar a los criterios.
1. Para probar sus criterios, amplíe la sección **Vista previa de los resultados de los criterios**. En esta sección se muestra una tabla con un máximo de 25 grupos de uso general que actualmente cumplen los criterios.
1. Para refinar los criterios, lleve a cabo alguna de las siguientes acciones:
+ Para eliminar una condición, elija **X** para la condición .
+ Para cambiar una condición, elimine la condición eligiendo **X** para la condición A continuación, añada una condición que tenga la configuración correcta.
+ Para eliminar todas las condiciones, seleccione **Borrar filtros**.
Macie actualiza los resultados de la tabla de criterios para reflejar sus cambios.
1. Cuando termine de especificar los criterios del bucket, seleccione **Siguiente**.
En el siguiente paso, revisará y verificará sus criterios.
## Paso 2: Revisión de las selecciones o criterios de bucket de S3
Para este paso, compruebe que ha elegido la configuración correcta en el paso anterior:
+ **Revise sus selecciones de buckets**: si seleccionó buckets de S3 específicos para el trabajo, revise la tabla de buckets y cambie sus selecciones de buckets según sea necesario. La tabla proporciona información sobre el alcance y el costo proyectados del análisis del trabajo. Los datos se basan en el tamaño y los tipos de objetos que se almacenan actualmente en un bucket.
En la tabla, el campo **Costo estimado** indica el costo total estimado (en dólares estadounidenses) de analizar los objetos de un depósito de S3. Cada estimación refleja la cantidad proyectada de datos sin comprimir que el trabajo analizará en un bucket. Si algún objeto es un archivo comprimido o archivado, la estimación supone que los archivos utilizan una relación de compresión de 3:1, y que el trabajo puede analizar todos los archivos extraídos. Para obtener más información, consulte [Previsión y supervisión de costos](discovery-jobs-costs.md).
+ **Revise los criterios del bucket**: si especificó los criterios del bucket para el trabajo, revise cada condición de los criterios. Para cambiar los criterios, elija **Anterior** y, a continuación, utilice las opciones de filtro del paso anterior para introducir los criterios correctos. Cuando haya terminado, elija **Siguiente**.
Cuando termine de revisar y verificar la configuración, elija **Siguiente**.
## Paso 3: Definir el cronograma y mejorar el alcance
Para este paso, especifique la frecuencia con la que desea que el trabajo se ejecute: una vez o periódicamente, a diario, semanal o mensualmente. También puede elegir opciones para mejorar el alcance del análisis del trabajo. Para obtener más información sobre estas opciones, consulte [Opciones de alcance para trabajos](discovery-jobs-scope.md).
**Paso 3: Definir el cronograma y mejorar el alcance**
1. En la página **Ajustar el ámbito**, especifique la frecuencia con la que desea que se ejecute el trabajo:
+ Para ejecutar el trabajo solo una vez, inmediatamente después de terminar de crearlo, elija **Trabajo único**.
+ Para ejecutar el trabajo periódicamente de forma recurrente, elija **Trabajo programado**. En **Frecuencia de actualización**, elija si desea ejecutar el trabajo de forma diaria, semanal o mensual. A continuación, utilice la opción **Incluir objetos existentes** para definir el alcance de la primera ejecución del trabajo:
+ Seleccione esta casilla de verificación para analizar todos los objetos existentes inmediatamente después de terminar de crear el trabajo. Cada ejecución posterior del trabajo periódico analiza solo los objetos creados o modificados después de la ejecución anterior.
+ Desactive esta casilla de verificación para omitir el análisis de todos los objetos existentes. La primera ejecución analiza solo los objetos que se crean o se modifican después de terminar la creación del trabajo. Cada ejecución posterior del trabajo periódico analiza solo los objetos creados o modificados después de la ejecución anterior.
Desactivar esta casilla de verificación resulta útil en los casos en los que ya ha analizado los datos y desea seguir analizándolos periódicamente. Por ejemplo, si ha utilizado anteriormente otro servicio o aplicación para clasificar los datos y ha empezado a utilizar Macie recientemente, puede utilizar esta opción para garantizar el descubrimiento y la clasificación de forma continua de los datos sin incurrir en costos innecesarios ni duplicar los datos de clasificación.
1. (Opcional) Para especificar el porcentaje de objetos que desea analizar en el trabajo, introduzca el porcentaje en el cuadro **Profundidad de muestreo**.
Si este valor es menor que el 100 %, Macie selecciona de forma aleatoria los objetos que se van a analizar, hasta el porcentaje especificado y analiza todos los datos de esos objetos. El valor predeterminado es 100 %.
1. (Opcional) Para añadir criterios específicos que determinen qué objetos de S3 se incluyen o excluyen del análisis del trabajo, amplíe la sección **Configuración adicional** y, a continuación, introduzca los criterios. Estos criterios se componen de condiciones individuales que se derivan de las propiedades de los objetos:
+ Para analizar (*incluir*) los objetos que cumplen una condición específica, introduzca el tipo y el valor de la condición y, a continuación, elija **Incluir**.
+ Para omitir (*excluir*) los objetos que cumplen una condición específica, introduzca el tipo y el valor de la condición y, a continuación, elija **Excluir**.
Repita este paso para cada condición de inclusión o exclusión que desee.
Si introduce varias condiciones, cualquier condición de exclusión tendrá prioridad sobre las condiciones de inclusión. Por ejemplo, si incluye objetos que tienen la extensión de nombre de archivo .pdf y excluye los objetos que pesan más de 5 MB, el trabajo analiza cualquier objeto que tenga la extensión de nombre de archivo .pdf, a menos que el objeto supere los 5 MB.
1. Cuando haya terminado, elija **Siguiente**.
## Paso 4: Seleccione los identificadores de datos gestionados
Para este paso, especifique qué identificadores de datos administrados desea que el trabajo utilice cuando analice objetos de S3. Tiene dos opciones:
+ **Utilice la configuración recomendada**: con esta opción, el trabajo analiza los objetos de S3 mediante el conjunto de identificadores de datos gestionados que recomendamos para los trabajos. Este conjunto está diseñado para detectar categorías y tipos comunes de datos confidenciales. Para revisar una lista de los identificadores de datos gestionados que se encuentran actualmente en el conjunto, consulte [Identificadores de datos administrados recomendados para trabajos](discovery-jobs-mdis-recommended.md). Actualizamos esa lista cada vez que añadimos o eliminamos un identificador de datos gestionados del conjunto.
+ **Utilice la configuración recomendada**: con esta opción, el trabajo analiza los objetos de S3 mediante el conjunto de identificadores de datos gestionados que rseleccione. Pueden ser todos o solo algunos de los identificadores de datos gestionados que están disponibles actualmente. También puede configurar el trabajo para que no utilice ningún identificador de datos gestionados. En su lugar, el trabajo solo puede usar los identificadores de datos personalizados que seleccione en el siguiente paso. Para revisar una lista de los identificadores de datos gestionados que están disponibles actualmente, consulte. [Referencia rápida: identificadores de datos administrados por tipo](mdis-reference-quick.md) Actualizamos esa lista cada vez que publicamos un nuevo identificador de datos gestionados.
Al elegir cualquiera de las dos opciones, Macie muestra una tabla de identificadores de datos gestionados. En la tabla, el campo de **Tipo de datos confidenciales** especifica el identificador único (ID) de un identificador de datos administrados. Este identificador describe el tipo de datos confidenciales que el identificador de datos gestionados está diseñado para detectar, por ejemplo: **USA\$1PASSPORT\$1NUMBER** para los números de pasaporte estadounidenses, **CREDIT\$1CARD\$1NUMBER** para los números de tarjetas de crédito y **PGP\$1PRIVATE\$1KEY** para las claves privadas PGP. Para encontrar identificadores específicos con mayor rapidez, puede ordenar y filtrar la tabla por categoría o tipo de datos confidenciales.
**Para seleccionar identificadores de datos administrados para el trabajo**
1. En la página **Seleccionar identificadores de datos gestionados**, en **Opciones de identificadores de datos gestionados**, realice una de las siguientes acciones:
+ Para usar el conjunto de identificadores de datos gestionados que recomendamos para los trabajos, seleccione **Recomendado**.
Si elige esta opción y ha configurado el trabajo para que se ejecute más de una vez, cada ejecución utilizará automáticamente todos los identificadores de datos gestionados incluidos en el conjunto recomendado cuando se inicie la ejecución. Esto incluye los nuevos identificadores de datos gestionados que publicamos y añadimos al conjunto. Excluye los identificadores de datos gestionados que eliminamos del conjunto y que ya no recomendamos para los trabajos.
+ Para usar solo los identificadores de datos administrados específicos que seleccione, elija **Personalizado** y, a continuación, elija **Usar identificadores de datos administrados específicos**. A continuación, en la tabla, seleccione la casilla de verificación de cada identificador de datos gestionados que desee que utilice el trabajo.
Si elige esta opción y ha configurado el trabajo para que se ejecute más de una vez, cada ejecución utilizará únicamente los identificadores de datos gestionados que seleccione. En otras palabras, el trabajo utiliza estos mismos identificadores de datos gestionados cada vez que se ejecuta.
+ Para utilizar todos los identificadores de datos gestionados que Macie proporciona actualmente, seleccione **Personalizado** y, a continuación, elija **Utilizar identificadores de datos gestionados específicos**. A continuación, en la tabla, active la casilla de verificación situada en el encabezado de la columna de selección para seleccionar todas las filas.
Si elige esta opción y ha configurado el trabajo para que se ejecute más de una vez, cada ejecución utilizará únicamente los identificadores de datos gestionados que seleccione. En otras palabras, el trabajo utiliza estos mismos identificadores de datos gestionados cada vez que se ejecuta.
+ Para no utilizar ningún identificador de datos gestionado y utilizar únicamente identificadores de datos personalizados, seleccione **Personalizado** y, a continuación, seleccione **No utilizar ningún identificador de datos gestionado**. A continuación, en el siguiente paso, seleccione los identificadores de datos personalizados que quiere usar.
1. Cuando haya terminado, elija **Siguiente**.
## Paso 5: Seleccione identificadores de datos personalizados
Para este paso, de forma opcional seleccione los identificadores de datos personalizados que desea que el trabajo utilice cuando analice datos. El trabajo utilizará los identificadores seleccionados además de los identificadores de datos administrados que desee que utilice el trabajo. Para obtener más información sobre los identificadores de datos personalizados, consulte [Creación de identificadores de datos personalizados](custom-data-identifiers.md).
**Para seleccionar identificadores de datos personalizados para el trabajo**
1. En la página **Seleccionar identificadores de datos personalizados**, active la casilla de verificación de cada identificador de datos personalizado que desee que utilice el trabajo. Puede seleccionar hasta 30 identificadores de datos personalizados.
**sugerencia**
Para revisar o probar un identificador de datos personalizado antes de seleccionarlo, elija el icono de conexión (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-external-link.png)) junto al nombre del identificador. Macie abre una página que muestra la configuración del identificador.
También puede usar esta página para probar el identificador con datos de muestra. Para ello, introduzca hasta 1000 caracteres en el cuadro **Datos de muestra** y, a continuación, seleccione **Prueba**. Macie evalúa los datos de la muestra mediante el identificador y, a continuación, indica el número de coincidencias.
1. Cuando termine de seleccionar los identificadores de datos personalizados, elija **Siguiente**.
## Paso 6: Selección de listas de permitidos
Para este paso, seleccione las listas de permisos que desea que el trabajo utilice cuando analice objetos de S3. Para obtener más información acerca de seleccionar listas, consulte [Definición de excepciones de datos confidenciales con las listas de permitidos](allow-lists.md).
**Para seleccionar listas de permisos para el trabajo**
1. En la página **Seleccionar listas** de permitidos, seleccione la casilla de verificación de cada lista de permitidos que desee que utilice el trabajo. Puede seleccionar hasta 10 listas.
**sugerencia**
Para revisar la configuración de una lista de permitidos antes de seleccionarla, elija el icono de conexión (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-external-link.png)) junto al nombre de la lista. Macie abre una página que muestra la configuración de la lista.
Si la lista especifica una expresión regular (*regex*), también puede usar esta página para probar la expresión regular con datos de ejemplo. Para ello, introduzca hasta 1000 caracteres en el cuadro **Datos de muestra** y, a continuación, seleccione **Prueba**. Macie evalúa los datos de la muestra mediante el identificador y, a continuación, informa el número de coincidencias.
1. Cuando termine de seleccionar las listas permitidas, elija **Siguiente.**
## Paso 7: Introducir configuración general
Para este paso, especifique un nombre y, opcionalmente, una descripción del trabajo. También puede asignar etiquetas al trabajo. Una *etiqueta* es una etiqueta que se define y se asigna a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte [Etiquetado de recursos de Macie](tagging-resources.md).
**Para introducir la configuración general del trabajo**
1. En la página **Introducir la configuración general**, introduzca un nombre para el trabajo en el cuadro **Nombre del trabajo**. El nombre puede contener hasta 500 caracteres.
1. (Opcional) En **Descripción de imagen**, introduzca una breve descripción del trabajo. La descripción puede contener hasta 200 caracteres.
1. (Opcional) En **Etiquetas**, seleccione **Añadir etiqueta** y, a continuación, introduzca hasta 50 etiquetas para asignarlas a la lista de permitidos.
1. Cuando haya terminado, elija **Siguiente**.
## Paso 8: revisión y creación
En este último paso, revise los ajustes de configuración del trabajo y verifique que son correctos. Se trata de un paso importante. Tras crear un trabajo, no puede cambiar ninguna de estas opciones. Esto ayuda a garantizar que tiene un historial inmutable de resultados de datos confidenciales y resultados de detección para las auditorías o investigaciones de privacidad y protección de datos que lleve a cabo.
Según la configuración del trabajo, también puede revisar el costo total estimado (en dólares estadounidenses) de ejecutar el trabajo una vez. Si especificó los criterios de bucket para el trabajo, la estimación se basa en el tamaño y los tipos de objetos de hasta 500 buckets que cumplen actualmente los criterios y en la cantidad de esos datos que puede analizar el trabajo. Si especificó los criterios de bucket para el trabajo, la estimación se basa en el tamaño y los tipos de objetos de hasta 500 buckets que cumplen actualmente los criterios y en la cantidad de esos datos que puede analizar el trabajo. Para obtener más información sobre esto, consulte [Previsión y supervisión de costos](discovery-jobs-costs.md).
**Revise y cree la VM.**
1. En la página **Revisar y crear**, revise cada configuración y compruebe que es correcta. Para cambiar una configuración, elija **Editar** para la configuración y, a continuación, escriba la configuración adecuada. También puede usar las pestañas de navegación para ir a la página que contiene una configuración.
1. Cuando termine de verificar la configuración, seleccione **Enviar** para crear y guardar el trabajo. Macie comprueba la configuración y le notifica los problemas que debe solucionar.
**nota**
Si no ha configurado un repositorio para sus resultados de detección de datos confidenciales, Macie muestra una advertencia y no guarda el trabajo. Para solucionar este problema, seleccione **Configurar** en la sección **Repositorio de resultados de detección de datos confidenciales**. A continuación, introduzca las opciones de configuración para el repositorio. Para aprender a hacerlo, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md). Tras introducir la configuración, vuelva a la página **Revisar y crear** y seleccione refrescar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) en la sección de **Resultados del repositorio de datos confidenciales** de la página.
Aunque no lo recomendamos, puede anular temporalmente el requisito de repositorio y guardar el trabajo. Si lo hace, corre el riesgo de perder los resultados de detección derivados del trabajo; Macie retiene los resultados solo durante 90 días. Para anular temporalmente el requisito, seleccione la casilla de verificación de la opción de anulación.
1. Si Macie le notifica los problemas que debe solucionar, solucione los problemas y, a continuación, vuelva a seleccionar **Enviar** para crear y guardar el trabajo.
Si ha configurado el trabajo para que se ejecute una vez, diariamente o en el día actual de la semana o el mes, comienza inmediatamente a ejecutar el trabajo. De lo contrario, Macie se prepara para ejecutar el trabajo el día especificado de la semana o el mes. Para supervisar el trabajo, puede [comprobar el estado del trabajo](discovery-jobs-status-check.md).
# Revisión de los resultados de un trabajo de detección de datos confidenciales
Cuando ejecuta un trabajo de detección de datos confidenciales, Amazon Macie calcula e informa automáticamente determinados datos estadísticos para el trabajo. Por ejemplo, Macie informa del número de veces que se ha ejecutado el trabajo y el número aproximado de objetos de Amazon Simple Storage Service (Amazon S3) que el trabajo aún no ha procesado durante su ejecución actual. Macie también produce varios tipos de resultados para el trabajo: *eventos de registro*, *resultados de datos confidenciales* y *resultados de detección de datos confidenciales*.
**Topics**
+ [Tipos de resultados de trabajo](#discovery-jobs-manage-results-types)
+ [Revisión de estadísticas y resultados de un trabajo](#discovery-jobs-manage-results-review)
## Tipos de resultados para trabajos de detección de datos confidenciales
A medida que avanza un trabajo de detección de datos confidenciales, Amazon Macie produce los siguientes tipos de resultados para el trabajo.
**evento de registro**
Se trata de un registro de un evento que se produjo mientras se ejecutaba el trabajo. Macie registra y publica automáticamente los datos de determinados eventos en Amazon CloudWatch Logs. Los datos de estos registros proporcionan un registro de los cambios en el progreso o el estado del trabajo, como la fecha y la hora exactas en que el trabajo comenzó o dejó de ejecutarse. Los datos también proporcionan detalles sobre cualquier error a nivel de cuenta o de bucket que se haya producido durante la ejecución del trabajo.
Los eventos de registro pueden ayudarle a supervisar un trabajo y a solucionar cualquier problema que haya impedido que el trabajo analice los datos que desea. Si un trabajo utiliza criterios de tiempo de ejecución para determinar qué bucket de S3 analizar, el evento de registro también puede ayudarle a determinar si los buckets de S3 cumplían los criterios cuando se ejecutó el trabajo.
Puede acceder a los eventos de registro mediante la CloudWatch consola de Amazon o la API de Amazon CloudWatch Logs. Para ayudarle a navegar hasta el evento de registro de un trabajo, la consola de Amazon Macie proporciona una conexión a ellos. Para obtener más información, consulte [Supervisión de trabajos con CloudWatch registros](discovery-jobs-monitor-cw-logs.md).
**Resultados de datos confidenciales**
Este es un informe de información confidencial que Macie encontró en un objeto de S3. Cada resultado proporciona una clasificación de gravedad y detalles como:
+ La fecha y hora en que Macie encontró los datos confidenciales.
+ La categoría y los tipos de datos confidenciales que encontró Macie.
+ El número de apariciones de cada tipo de datos confidenciales que Macie encontró.
+ El identificador único del trabajo de detección de datos confidenciales que produjo el resultado.
+ El nombre, la configuración de acceso público, el tipo de cifrado y otra información sobre el bucket y el objeto de S3 afectados.
Según el tipo de archivo o el formato de almacenamiento del objeto S3 afectado, los detalles también pueden incluir la ubicación de hasta 15 apariciones de los datos confidenciales que Macie encontró. Para informar sobre los datos de ubicación, los resultados del descubrimiento de datos confidenciales utilizan un [esquema JSON estandarizado](findings-locate-sd-schema.md).
Los resultados de datos confidenciales no incluyen los datos confidenciales que encontró Macie. En cambio, proporciona información que puede utilizar para investigar y corregir más a fondo, según sea necesario.
Macie almacena los resultados de datos confidenciales durante 90 días. Puede acceder a ellos mediante la consola de Amazon Macie o la API de Amazon Macie. Puede también supervisarlos y procesarlos mediante otras aplicaciones, servicios y sistemas. Para obtener más información, consulte [Revisión y análisis de resultados](findings.md).
**Resultado de la detección de datos confidenciales**
Este es un registro de detalles sobre el análisis de un objeto de S3. Macie crea automáticamente un resultado de detección de datos confidenciales para cada objeto que usted configure de un trabajo para analizar. Esto incluye objetos en los que Macie no encuentra datos confidenciales y, por lo tanto, no produce datos confidenciales y objetos que Macie no puede analizar debido a errores o problemas como la configuración de permisos o el uso de un archivo o formato de almacenamiento no compatible.
Si Macie encuentra datos confidenciales en un objeto de S3, el resultado de detección de datos confidenciales incluirá los datos del resultado correspondiente. También proporciona información adicional, como la ubicación de hasta 1000 apariciones de cada tipo de datos confidenciales que Macie encontró en el objeto. Por ejemplo:
+ El número de columna y fila de una celda o campo de un libro de Microsoft Excel, un archivo CSV o un archivo TSV
+ La ruta a un campo o matriz en un archivo JSON o líneas JSON
+ El número de línea de una línea de un archivo de texto no binario que no sea un archivo CSV, JSON, líneas JSON o TSV, por ejemplo, un archivo HTML, TXT o XML
+ El número de página de una página de un archivo en formato de documento portátil (PDF) de Adobe
+ El índice de registro y la ruta a un campo de un registro en un contenedor de objetos de Apache Avro o un archivo de Apache Parquet
Si el objeto de S3 afectado es un archivo de almacenamiento, como un archivo .tar o .zip, el resultado de la detección de datos confidenciales también proporciona datos de ubicación detallados para la aparición de datos confidenciales en archivos individuales que Macie haya extraído del archivo. Macie no incluye esta información en los resultados de datos confidenciales para los archivos archivados. Para informar sobre los datos de ubicación, los resultados de la detección de datos confidenciales utilizan un [esquema JSON estandarizado](findings-locate-sd-schema.md).
Un resultado de detección de datos confidenciales no incluye los datos confidenciales que encontró Macie. En cambio, le proporciona un registro de análisis que puede resultar útil para auditorías o investigaciones sobre la privacidad y la protección de los datos.
Macie almacena los resultados de la detección de datos confidenciales durante 90 días. No puede acceder a ellos directamente en la consola de Amazon Macie ni con la API de Amazon Macie. En cambio, usted configura Macie para que los cifre y almacene en un bucket de S3. El bucket puede servir como un repositorio definitivo y a largo plazo para todos sus resultados de detección de datos confidenciales. A continuación, si lo desea, puede acceder a los resultados de ese repositorio y consultarlos. Para obtener información sobre cómo configurar estos ajustes, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md).
Tras configurar los ajustes, Macie graba los resultados de detección de datos confidenciales en archivos líneas JSON (.jsonl), los cifra y los añade al bucket de S3 como archivos GNU Zip (.gz). Para ayudarle a navegar hasta los resultados, la consola de Amazon Macie proporciona conexiones a los mismos.
Tanto los resultados de datos confidenciales como los de detección de datos confidenciales siguen esquemas estandarizados. De forma opcional, esto puede ayudarle a consultarlos, supervisarlos y procesarlos mediante otras aplicaciones, servicios y sistemas.
**Consejos**
Para ver un ejemplo detallado e instructivo de cómo puede consultar y utilizar los resultados del descubrimiento de datos confidenciales para analizar e informar sobre los posibles riesgos de seguridad de los datos, consulte la siguiente entrada del blog de *AWS seguridad*: [Cómo consultar y visualizar los resultados del descubrimiento de datos confidenciales de Macie con Amazon Athena y Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick.
Para ver ejemplos de consultas de Amazon Athena que puede utilizar para analizar los resultados del descubrimiento de datos confidenciales, visite el repositorio de [Amazon Macie Results](https://github.com/aws-samples/amazon-macie-results-analytics) Analytics en. GitHub Este repositorio también proporciona instrucciones para configurar Athena para recuperar y descifrar los resultados, y scripts para crear tablas para los resultados.
## Revisión de las estadísticas y los resultados de un trabajo de detección de datos confidenciales
Para revisar las estadísticas y los resultados de un trabajo de detección de datos confidenciales, puede utilizar la consola de Amazon Macie o la API de Amazon Macie. Siga estos pasos para revisar las estadísticas y los resultados mediante la consola.
Para acceder a las estadísticas de procesamiento de un trabajo mediante programación, utilice el [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)funcionamiento de la API Amazon Macie. Para acceder mediante programación a los resultados generados por un trabajo, utilice la [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operación y especifique el identificador único del trabajo en una condición de filtrado para el campo. `classificationDetails.jobId` Para aprender a hacerlo, consulte [Creación y aplicación de filtros a los resultados de Macie](findings-filter-procedure.md). A continuación, puede utilizar la [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)operación para recuperar los detalles de los hallazgos.
**Revisión de estadísticas y resultados de un trabajo**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Trabajos**.
1. En la página **Trabajos**, elija el nombre del trabajo cuyas estadísticas y resultados desee revisar. El panel de detalles muestra las estadísticas, la configuración y otra información sobre el trabajo.
1. En la página de detalles, realice alguna de las siguientes acciones:
+ Para revisar las estadísticas de procesamiento del trabajo, consulte la sección **Estadísticas** del panel. En esta sección se muestran estadísticas como el número de veces que se ha ejecutado el trabajo y el número aproximado de objetos que el trabajo aún no ha procesado durante su ejecución actual.
+ Para revisar los eventos de registro del trabajo, seleccione **Mostrar resultados** en la parte superior del panel y, a continuación, elija **Mostrar CloudWatch registros**. Macie abre la CloudWatch consola de Amazon y muestra una tabla con los eventos de registro que Macie publicó para el trabajo.
+ Para revisar todos los datos confidenciales encontrados en el trabajo, seleccione **Mostrar resultados** en la parte superior del panel y, a continuación, elija **Mostrar resultados.** Macie abre la página de **Resultados** y muestra todos los resultados del trabajo. Para consultar los detalles de un resultado, elija el resultado y consulte el panel de detalles.
**sugerencia**
En el panel de detalles de búsqueda, puede utilizar la conexión del campo **Ubicación detallada del resultado** para navegar hasta el resultado de detección de datos confidenciales correspondiente en Amazon S3:
Si el resultado se refiere a un archivo comprimido o a un archivo comprimido de gran tamaño, la conexión muestra la carpeta que contiene los resultados de detección del archivo. Un archivo comprimido o comprimido es *grande* si genera más de 100 resultados de detección.
Si el resultado se refiere a un archivo pequeño o a un archivo comprimido, la conexión muestra el archivo que contiene los resultados de detección del archivo. Un archivo o archivo comprimido es *pequeño* si genera 100 o menos resultados de detección.
Si el resultado se refiere a otro tipo de archivo, la conexión muestra el archivo que contiene los resultados de detección del archivo.
+ Para revisar todos los datos confidenciales encontrados en el trabajo, elija **Mostrar resultados** en la parte superior del panel y, a continuación, elija **Mostrar resultados.** Macie abre la consola de Amazon S3 y muestra la carpeta que contiene todos los resultados de detección. Esta opción solo está disponible tras configurar Macie para [almacenar los resultados de detección de datos confidenciales](discovery-results-repository-s3.md) en un bucket de S3.
# Administración de trabajos de detección de datos confidenciales
Para ayudarle a gestionar sus trabajos de descubrimiento de datos confidenciales, Amazon Macie mantiene un inventario completo de sus trabajos en cada uno de ellos. Región de AWS Con este inventario, puede administrar sus trabajos como una única colección y acceder a los ajustes de configuración, las estadísticas de procesamiento y el estado de trabajos individuales.
Por ejemplo, puede identificar todos los trabajos que configuró para que se ejecutaran de forma periódica para su análisis, evaluación y supervisión periódicos. También puede revisar un desglose de los ajustes de configuración de un trabajo. Esto incluye la configuración que define el alcance del análisis. También incluye aquellos ajustes que especifiquen los tipos de datos confidenciales que desea que Macie detecte y notifique cuando se ejecute el trabajo. Si utiliza la consola de Amazon Macie para administrar sus trabajos, los detalles de cada trabajo también proporcionan acceso directo a [los resultados de datos confidenciales y a otros resultados](discovery-jobs-manage-results.md) que haya generado el trabajo.
Además de estas tareas, puede crear variaciones personalizadas de trabajos individuales. Puede copiar un trabajo existente, ajustar la configuración de la copia y, a continuación, guardar la copia como un trabajo nuevo. Esto puede ser útil en los casos en los que desee analizar diferentes conjuntos de datos de la misma manera, o el mismo conjunto de datos de diferentes maneras. También puede resultar útil en caso de que desee ajustar los ajustes de configuración de un trabajo existente: cancele el trabajo existente, cópielo y, a continuación, ajuste y guarde la copia como un nuevo trabajo.
**Topics**
+ [Evaluación del inventario de trabajos](discovery-jobs-manage-view.md)
+ [Revisión de los ajustes de configuración de un trabajo](discovery-jobs-manage-settings.md)
+ [Comprobación del estado de un trabajo](discovery-jobs-status-check.md)
+ [Cambio del estado de un trabajo](discovery-jobs-status-change.md)
+ [Copia de un trabajo](discovery-jobs-manage-copy.md)
# Evaluación del inventario de trabajos de detección de datos confidenciales
En la consola Amazon Macie, puede revisar un inventario completo de sus trabajos de descubrimiento de datos confidenciales en la actualidad. Región de AWS El inventario proporciona tanto información resumida de todos sus trabajos como detalles sobre los trabajos individuales. La información resumida incluye: el estado actual de cada trabajo, si un trabajo se ejecuta de forma programada o periódica y si un trabajo está configurado para analizar objetos en buckets de Amazon Simple Storage Service (Amazon S3) específicos o en buckets de S3 que coincidan con los criterios del tiempo de ejecución. Para trabajos individuales, también puede acceder a detalles como un desglose de los ajustes de configuración del trabajo. Si un trabajo ya se ha ejecutado, los detalles también proporcionan acceso directo a los datos confidenciales, a los resultados y a otros tipos de resultados obtenidos por el trabajo.
**Revisión del inventario de trabajos**
Siga estos pasos para revisar su inventario de trabajos mediante la consola de Amazon Macie. Para acceder a su inventario mediante programación, utilice el [ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html)funcionamiento de la API Amazon Macie.
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Trabajos**. Se abre la página **Trabajos** y muestra el número de trabajos de su inventario y una tabla de dichos trabajos.
1. En la parte superior de la página, elija opcionalmente actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) para recuperar el estado actual de cada trabajo.
1. En la tabla **Trabajos**, revise la información resumida de sus trabajos:
+ **Nombre del trabajo**: el nombre del trabajo.
+ **Recursos**: si el trabajo está configurado para analizar objetos en buckets de S3 específicos o en buckets que cumplan los criterios del tiempo de ejecución. Si seleccionó de forma explícita los buckets para el trabajo que desee analizar, este campo indica el número de buckets que haya seleccionado. Si configuró el trabajo para usar criterios de tiempo de ejecución, el valor de este campo es **Basado en criterios**.
+ **Tipo de trabajo**: si el trabajo está configurado para ejecutarse una vez (**Única vez**) o de forma programada y periódica (**Programado**).
+ **Estado**: el estado actual del trabajo. Para obtener más información sobre este valor, consulte [Comprobación del estado de un trabajo ](discovery-jobs-status-check.md).
+ **Creado a las**: cuándo se creó el trabajo.
1. Para analizar su inventario o encontrar un trabajo específico con mayor rapidez, realice alguna de las siguientes acciones:
+ Para ordenar la tabla por un campo específico, seleccione el encabezado de la columna del campo. Para cambiar el orden de clasificación, vuelva a seleccionar el encabezado de la columna.
+ Para mostrar solo los trabajos que tengan un valor específico para un campo, coloque el cursor en el cuadro de filtro. En el menú que aparece, seleccione el campo que desea utilizar para el filtro e introduzca el valor del filtro. A continuación, elija **Aplicar**.
+ Para ocultar los trabajos que tienen un valor específico para un campo, coloque el cursor en el cuadro de filtro. En el menú que aparece, seleccione el campo que desea utilizar para el filtro e introduzca el valor del filtro. A continuación, elija **Aplicar**. En el cuadro de filtro, seleccione el icono de igual (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-operator-equals.png)) para el filtro. Esto cambia el operador del filtro de *igual* a *no igual* (![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-operator-not-equals.png)).
+ Para eliminar un filtro, seleccione el icono de eliminar filtro (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-filter-remove.png)) del filtro que desee eliminar.
1. Para revisar la configuración y los detalles adicionales de un trabajo en particular, elija el nombre del trabajo. A continuación, consulte el panel de detalles. Para obtener información acerca de estos detalles, consulte [Revisión de los ajustes de configuración de un trabajo](discovery-jobs-manage-settings.md).
# Revisión de la configuración de un trabajo de detección de datos confidenciales
En la consola de Amazon Macie, puede utilizar el panel de detalles de la página **Trabajos** para revisar los ajustes de configuración y otra información sobre trabajos individuales de detección de datos confidenciales. Por ejemplo, puede revisar una lista de los buckets de Amazon Simple Storage Service (Amazon S3) para los que exista un trabajo de análisis configurado. También puede determinar qué identificadores de datos administrados y personalizados está configurado para usar un trabajo al analizar los objetos de esos depósitos.
Tenga en cuenta que no puede cambiar ningún ajuste de configuración de un trabajo existente. Esto ayuda a garantizar que tiene un historial inmutable de resultados de datos confidenciales y resultados de detección para las auditorías o investigaciones de privacidad y protección de datos que lleve a cabo.
Si desea cambiar un trabajo existente, puede [cancelar el trabajo](discovery-jobs-status-change.md). A continuación, [copie el trabajo](discovery-jobs-manage-copy.md), configure la copia para que utilice los ajustes que desee y guarde la copia como un nuevo trabajo. Si hace esto, también debe tomar medidas para asegurarse de que el nuevo trabajo no vuelva a analizar los datos existentes de la misma manera. Para ello, anote la fecha y la hora en que canceló el trabajo existente. A continuación, configure el ámbito del nuevo trabajo para que solo incluya los objetos que se creen o modifiquen después de cancelar el trabajo original. Por ejemplo, puede utilizar los [criterios de objeto](discovery-jobs-scope.md#discovery-jobs-scope-criteria) para definir una condición de exclusión que especifique cuándo se canceló el trabajo original.
**Revisión de los ajustes de configuración de un trabajo**
Siga estos pasos para revisar los ajustes de configuración de un trabajo mediante la consola de Amazon Macie. Para revisar la configuración mediante programación, utilice el [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)funcionamiento de la API Amazon Macie.
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Trabajos**. Se abre la página **Trabajos** y muestra el número de trabajos de su inventario y una tabla de dichos trabajos.
1. En la tabla **Trabajos**, seleccione el nombre del trabajo cuya configuración desee revisar. Para encontrar el trabajo con mayor rapidez, puede filtrar la tabla mediante las opciones de filtro de su parte superior. También puede ordenar la tabla de manera ascendente o descendente por ciertos campos.
Al seleccionar un trabajo en la tabla, el panel de detalles muestra los ajustes de configuración y otra información sobre el trabajo. Dependiendo de la configuración del trabajo, el panel contiene las siguientes secciones.
**Información general**
En esta sección se proporciona información general sobre el trabajo. Por ejemplo, el nombre de recurso de Amazon (ARN) del trabajo, cuándo comenzó a ejecutarse el trabajo más recientemente y el estado actual del trabajo. Si ha puesto en pausa el trabajo, en esta sección también se indica cuándo se pausó el trabajo y cuándo el trabajo o la última ejecución del trabajo expiró o expirará si no lo reanuda.
**Estadísticas**
En esta sección se muestran las estadísticas de procesamiento del trabajo. Por ejemplo, especifica el número de veces que se ha ejecutado el trabajo y el número aproximado de objetos de S3 que el trabajo aún no ha procesado durante su ejecución actual.
**Alcance**
En esta sección se indica la frecuencia con la que se ejecuta el trabajo. También muestra los ajustes que precisan el alcance del trabajo, por ejemplo, la [profundidad de muestreo](discovery-jobs-scope.md#discovery-jobs-scope-sampling) y cualquier [criterio de objeto](discovery-jobs-scope.md#discovery-jobs-scope-criteria) que incluya o excluya objetos de S3 del análisis.
**Buckets de S3**
Esta sección aparece en el panel si el trabajo está configurado para analizar los buckets que seleccionó explícitamente al crear el trabajo. Indica el número de unidades para las Cuentas de AWS que está configurado el trabajo para analizar los datos. También indica el número de buckets que el trabajo está configurado para analizar y los nombres de esos buckets (agrupados por cuenta).
Para mostrar la lista completa de cuentas y buckets en formato JSON, seleccione el número en el campo **Total de buckets**.
**Criterios de buckets de S3**
Esta sección aparece en el panel si el trabajo utiliza criterios de tiempo de ejecución para determinar qué buckets analizar. Enumera los criterios que el trabajo está configurado para utilizar. Para mostrar los criterios en formato JSON, elija **Detalles**. A continuación, selecciona la pestaña **Criterios** en la ventana que aparece.
Para revisar una lista de grupos que cumplen actualmente con los criterios, seleccione **Detalles**. A continuación, selecciona la pestaña **Cubetas coincidentes** en la ventana que aparece. Si lo desea, seleccione Actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) para recuperar los datos más recientes. La pestaña muestra hasta 25 cubos que actualmente cumplen los criterios.
Si el trabajo ya se ha ejecutado, también puede determinar si alguno de los buckets coincidía con los criterios cuando se ejecutó el trabajo y, en caso afirmativo, los nombres de dichos buckets. Para ello, revise los eventos del registro del trabajo: seleccione **Mostrar resultados** en la parte superior del panel y, a continuación, elija **Mostrar CloudWatch registros**. Macie abre la CloudWatch consola de Amazon y muestra una tabla de eventos de registro del trabajo. Los eventos incluyen un `BUCKET_MATCHED_THE_CRITERIA` evento para cada bucket que coincida con los criterios y se haya incluido en el análisis del trabajo. Para obtener más información, consulte [Supervisión de trabajos con CloudWatch registros](discovery-jobs-monitor-cw-logs.md).
**Identificadores de datos personalizados**
Esta sección aparece en el panel si el trabajo está configurado para utilizar uno o varios [identificadores de datos personalizados](custom-data-identifiers.md). Especifica los nombres de esos identificadores de datos personalizados.
**Listas de permitidos**
Esta sección aparece en el panel si el trabajo está configurado para utilizar una o varias [listas de permitidos](allow-lists.md). Especifica los nombres de esas listas. Para revisar la configuración y el estado de una lista, seleccione el icono de conexión (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-view-resource-blue.png)) junto al nombre de la lista.
**Identificadores de datos administrados**
En esta sección se indican los [identificadores de datos administrados](managed-data-identifiers.md) que el trabajo está configurado para utilizar. Esto viene determinado por el tipo de selección de identificadores de datos administrados para el trabajo:
+ **Recomendado**: utilice los identificadores de datos administrados que se encuentran en el [conjunto recomendado](discovery-jobs-mdis-recommended.md) cuando se ejecute el trabajo.
+ **Incluir seleccionados**: utilice solo los identificadores de datos administrados que aparecen en la sección **Selecciones**.
+ **Incluir todo**: utilice todos los identificadores de datos administrados que estén disponibles cuando se ejecute el trabajo.
+ **Excluir seleccionados**: utilice todos los identificadores de datos administrados que estén disponibles cuando se ejecute el trabajo, excepto los que aparezcan en la sección **Selecciones**.
+ **Excluir todo**: no utilice ningún identificador de datos administrados. Utilice solo los identificadores de datos personalizados especificados.
Para revisar estos ajustes en formato JSON, seleccione **Detalles**.
**Etiquetas**
Esta sección aparece en el panel si hay etiquetas asignadas al trabajo. Enumera dichas etiquetas. Una *etiqueta* es una etiqueta que se define y se asigna a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Para obtener más información, consulte [Etiquetado de recursos de Macie](tagging-resources.md).
Para revisar y guardar la configuración del trabajo en formato JSON, seleccione el identificador único del trabajo (**ID del trabajo**) en la parte superior del panel. A continuación, seleccione **Descargar**.
# Comprobación del estado de un trabajo de detección de datos confidenciales
Cuando se crea un trabajo de detección de datos confidenciales, su estado inicial es **Activo (en ejecución)** o **Activo (en reposo)**, en función del tipo de trabajo y de la programación. A continuación, la tarea pasa por otros estados, que puede supervisar a medida que avanza.
**sugerencia**
Además de supervisar el estado general de un trabajo, puede supervisar eventos específicos que se producen a medida que avanza un trabajo. Para ello, utilice los datos de registro que Amazon Macie publica automáticamente en Amazon CloudWatch Logs. Los datos de proporcionan un registro de cambios del estado de un trabajo y detalles sobre cualquier error a nivel de cuenta o de bucket que se haya producido durante la ejecución del trabajo. Para obtener más información, consulte [Supervisión de trabajos con CloudWatch registros](discovery-jobs-monitor-cw-logs.md).
**Para comprobar el estado de un trabajo**
Siga estos pasos para comprobar el estado de un trabajo mediante la consola de Amazon Macie. Para comprobar el estado de un trabajo mediante programación, utilice el [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)funcionamiento de la API Amazon Macie.
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Trabajos**. Se abre la página **Trabajos** y muestra el número de trabajos de su inventario y una tabla de dichos trabajos.
1. En la parte superior de la página, elija actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) para recuperar el estado actual de cada trabajo.
1. En la tabla **Trabajos**, localice el trabajo cuyo estado desee comprobar. Para encontrar el trabajo con mayor rapidez, puede filtrar la tabla mediante las opciones de filtro de su parte superior. También puede ordenar la tabla de manera ascendente o descendente por ciertos campos.
1. Consulte el campo **Estado** de la tabla. Este campo indica el estado actual del trabajo.
El estado de un trabajo puede ser uno de los siguientes.
**Activo (en reposo)**
En el caso de un trabajo periódico, la ejecución anterior se ha completado y la siguiente ejecución programada está pendiente. Este valor no se aplica a los trabajos que se realizan una sola vez.
**Activo (en ejecución)**
Si es un trabajo único, está en curso. En el caso de un trabajo periódico, hay una ejecución programada en curso.
**Cancelado**
Cualquier tipo de trabajo, que se ha detenido permanentemente (cancelado).
Un trabajo tiene este estado si lo ha cancelado de forma explícita o, si es un trabajo único, lo pausó y no lo ha reanudado en un plazo de 30 días. Un trabajo también puede tener este estado si anteriormente [suspendiste a Macie](suspend-macie.md) en el momento actual. Región de AWS
**Completado**
En el caso de un trabajo único, se ejecutó correctamente y ahora está completo. Este valor no se aplica a los trabajos periódicos. En cambio, el estado de un trabajo periódico cambia a **Activo (en reposo)** cuando cada ejecución se completa correctamente.
**En pausa (por Macie)**
Cualquier tipo de trabajo que Macie ha detenido temporalmente (lo puso en pausa).
Un trabajo tiene este estado si al completarlo o ejecutarlo se supera la [cuota de detección de datos confidenciales](macie-quotas.md) mensual de su cuenta. Cuando esto ocurre, Macie detiene automáticamente el trabajo. Macie lo reanuda automáticamente cuando comience el siguiente mes natural y se restablezca la cuota mensual de su cuenta o usted aumente la cuota de su cuenta.
Si administra Macie en una organización y ha configurado la tarea para analizar los datos de las cuentas de los miembros, la tarea también puede tener este estado si la finalización o ejecución de una tarea supera la cuota mensual de detección de datos confidenciales de la cuenta de un miembro.
Si se está ejecutando un trabajo y el análisis de los objetos aptos alcanza esta cuota para una cuenta de miembro, el trabajo deja de analizar los objetos que son propiedad de la cuenta. Cuando el trabajo termina de analizar los objetos de todas las demás cuentas que no han alcanzado la cuota, Macie detiene automáticamente el trabajo. Si se trata de un trabajo único, Macie reanudará automáticamente el trabajo cuando comience el siguiente mes natural o se aumente la cuota para todas las cuentas afectadas, lo que ocurra primero. Si se trata de un trabajo periódico, Macie lo reanudará automáticamente cuando esté previsto que comience la siguiente ejecución o cuando comience el siguiente mes natural, lo que ocurra primero. Si una ejecución programada comienza antes de que comience el siguiente mes natural o si se aumenta la cuota para una cuenta afectada, el trabajo no analiza los objetos que son propiedad de la cuenta.
**En pausa (por usuario)**
Cualquier tipo de trabajo que ha detenido temporalmente (lo puso en pausa).
Si pausa un trabajo único y no lo reanuda en 30 días, el trabajo vence y Macie lo cancela. Si pausa un trabajo periódico mientras está en ejecución activa y no lo reanuda en 30 días, la ejecución de la tarea caducará y Macie la cancelará. Para comprobar la fecha de caducidad de un trabajo o ejecución de un trabajo pausado, elija el nombre del trabajo en la tabla y, a continuación, consulte el campo **Vencimiento** en la sección del panel **Detalles de estado**.
Si un trabajo está cancelado o en pausa, puede consultar los detalles del trabajo para determinar si el trabajo comenzó a ejecutarse o, en el caso de un trabajo periódico, se ejecutó al menos una vez antes de cancelarse o pausarse. Para ello, elija el nombre del trabajo en la tabla **Trabajos** y, a continuación, consulte el panel de detalles. En el panel, el campo **Número de ejecuciones** indica el número de veces que se ha ejecutado el trabajo. El campo **Última hora de ejecución** indica la fecha y hora más recientes en las que el trabajo comenzó a ejecutarse.
Según el estado actual del trabajo, si lo desea, puede pausarlo, reanudarlo o cancelarlo. Para obtener más información, consulte [Cambio del estado de un trabajo](discovery-jobs-status-change.md).
# Cambio del estado de un trabajo de detección de datos confidenciales
Después de crear un trabajo de detección de datos confidenciales, puede pausarlo temporalmente o cancelarlo permanentemente. Cuando pausa un trabajo que se esté ejecutando activamente, Amazon Macie comienza inmediatamente a pausar todas las tareas de procesamiento del trabajo. Cuando cancela un trabajo que se está ejecutando activamente, Macie comienza inmediatamente a detener todas las tareas de procesamiento del trabajo. No puede reanudar ni reiniciar un trabajo después de cancelarse.
Si pausa un trabajo único, puede reanudarlo en un plazo de 30 días. Cuando reanuda el trabajo, Macie reanuda inmediatamente el procesamiento desde el punto en el que lo pausó. Macie no reinicia el trabajo desde el principio. Si no reanuda un trabajo único después de 30 días de haberlo puesto en pausa, el trabajo vence y Macie lo cancela.
Si pausa un trabajo periódico, puede reanudarlo en cualquier momento. Si reanuda un trabajo periódico y estaba en reposo cuando lo puso en pausa, Macie lo reanudará según la programación y los otros ajustes de configuración que eligió al crear el trabajo. Si reanuda un trabajo periódico y se estaba ejecutando activamente, la forma en que Macie reanude el trabajo depende del momento:
+ Si reanuda el trabajo antes de que pasen 30 días desde el momento de ponerlo en pausa, Macie reanuda inmediatamente la última ejecución programada desde el punto en el que lo pausó. Macie no ejecuta el trabajo desde el principio.
+ Si no reanuda el trabajo en un plazo de 30 días a partir de la pausa, la última ejecución programada caducará y Macie cancelará todas las tareas de procesamiento restantes de la ejecución. Cuando posteriormente reanuda el trabajo, Macie lo reanudará según la programación y los otros ajustes de configuración que eligió al crear el trabajo.
Para ayudarle a determinar cuándo caducará un trabajo en pausa o en ejecución, Macie añade una fecha de caducidad a los detalles del trabajo mientras está en pausa. Además, le notificamos aproximadamente siete días antes de que caduque el trabajo o la ejecución. Le notificaremos de nuevo cuando el trabajo o la ejecución caduque y se cancele. Para notificárselo, le enviamos un correo electrónico a la dirección asociada a su Cuenta de AWS dirección. También creamos AWS Health eventos y Amazon CloudWatch Events para tu cuenta. Para comprobar la fecha de caducidad mediante la consola, seleccione el nombre del trabajo en la tabla de la página **Trabajos**. A continuación, consulte el campo **Vencimiento** en la sección **Detalles del estado** del panel de detalles. Para comprobar la fecha mediante programación, utilice el [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)funcionamiento de la API Amazon Macie.
**Pausa, reanudación o cancelación de un trabajo**
Para pausar, reanudar o cancelar un trabajo mediante la consola de Amazon Macie, siga estos pasos. Para hacerlo mediante programación, utilice la [UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)operación de la API Amazon Macie.
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Trabajos**. Se abre la página **Trabajos** y muestra el número de trabajos de su inventario y una tabla de dichos trabajos.
1. En la parte superior de la página, elija actualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/btn-refresh-data.png)) para recuperar el estado actual de cada trabajo.
1. En la tabla de **trabajos**, seleccione la casilla de verificación del trabajo que desee pausar, reanudar o cancelar. Para encontrar el trabajo con mayor rapidez, puede filtrar la tabla mediante las opciones de filtro de su parte superior. También puede ordenar la tabla de manera ascendente o descendente por ciertos campos.
1. En el menú **Acciones**, elija una de las opciones siguientes:
+ Para pausar el trabajo temporalmente, seleccione **Pausar**. Esta opción solo está disponible si el estado actual del trabajo es **Activo (en reposo)**, **Activo (en ejecución)** o **En pausa (por Macie)**.
+ Para reanudar el trabajo, seleccione **Reanudar**. Esta opción solo está disponible si el estado actual del trabajo es **En pausa (por usuario)**.
+ Para cancelar el trabajo permanentemente, elija **Cancelar**. Si elige esta opción, no podrá reanudar ni reiniciar el trabajo posteriormente.
# Copia de un trabajo de detección de datos confidenciales
Para crear rápidamente un trabajo de detección de datos confidenciales similar a uno existente, puede crear una copia del trabajo existente. A continuación, puede editar la configuración de la copia y guardar la copia como un trabajo nuevo. Esto puede ser útil en los casos en los que desee analizar diferentes conjuntos de datos de la misma manera, o el mismo conjunto de datos de diferentes maneras. También puede resultar útil en caso de que desee ajustar los ajustes de configuración de un trabajo existente: cancele el trabajo existente, cópielo y, a continuación, ajuste y guarde la copia como un nuevo trabajo.
**Copia de un trabajo**
Siga estos pasos para copiar un trabajo mediante la consola de Amazon Macie. Para copiar un trabajo mediante programación, utilice la [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)operación de la API de Amazon Macie para recuperar los ajustes de configuración del trabajo que desee copiar. A continuación, utilice la [CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html)operación para crear una copia del trabajo.
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, seleccione **Trabajos**. Se abre la página **Trabajos** y muestra el número de trabajos de su inventario y una tabla de dichos trabajos.
1. En la tabla de **trabajos**, seleccione la casilla de verificación del trabajo que desee copiar. Para encontrar el trabajo con mayor rapidez, puede filtrar la tabla mediante las opciones de filtro de su parte superior. También puede ordenar la tabla de manera ascendente o descendente por ciertos campos.
1. En el menú **Acciones**, elija **Copiar en uno nuevo**.
1. Siga los pasos de la consola para revisar y ajustar la configuración de la copia del trabajo. Para el paso **Ajustar el ámbito**, considere la posibilidad de elegir opciones que impidan que el trabajo vuelva a analizar los datos existentes de la misma manera:
+ Para un trabajo único, utilice [criterios de objeto](discovery-jobs-scope.md#discovery-jobs-scope-criteria) para incluir solo los objetos que se hayan creado o modificado después de un tiempo determinado. Por ejemplo, si va a crear la copia de un trabajo que ha cancelado, añada una condición de **última modificación** que especifique la fecha y la hora en que canceló el trabajo existente.
+ Para un trabajo periódico, desactive la casilla de verificación **Incluir objetos existentes**. Si hace esto, la primera ejecución del trabajo analiza solo los objetos que se crean o se modifican después de la creación del trabajo y antes de su primera ejecución. También puede utilizar [criterios de objeto](discovery-jobs-scope.md#discovery-jobs-scope-criteria) para excluir los objetos que se modificaron por última vez antes de una fecha y hora determinadas.
Para obtener más información sobre este y otros pasos, consulte [Creación de un trabajo de detección de datos confidenciales](discovery-jobs-create.md).
1. Cuando termine, seleccione **Enviar** para guardar la copia como un trabajo nuevo.
Si ha configurado el trabajo para que se ejecute una vez, diariamente o en el día actual de la semana o el mes, Macie comienza inmediatamente a ejecutar el trabajo. De lo contrario, Macie se prepara para ejecutar el trabajo el día especificado de la semana o el mes. Para supervisar el trabajo, puede [comprobar el estado del trabajo](discovery-jobs-status-check.md).
# Supervisión de trabajos de descubrimiento de datos confidenciales con CloudWatch registros
Además de [supervisar el estado general](discovery-jobs-status-check.md) de un trabajo de detección de datos confidenciales, puede supervisar y analizar eventos específicos que se produzcan a medida que avance un trabajo. Para ello, puede utilizar datos de registro prácticamente en tiempo real que Amazon Macie publica automáticamente en Amazon CloudWatch Logs. Los datos de estos registros proporcionan un historial de los cambios en el progreso o el estado de un trabajo. Por ejemplo, puede usar los datos para determinar la fecha y la hora exactas en que un trabajo comenzó a ejecutarse, se detuvo o terminó de ejecutarse.
Los datos de registro también proporcionan detalles sobre cualquier error de cuenta o de bucket que se produzca durante la ejecución de un trabajo. Por ejemplo, Macie registra un evento si la configuración de permisos de un bucket de Amazon Simple Storage Service (Amazon S3) impide que un trabajo analice los objetos del bucket. El evento indica cuándo se produjo el error e identifica el depósito afectado y el Cuenta de AWS propietario del depósito. Los datos de este tipo de eventos pueden ayudarle a identificar, investigar y abordar los errores que impiden que Macie analice los datos que desea.
Con Amazon CloudWatch Logs, puede supervisar, almacenar y acceder a los archivos de registro de varios sistemas y aplicaciones Servicios de AWS, incluido Macie. También puede consultar y analizar los datos de registro y configurar los CloudWatch registros para que le notifiquen cuando se produzcan determinados eventos o se alcancen los umbrales. CloudWatch Logs también ofrece funciones para archivar los datos de registro y exportarlos a Amazon S3. Para obtener más información sobre CloudWatch Logs, consulta la [Guía del usuario de Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
**Topics**
+ [Cómo funciona el registro para los trabajos](discovery-jobs-monitor-cw-logs-configure.md)
+ [Revisión de registros para trabajos](discovery-jobs-monitor-cw-logs-review.md)
+ [Comprensión de los eventos de registro para trabajos](discovery-jobs-monitor-cw-logs-ref.md)
# Cómo funciona el registro para trabajos de detección de datos confidenciales
Cuando comienza a ejecutar trabajos de descubrimiento de datos confidenciales, Amazon Macie crea y configura automáticamente los recursos adecuados en Amazon CloudWatch Logs para registrar los eventos de todos sus trabajos. A continuación, Macie publica automáticamente los datos de los eventos en esos recursos cuando se ejecutan sus trabajos. La política de permisos del [rol vinculado al servicio](service-linked-roles.md) de Macie para su cuenta permite a Macie realizar estas tareas en su nombre. No necesita tomar ninguna medida para crear o configurar recursos en CloudWatch Logs a fin de registrar los datos de eventos de sus trabajos.
En CloudWatch los registros, los registros se organizan en *grupos de registros*. Cada grupo de registros contiene *flujos de registros*. Cada flujo de registro contiene *eventos de registro*. El propósito general de cada uno de estos recursos es el siguiente:
+ Un *grupo de registro* es un conjunto de flujos de registro que comparten la misma configuración de retención, supervisión y control de acceso; por ejemplo, la recopilación de registros para todos sus trabajos de detección de datos confidenciales.
+ Un *flujo de registro* es una secuencia de eventos de registro que comparten el mismo origen, por ejemplo, un trabajo de detección de datos confidenciales individual.
+ Un *evento de registro* es un registro de una actividad registrada por una aplicación o un recurso, por ejemplo, un evento individual que Macie registró y publicó para un trabajo concreto de detección de datos confidenciales.
Macie publica los eventos de todos sus trabajos de detección de datos confidenciales en un grupo de registro. Cada trabajo tiene un flujo de registro único en ese grupo de registro. El grupo de registro tiene el prefijo y el nombre siguientes:
`/aws/macie/classificationjobs`
Si este grupo de registro ya existe, Macie lo utiliza para almacenar los eventos de registro de sus trabajos. Esto puede resultar útil si su organización utiliza la configuración automática, como [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html), para crear grupos de registro con periodos de retención, configuración de cifrado, etiquetas, filtros de métricas y otros valores predefinidos para eventos de trabajo.
Si este grupo de registros no existe, Macie lo crea con la configuración predeterminada que CloudWatch Logs utiliza para los nuevos grupos de registros. La configuración incluye un período de retención de registros de **nunca caducar**, lo que significa que CloudWatch Logs almacena los registros de forma indefinida. Puede cambiar el periodo de retención de ese grupo de registro. Para obtener información sobre cómo hacerlo, consulte [Trabajar con grupos de registros y transmisiones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) de * CloudWatch registros en la Guía del usuario de Amazon Logs*.
Dentro de este grupo de registro, Macie crea un flujo de registro único para cada trabajo que ejecute, la primera vez que se ejecute el trabajo. El nombre del flujo de registro es el identificador único del trabajo, por ejemplo `85a55dc0fa6ed0be5939d0408example`, en el siguiente formato.
`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`
Cada flujo de registro contiene todos los eventos de registro que Macie registró y publicó para el trabajo correspondiente. En el caso de los trabajos periódicos, eso incluye los eventos de todas las ejecuciones del trabajo. Si elimina el flujo de registro de un trabajo periódico, Macie volverá a crear el flujo la próxima vez que se ejecute el trabajo. Si elimina el flujo de registro de un trabajo único, no podrá restaurarlo.
Tenga en cuenta que el registro está habilitado de forma predeterminada para todos sus trabajos. No puedes desactivarlo ni impedir de ningún otro modo que Macie publique eventos de trabajo en CloudWatch Logs. Si no desea almacenar los registros, puede reducir el período de retención del grupo de registros a tan solo un día. Al final del período de retención, CloudWatch Logs elimina automáticamente los datos de eventos caducados del grupo de registros.
# Revisión de registros para trabajos de detección de datos confidenciales
Cuando comience a ejecutar tareas de descubrimiento de datos confidenciales en Amazon Macie, podrá revisar los registros de sus trabajos mediante Amazon CloudWatch Logs. CloudWatch Logs proporciona funciones diseñadas para ayudarlo a revisar, analizar y monitorear los datos de registro. Puede utilizar estas funciones para trabajar con los flujos de registro y los eventos de los trabajos del mismo modo que lo haría con cualquier otro tipo de datos de registro en CloudWatch los registros.
Por ejemplo, puede buscar y filtrar datos agregados para identificar tipos específicos de eventos que se produjeron en todos sus trabajos durante un intervalo de tiempo específico. O bien, puede realizar una revisión específica de todos los eventos que se produjeron en un trabajo concreto. CloudWatch Los registros también ofrecen opciones para monitorear los datos de registro, definir filtros de métricas y crear alarmas personalizadas.
**sugerencia**
Para navegar rápidamente a los datos de registro de un trabajo en particular, puede utilizar la consola Amazon Macie. Para ello, elija el nombre del trabajo en la página **Trabajos**. En la parte superior del panel de detalles, selecciona **Mostrar resultados** y, a continuación, selecciona **Mostrar CloudWatch registros**. Macie abre la CloudWatch consola de Amazon y muestra una tabla de eventos de registro del trabajo.
**Revisión de registros para trabajos de detección de datos confidenciales**
Sigue estos pasos para acceder a los datos de registro y revisarlos con la CloudWatch consola de Amazon. Para revisar los datos mediante programación, utilice la API de [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html).
1. Abra la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que ejecutó los trabajos cuyos registros desee revisar.
1. En el panel de navegación, elija **Registros** y, luego, **Grupos de registros**.
1. En la página **Grupos de registros**, elija el grupo de aws/macie/classificationjobs registros**/**. CloudWatch muestra una tabla de flujos de registro de los trabajos que ha ejecutado. Hay un flujo único para cada trabajo. El nombre de cada flujo se correlaciona con el identificador único de un trabajo.
1. En la pestaña **Flujos de registro**, realice una de las acciones siguientes:
+ Para revisar los eventos de registro de un trabajo en particular, elija el flujo de registro del trabajo. Para encontrar el flujo más fácilmente, introduzca el identificador único del trabajo en el cuadro de filtro situado encima de la tabla. Tras elegir el flujo de registro, CloudWatch muestra una tabla de eventos de registro del trabajo.
+ Para revisar los eventos de registro de todos sus trabajos, elija **Buscar en todos los flujos de registro**. CloudWatch muestra una tabla con los eventos de registro de todos sus trabajos.
1. (Opcional) En el cuadro de filtro situado encima de la tabla, introduzca términos, frases o valores que especifiquen las características de los eventos específicos que desee revisar. Para obtener más información, consulta [Buscar datos de registro mediante patrones de filtro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) en la *Guía del usuario de Amazon CloudWatch Logs*.
1. Para revisar los detalles de un evento de registro específico, seleccione expandir (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/icon-caret-right-filled.png)) en la fila del evento. CloudWatch muestra los detalles del evento en formato JSON. Para obtener más información sobre estos detalles, consulte [Comprensión de los eventos de registro para trabajos](discovery-jobs-monitor-cw-logs-ref.md).
A medida que se familiarice con los datos de los eventos de registro, podrá realizar tareas adicionales para agilizar el análisis y la supervisión de los datos. Por ejemplo, puede [crear filtros de métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) que conviertan los datos de registro en CloudWatch métricas numéricas. También puede [crear alarmas personalizadas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) que faciliten la identificación y la respuesta a eventos de registro específicos. Para obtener más información, consulta la [Guía del usuario CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
# Comprensión de los eventos de registro para trabajos de detección de datos confidenciales
Para ayudarle a supervisar sus trabajos de descubrimiento de datos confidenciales, Amazon Macie publica automáticamente los datos de registro de los trabajos en Amazon CloudWatch Logs. Los datos de estos registros proporcionan un historial de los cambios en el progreso o el estado de un trabajo. Por ejemplo, puede usar los datos para determinar la fecha y la hora exactas en que un trabajo comenzó a ejecutarse o terminó de ejecutarse. Los datos también proporcionan detalles sobre ciertos tipos de errores que pueden producirse durante la ejecución de un trabajo. Estos datos pueden ayudarle a identificar, investigar y abordar los errores que impiden que Macie analice los datos que desea.
Cuando comienza a ejecutar trabajos, Macie crea y configura automáticamente los recursos adecuados en CloudWatch Logs para registrar los eventos de todos sus trabajos. A continuación, Macie publica automáticamente los datos de los eventos en esos recursos cuando se ejecutan sus trabajos. Para obtener más información, consulte [Cómo funciona el registro para los trabajos](discovery-jobs-monitor-cw-logs-configure.md).
Al utilizar CloudWatch los registros, puede consultar y analizar los datos de registro de sus trabajos. Por ejemplo, puede buscar y filtrar datos agregados para identificar tipos específicos de eventos que se produjeron en todos sus trabajos durante un intervalo de tiempo específico. O bien, puede realizar una revisión específica de todos los eventos que se produjeron en un trabajo concreto. CloudWatch Los registros también ofrecen opciones para monitorear los datos de registro, definir filtros de métricas y crear alarmas personalizadas. Por ejemplo, puede configurar CloudWatch los registros para que le notifiquen si se produce un determinado tipo de evento durante la ejecución de sus trabajos. Para obtener más información, consulta la [Guía del usuario CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
**Contents**
+ [Esquema de eventos de registro para trabajos](#discovery-jobs-monitor-cw-logs-schema)
+ [Tipos de eventos de registro para trabajos](#discovery-jobs-monitor-cw-logs-event-index)
+ [Eventos de estado del trabajo](#discovery-jobs-monitor-cw-logs-event-index-status)
+ [Eventos de error a nivel de cuenta](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
+ [Eventos de error a nivel de bucket](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)
## Esquema de eventos de registro para trabajos de detección de datos confidenciales
Cada evento de registro de un trabajo de descubrimiento de datos confidenciales es un objeto JSON que contiene un conjunto estándar de campos y se ajusta al esquema de eventos de Amazon CloudWatch Logs. Algunos tipos de eventos tienen campos adicionales que proporcionan información que resulta especialmente útil para ese tipo de eventos. Por ejemplo, los eventos relacionados con errores de cuenta incluyen el identificador de cuenta de la Cuenta de AWS afectada. Los eventos de errores de bucket incluyen el nombre del bucket de Amazon Simple Storage Service (Amazon S3) afectado.
En el siguiente ejemplo se muestra el esquema de eventos de registro para trabajos de detección de datos confidenciales. En este ejemplo, el evento informa de que Amazon Macie no ha podido analizar ningún objeto de un bucket de S3 porque Amazon S3 ha denegado el acceso al bucket.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:08:30.345809Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
En el ejemplo anterior, Macie intentó enumerar los objetos del bucket mediante la operación [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) de la API Amazon S3. Cuando Macie envió la solicitud a Amazon S3, Amazon S3 denegó el acceso al bucket.
Los siguientes campos son comunes a todos los eventos de registro de los trabajos de detección de datos confidenciales:
+ `adminAccountId`: el identificador único de Cuenta de AWS que creó la tarea.
+ `jobId`: el identificador único del trabajo.
+ `eventType`: el tipo de evento que se produjo.
+ `occurredAt`: la fecha y hora, en tiempo universal coordinado (UTC) y formato ISO 8601 extendido, cuando se produjo el evento.
+ `description`: una descripción breve del evento.
+ `jobName`: el nombre del trabajo.
Según el tipo y la naturaleza del evento, un evento de registro también puede contener los siguientes campos:
+ `affectedAccount`: el identificador único de la Cuenta de AWS propietaria del recurso afectado.
+ `affectedResource`: un objeto JSON que proporciona detalles sobre el recurso afectado. En el objeto, el campo `type` especifica un campo que almacena metadatos sobre un recurso. El campo `value` especifica el valor del campo (`type`).
+ `operation`: la operación que Macie intentó realizar y provocó el error.
+ `runDate`: la fecha y hora, en tiempo universal coordinado (UTC) y formato ISO 8601 extendido, cuando se inició el trabajo o la ejecución de trabajos correspondiente.
## Tipos de eventos de registro para trabajos de detección de datos confidenciales
Amazon Macie publica los eventos de registro para tres categorías de eventos que pueden ocurrir durante un trabajo de detección de datos confidenciales:
+ Eventos de estado del trabajo, que registran los cambios en el estado o el progreso de un trabajo o de una ejecución de un trabajo.
+ Eventos de error a nivel de cuenta, que registran errores que impidieron que Macie analizara los datos de Amazon S3 en busca de datos específicos. Cuenta de AWS
+ Eventos de error a nivel de bucket, que registran los errores que impidieron a Macie analizar los datos de un bucket de S3 específico.
En los temas de esta sección, se enumeran y describen los tipos de eventos que publica Macie para cada categoría.
### Eventos de estado del trabajo
Un evento de estado del trabajo registra un cambio en el estado o el progreso de un trabajo o de una ejecución de un trabajo. En el caso de los trabajos periódicos, Macie registra y publica estos eventos tanto para el trabajo en general como para las ejecuciones individuales.
En el siguiente ejemplo, se utilizan datos de muestra para mostrar la estructura y la naturaleza de los campos de un evento de estado del trabajo. En este ejemplo, un evento `SCHEDULED_RUN_COMPLETED` indica que la ejecución programada de un trabajo periódico ha terminado de ejecutarse. La ejecución comenzó el 14 de abril de 2024 a las 17:09:30 UTC, tal y como se indica en el campo `runDate`. La ejecución finalizó el 14 de abril de 2024 a las 17:16:30 UTC, según lo indicado por el campo `occurredAt`.
```
{
"adminAccountId": "123456789012",
"jobId": "ffad0e71455f38a4c7c220f3cexample",
"eventType": "SCHEDULED_RUN_COMPLETED",
"occurredAt": "2024-04-14T17:16:30.574809Z",
"description": "The scheduled job run finished running.",
"jobName": "My_Daily_Macie_Job",
"runDate": "2024-04-14T17:09:30.574809Z"
}
```
En la siguiente tabla se enumeran y describen los tipos de eventos de estado del trabajo que Macie registra y publica en Logs. CloudWatch La columna **Tipo de evento** indica el nombre de cada evento tal como aparece en el campo `eventType` de un evento. La columna **Descripción** proporciona una breve descripción del evento tal como aparece en el campo `description` de un evento. La **Información adicional** proporciona información sobre el tipo de trabajo al que se aplica el evento. La tabla se ordena primero por el orden cronológico general en el que pueden producirse los eventos y, después, en orden alfabético ascendente por tipo de evento.
| Tipo de evento | Description (Descripción) | Información adicional |
| --- | --- | --- |
| JOB\$1CREATED | Se creó un trabajo. | Se aplica a trabajos puntuales y periódicos. |
| ONE\$1TIME\$1JOB\$1STARTED | El trabajo empezó a ejecutarse. | Se aplica solo a trabajos únicos. |
| SCHEDULED\$1RUN\$1STARTED | La ejecución de la tarea programada comenzó a ejecutarse. | Se aplica solo a trabajos periódicos. Para registrar el inicio de un trabajo único, Macie publica un evento ONE\$1TIME\$1JOB\$1STARTED, no este tipo de eventos. |
| BUCKET\$1MATCHED\$1THE\$1CRITERIA | El bucket afectado coincidía con los criterios del bucket especificados para el trabajo. | Se aplica a trabajos puntuales y periódicos que utilizan criterios de bucket de tiempo de ejecución para determinar qué buckets de S3 analizar. El objeto `affectedResource` especifica el nombre del bucket que coincidió con los criterios y que se incluyó en el análisis del trabajo. |
| NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA | El trabajo comenzó a ejecutarse, pero actualmente ningún bucket coincide con los criterios de bucket especificados para el trabajo. El trabajo no analizaba ningún dato. | Se aplica a trabajos puntuales y periódicos que utilizan criterios de bucket de tiempo de ejecución para determinar qué buckets de S3 analizar. |
| SCHEDULED\$1RUN\$1COMPLETED | La ejecución de la tarea programada terminó de ejecutarse. | Se aplica solo a trabajos periódicos. Para registrar la finalización de un trabajo único, Macie publica un evento JOB\$1COMPLETED, no este tipo de eventos. |
| JOB\$1PAUSED\$1BY\$1USER | Un usuario ha pausado el trabajo. | Se aplica a los trabajos puntuales y periódicos que se detuvieron temporalmente (en pausa). |
| JOB\$1RESUMED\$1BY\$1USER | Un usuario reanudó el trabajo. | Se aplica a los trabajos puntuales y periódicos que se detuvieron temporalmente (en pausa) y se reanudaron después. |
| JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET | Macie ha pausado el trabajo. La finalización del trabajo superaría la cuota mensual de la cuenta afectada. | Se aplica a los trabajos puntuales y periódicos que Macie interrumpió temporalmente (en pausa). Macie detiene automáticamente un trabajo cuando el procesamiento adicional realizado por el trabajo o la ejecución de un trabajo supera la [cuota mensual de detección de datos confidenciales](macie-quotas.md) de una o más cuentas para las que el trabajo analiza datos. Para evitar este problema, considere la posibilidad de aumentar la cuota de las cuentas afectadas. |
| JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED | Un usuario reanudó el trabajo. Se suprimió la cuota de servicio mensual para la cuenta afectada. | Se aplica a los trabajos puntuales y periódicos que Macie haya detenido temporalmente (en pausa) y se hayan reanudado después. Si Macie detuvo automáticamente un trabajo único, lo reanudará automáticamente cuando comience el mes siguiente o aumentará la cuota mensual de detección de datos confidenciales para todas las cuentas afectadas, lo que ocurra primero. Si Macie detuvo automáticamente un trabajo periódico, lo reanudará automáticamente cuando esté previsto que comience la siguiente ejecución o comience el mes siguiente, lo que ocurra primero. |
| JOB\$1CANCELLED | El trabajo se ha cancelado. | Se aplica a los trabajos puntuales y periódicos que suspendió permanentemente (canceló) o, en el caso de los trabajos puntuales, que se detuvieron y no se reanudaron en un plazo de 30 días. Si suspende o inhabilita Macie, este tipo de evento también se aplica a los trabajos que estaban activos o en pausa cuando suspendió o inhabilitó Macie. Macie cancela automáticamente sus trabajos Región de AWS si usted suspende o desactiva Macie en la región. |
| JOB\$1COMPLETED | El trabajo terminó de ejecutarse. | Se aplica solo a trabajos únicos. Para registrar la finalización de un trabajo ejecutado para un trabajo periódico, Macie publica un evento SCHEDULED\$1RUN\$1COMPLETED, no este tipo de evento. |
### Eventos de error a nivel de cuenta
Un evento de error a nivel de cuenta registra un error que impedía a Macie analizar los objetos de los depósitos de S3 que son propiedad de una persona específica. Cuenta de AWS El campo `affectedAccount` de cada evento especifica el ID de cuenta de esa cuenta.
En el siguiente ejemplo, se utilizan datos de ejemplo para mostrar la estructura y la naturaleza de los campos en un evento de error a nivel de cuenta. En este ejemplo, un evento `ACCOUNT_ACCESS_DENIED` indica que Macie no ha podido analizar los objetos de ningún bucket de S3 que sea propiedad de la cuenta `444455556666`.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "ACCOUNT_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:08:30.585709Z",
"description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
"jobName": "My_Macie_Job",
"operation": "ListBuckets",
"runDate": "2024-04-14T17:05:27.574809Z",
"affectedAccount": "444455556666"
}
```
En la siguiente tabla se enumeran y describen los tipos de eventos de error a nivel de cuenta que Macie registra y publica en Logs. CloudWatch La columna **Tipo de evento** indica el nombre de cada evento tal como aparece en el campo `eventType` de un evento. La columna **Descripción** proporciona una breve descripción del evento tal como aparece en el campo `description` de un evento. La columna de **Información adicional** proporciona todos los consejos aplicables para investigar o solucionar el error que se ha producido. La tabla está ordenada alfabéticamente en orden ascendente por tipo de evento.
| Tipo de evento | Description (Descripción) | Información adicional |
| --- | --- | --- |
| ACCOUNT\$1ACCESS\$1DENIED | Macie no tiene permiso para acceder a los datos del bucket de S3 de la cuenta afectada. | Esto suele ocurrir porque los buckets que son propiedad de la cuenta tienen políticas de buckets restrictivas. Para obtener información acerca de cómo resolver este problema, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md). El valor del campo `operation` del evento puede ayudarle a determinar qué configuración de permisos impidió que Macie accediera a los datos de S3 de la cuenta. Este campo indica la operación de Amazon S3 que Macie intentó realizar cuando se produjo el error. |
| ACCOUNT\$1DISABLED | El trabajo omitió los recursos que son propiedad de la cuenta afectada. Se ha desactivado Macie para la cuenta. | Para solucionar este problema, vuelva a habilitar Macie para la cuenta en el mismo Región de AWS. |
| ACCOUNT\$1DISASSOCIATED | El trabajo omitió los recursos que son propiedad de la cuenta afectada. La cuenta ya no está asociada a su cuenta de administrador de Macie como cuenta de miembro. | Esto ocurre si, como administrador de Macie para una organización, configura un trabajo para analizar los datos de una cuenta de miembro y, posteriormente, la cuenta de miembro se elimina de su organización. Para solucionar este problema, vuelva a asociar la cuenta afectada a su cuenta de administrador de Macie como cuenta de miembro. Para obtener más información, consulte [Administración de varias cuentas ](macie-accounts.md). |
| ACCOUNT\$1ISOLATED | El trabajo omitió los recursos que son propiedad de la cuenta afectada. Estaba Cuenta de AWS aislado. | – |
| ACCOUNT\$1REGION\$1DISABLED | El trabajo omitió los recursos que son propiedad de la cuenta afectada. El Cuenta de AWS no está activo en la corriente Región de AWS. | – |
| ACCOUNT\$1SUSPENDED | Se canceló el trabajo o se omitieron los recursos que son propiedad de la cuenta afectada. Macie fue suspendido para la cuenta. | Si la cuenta especificada es su propia cuenta, Macie canceló automáticamente el trabajo cuando suspendió Macie en la misma Región. Para solucionar el problema, vuelva a activar Macie en la Región. Si la cuenta especificada es una cuenta de miembro, vuelva a habilitar Macie para esa cuenta en la misma Región. |
| ACCOUNT\$1TERMINATED | El trabajo omitió los recursos que son propiedad de la cuenta afectada. El Cuenta de AWS se dio por terminado. | – |
### Eventos de error a nivel de bucket
Un evento de error a nivel de bucket registra un error que impedía a Macie analizar los objetos de un bucket de S3 específico. El `affectedAccount` campo de cada evento especifica el ID de Cuenta de AWS cuenta del propietario del depósito. El objeto `affectedResource` de cada evento especifica el nombre del bucket.
En el siguiente ejemplo, se utilizan datos de ejemplo para mostrar la estructura y la naturaleza de los campos en un evento de error a nivel de bucket. En este ejemplo, un evento `BUCKET_ACCESS_DENIED` indica que Macie no ha podido analizar ningún objeto del bucket de S3 denominado `amzn-s3-demo-bucket`. Cuando Macie intentó enumerar los objetos del bucket mediante la operación [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) de la API de Amazon S3, Amazon S3 denegó el acceso al bucket.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:09:30.685209Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
En la siguiente tabla se enumeran y describen los tipos de eventos de error a nivel de bucket que Macie registra y publica en Logs. CloudWatch La columna **Tipo de evento** indica el nombre de cada evento tal como aparece en el campo `eventType` de un evento. La columna **Descripción** proporciona una breve descripción del evento tal como aparece en el campo `description` de un evento. La columna de **Información adicional** proporciona todos los consejos aplicables para investigar o solucionar el error que se ha producido. La tabla está ordenada alfabéticamente en orden ascendente por tipo de evento.
| Tipo de evento | Description (Descripción) | Información adicional |
| --- | --- | --- |
| BUCKET\$1ACCESS\$1DENIED | Macie no tiene permiso para acceder al bucket de S3 afectado. | Esto suele ocurrir porque un bucket tiene una política de bucket restrictiva. Para obtener información acerca de cómo resolver este problema, consulte [Permitir a Macie el acceso a buckets y objetos de S3](monitoring-restrictive-s3-buckets.md). El valor del campo `operation` del evento puede ayudarle a determinar qué configuración de permisos impidió que Macie accediera al bucket Este campo indica la operación de Amazon S3 que Macie intentó realizar cuando se produjo el error. |
| BUCKET\$1DETAILS\$1UNAVAILABLE | Un problema temporal impidió que Macie recuperara detalles sobre el bucket y los objetos del bucket. | Esto ocurre si un problema transitorio impide que Macie recupere los metadatos del bucket y del objeto que necesita para analizar los objetos de un bucket. Por ejemplo, se produjo una excepción de Amazon S3 cuando Macie intentó comprobar que tenía permiso para acceder al bucket. Para solucionar el problema de un trabajo único, considere la posibilidad de crear y ejecutar un nuevo trabajo único para analizar los objetos del bucket. En el caso de un trabajo programado, Macie intentará recuperar los metadatos de nuevo durante la siguiente ejecución del trabajo. |
| BUCKET\$1DOES\$1NOT\$1EXIST | El bucket de S3 afectado ya no existe. | Esto suele ocurrir porque se ha eliminado un bucket. |
| BUCKET\$1IN\$1DIFFERENT\$1REGION | El bucket de S3 afectado se trasladó a otro Región de AWS. | – |
| BUCKET\$1OWNER\$1CHANGED | El propietario del bucket de S3 afectado ha cambiado. Macie ya no tiene permiso para acceder al bucket. | Esto suele ocurrir si la propiedad de un bucket se transfiere a una Cuenta de AWS que no forma parte de su organización. El campo `affectedAccount` del evento indica el ID de cuenta de la cuenta que anteriormente era propietaria del bucket. |
# Previsión y supervisión de los costos de los trabajos de detección de datos confidenciales
Los precios de Amazon Macie se basan en parte en la cantidad de datos que se analizan al ejecutar tareas de detección de datos confidenciales. Para pronosticar y monitorear los costos estimados de ejecutar trabajos de detección de datos confidenciales, puede revisar las estimaciones de costos que Macie proporciona al crear un trabajo y después de comenzar a ejecutarlo.
Para revisar y monitorear sus costos reales, puede usar Administración de facturación y costos de AWS. Administración de facturación y costos de AWS proporciona funciones diseñadas para ayudarlo a realizar un seguimiento y analizar los costos de su cuenta u organización y a administrar los presupuestos de su cuenta u organización. Servicios de AWS También proporciona características que pueden ayudarlo a pronosticar los costos de uso en función de los datos históricos. Para obtener más información, consulte la [Guía del usuario de AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Para obtener información detallada acerca de los precios de Macie, consulte [Precios de Amazon Macie](https://aws.amazon.com/macie/pricing/).
**Topics**
+ [Previsión del costo de un trabajo](#discovery-jobs-costs-forecast)
+ [Supervisión de los costos estimados de los trabajos](#discovery-jobs-costs-track)
## Previsión del costo de un trabajo de detección de información confidencial
Al crear un trabajo de detección de datos confidenciales, Amazon Macie puede calcular y mostrar los costos estimados durante dos pasos clave del proceso de creación del trabajo: al revisar la tabla de buckets de S3 que ha seleccionado para el trabajo (paso 2) y al revisar todos los ajustes del trabajo (paso 8). Estos cálculos pueden ayudarle a determinar si debe ajustar la configuración del trabajo antes de guardarlo. La disponibilidad y la naturaleza de los cálculos dependen de la configuración que elija para el trabajo.
**Revisar los costos estimados de los buckets individuales (paso 2)**
Si selecciona explícitamente bucket individuales para analizar un trabajo, puede revisar el costo estimado del análisis de los objetos de cada uno de esos buckets. Macie muestra estos cálculos durante el paso 2 del proceso de creación de empleo, cuando revisas sus selecciones de buckets. En la tabla de este paso, el campo **Costo estimado** indica el costo total estimado (en dólares estadounidenses) de ejecutar el trabajo una vez para analizar los objetos de un segmento.
Cada cálculo refleja la cantidad proyectada de datos sin comprimir que el trabajo analizará en un bucket, en función del tamaño y los tipos de objetos que están almacenados actualmente en el bucket. La estimación también refleja los precios actuales Región de AWS de Macie.
Solo los objetos clasificables se incluyen en el cálculo de costos de un bucket. Un *objeto clasificable* es un objeto S3 que utiliza una [clase de almacenamiento Amazon S3 compatible](discovery-supported-storage.md#discovery-supported-s3-classes) y tiene una extensión de nombre de archivo para un [archivo o formato de almacenamiento compatible](discovery-supported-storage.md#discovery-supported-formats). Si algún objeto clasificable es un archivo comprimido o archivado, el cálculo supone que los archivos utilizan una relación de compresión de 3:1, y que el trabajo puede analizar todos los archivos extraídos.
**Revisar el costo total estimado de un trabajo (paso 8)**
Si crea un trabajo único o crea y configura un trabajo periódico para incluir los objetos S3 existentes, Macie calcula y muestra el costo total estimado del trabajo durante el último paso del proceso de creación del trabajo. Puede revisar este cálculo mientras revisa y verifica todos los ajustes que seleccionó para el trabajo.
Esta estimación indica el costo total proyectado (en dólares estadounidenses) de ejecutar la obra una vez en la región actual. El cálculo refleja la cantidad proyectada de datos sin comprimir que analizará el trabajo. Se basa en el tamaño y los tipos de objetos que se almacenan actualmente en los buckets que usted seleccionó explícitamente para el trabajo o en un máximo de 500 buckets que actualmente coinciden con los criterios de bucket que especificó para el trabajo, en función de la configuración del trabajo.
Tenga en cuenta que este cálculo no refleja ninguna opción que haya seleccionado para refinar y reducir el alcance del trabajo, por ejemplo, una profundidad de muestreo más baja o criterios que excluyan determinados objetos S3 del trabajo. Tampoco refleja su [cuota mensual de detección de datos confidenciales](macie-quotas.md), lo que podría limitar el alcance y el costo del análisis del trabajo, ni los descuentos que puedan aplicarse a su cuenta.
Además del costo total estimado del trabajo, el cálculo proporciona datos añadidos que ofrecen información sobre el alcance y el costo proyectados del trabajo:
+ **Tamaño** indican el tamaño total de almacenamiento de los objetos que el trabajo puede y no puede analizar.
+ **Recuento de objetos** indican el nbúmero total de objetos que el trabajo puede y no puede analizar.
En estos valores, un objeto **Clasificable** es un objeto S3 que utiliza una [clase de almacenamiento Amazon S3 compatible](discovery-supported-storage.md#discovery-supported-s3-classes) y tiene una extensión de nombre de archivo para un [archivo o formato de almacenamiento compatible](discovery-supported-storage.md#discovery-supported-formats). En el cálculo de costos solo se incluyen los objetos clasificables. Un objeto **no clasificable** es un objeto que no utiliza una clase de almacenamiento de compatible o no tiene una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Estos objetos no están incluidos en el cálculo de costos.
El cálculo proporciona datos añadidos adicionales para los objetos de S3 que son archivos comprimidos o archivados. El valor **Comprimido** indica el tamaño total de almacenamiento de los objetos que utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un tipo de archivo comprimido o de archivado admitido. El valor **Sin comprimir** indica el tamaño aproximado de estos objetos si están descomprimidos, en función de una relación de compresión específica. Estos datos son relevantes debido a la forma en que Macie analiza los archivos comprimidos y archivados.
Cuando Macie analiza un archivo comprimido o archivado, inspecciona tanto el archivo completo como su contenido. Para revisar el contenido del archivo, Macie los descomprime y, a continuación, inspecciona cada archivo extraído que utiliza un formato compatible. Por lo tanto, la cantidad real de datos que analiza un trabajo depende de:
+ Si un archivo utiliza compresión y, de ser así, la relación de compresión que utiliza.
+ El número, el tamaño y el formato de los archivos extraídos.
Por defecto, Macie asume lo siguiente al calcular los cálculos de costos de un trabajo:
+ Todos los archivos comprimidos y archivados utilizan una relación de compresión de 3:1.
+ Todos los archivos extraídos utilizan un formato de archivo o almacenamiento compatible.
Estas suposiciones pueden dar como resultado un cálculo de mayor tamaño para el alcance de los datos que se analizarán en el trabajo y, en consecuencia, un cálculo de costos mayor para el trabajo.
Puede volver a calcular el costo total estimado del trabajo en función de una relación de compresión diferente. Para ello, elija la relación en la lista **Elegir una relación de compresión estimada** de la sección **Costo estimado**. A continuación, Macie actualiza el cálculo para que coincida con su selección.
Para obtener más información acerca de cómo calcula Macie los costos estimados, consulte[Comprensión de los costos de uso estimados](account-mgmt-costs-calculations.md).
## Monitoreo de los costos estimados de los trabajos de detección de datos confidenciales
Si ya está realizando tareas de detección de datos confidenciales, la página de **Uso** de la consola de Amazon Macie puede ayudarle a supervisar el costo estimado de esas tareas. En la página se muestran los costes estimados (en dólares estadounidenses) derivados del uso de Macie en curso Región de AWS durante el mes natural en curso. Para obtener información sobre cómo Macie realiza estos cálculos, consulte [Comprensión de los costos de uso estimados](account-mgmt-costs-calculations.md).
**Para revisar los costos estimados de los trabajos de ejecución**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee revisar los costos estimados.
1. En el panel de navegación, seleccione **Uso**.
1. En la página **Uso**, consulte el desglose de los costos estimados de su cuenta. El elemento **Trabajos de detección de datos confidenciales** indica el costo total estimado de los trabajos que ha realizado hasta ahora durante el mes en curso en la región actual.
Si es el administrador de Macie de una organización, la sección **Costos estimados** muestra los costos estimados para su organización en general durante el mes en curso en la región actual. Para mostrar el costo total estimado de los trabajos que se ejecutaron para una cuenta específica, elija la cuenta de la tabla. A continuación, la sección de **Costos estimados** muestra un desglose de los costos estimados de la cuenta, incluido el costo estimado de los trabajos que se ejecutaron. Para mostrar estos datos para otra cuenta, seleccione la cuenta en la tabla. Para borrar la selección de su cuenta, elija **X** junto al ID de la cuenta.
Para revisar y monitorear sus costos reales, use [Administración de facturación y costos de AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
# Identificadores de datos administrados recomendados para trabajos de detección de datos confidenciales
Para optimizar los resultados de sus trabajos de detección de datos confidenciales, puede configurar los trabajos individuales para que utilicen automáticamente el conjunto de identificadores de datos administrados que recomendamos para los trabajos. Un *identificador de datos gestionados* es un conjunto de criterios y técnicas integrados que están diseñados para detectar un tipo específico de datos confidenciales, por ejemplo, claves de acceso AWS secretas, números de tarjetas de crédito o números de pasaporte de un país o región en particular.
El conjunto recomendado de identificadores de datos administrados está diseñado para detectar categorías y tipos comunes de datos confidenciales. Según nuestras investigaciones, puede detectar categorías y tipos generales de datos confidenciales y, al mismo tiempo, optimizar los resultados de su trabajo al reducir el ruido. A medida que publicamos nuevos identificadores de datos administrados, los añadimos a este conjunto si es probable que puedan optimizar aún más los resultados de su trabajo. Con el tiempo, también podríamos añadir o eliminar del conjunto los identificadores de datos administrados existentes. Si añadimos o eliminamos un identificador de datos administrados del conjunto recomendado, actualizamos esta página para indicar la naturaleza y el momento del cambio. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [historial de documentos de Macie](doc-history.md).
Al crear un trabajo de detección de datos confidenciales, debe especificar qué identificadores de datos administrados desea que el trabajo utilice para analizar los objetos de los buckets de Amazon Simple Storage Service (Amazon S3). Para configurar un trabajo para que utilice el conjunto recomendado de identificadores de datos administrados, elija la opción *Recomendado* al crear el trabajo. A continuación, el trabajo utilizará automáticamente todos los identificadores de datos administrados que estén en el conjunto recomendado cuando el trabajo comience a ejecutarse. Si configura un trabajo para que se ejecute más de una vez, cada ejecución utilizará automáticamente todos los identificadores de datos administrados que estén en el conjunto recomendado cuando comience la ejecución.
En los temas siguientes se enumeran los identificadores de datos administrados que se encuentran actualmente en el conjunto recomendado, organizados por categoría y tipo de datos confidenciales. Especifican el identificador (ID) único de cada identificador de datos administrados del conjunto. Este ID describe el tipo de datos confidenciales que un identificador de datos gestionados está diseñado para detectar, por ejemplo: `PGP_PRIVATE_KEY` para las claves privadas de PGP y `USA_PASSPORT_NUMBER` para los números de pasaportes estadounidenses.
**Topics**
+ [Credenciales](#discovery-jobs-mdis-recommended-credentials)
+ [Información financiera](#discovery-jobs-mdis-recommended-financial)
+ [Información de identificación personal (PII)](#discovery-jobs-mdis-recommended-pii)
+ [Actualizaciones del conjunto recomendado](#discovery-jobs-mdis-recommended-updates)
Para obtener más información sobre identificadores de datos administrados específicos o una lista completa de todos los identificadores de datos administrados que Macie proporciona actualmente, consulte [Uso de identificadores de datos administrados](managed-data-identifiers.md).
## Credenciales
Para detectar la aparición de datos de credenciales en los objetos de S3, el conjunto recomendado utiliza los siguientes identificadores de datos administrados.
| Tipos de datos confidenciales | ID de identificador de datos administrados |
| --- | --- |
| AWS clave de acceso secreta | AWS\$1CREDENTIALS |
| Encabezado de autorización básica de HTTP | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Clave privada de OpenSSH | OPENSSH\$1PRIVATE\$1KEY |
| Clave privada de PGP | PGP\$1PRIVATE\$1KEY |
| Clave privada del estándar de criptografía de clave pública (PKCS) | PKCS |
| Clave privada PuTTY | PUTTY\$1PRIVATE\$1KEY |
## Información financiera
Para detectar la aparición de información financiera en los objetos de S3, el conjunto recomendado utiliza los siguientes identificadores de datos administrados.
| Tipos de datos confidenciales | ID de identificador de datos administrados |
| --- | --- |
| Datos de banda magnética de tarjetas de crédito | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Número de tarjeta de crédito | CREDIT\$1CARD\$1NUMBER (para números de tarjetas de crédito próximos a una palabra clave) |
## Información de identificación personal (PII)
Para detectar la aparición de información de identificación personal (PII) en los objetos de S3, el conjunto recomendado utiliza los siguientes identificadores de datos administrados.
| Tipos de datos confidenciales | ID de identificador de datos administrados |
| --- | --- |
| Número de identificación del permiso de conducir | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (para EE. UU.), UK\$1DRIVERS\$1LICENSE |
| Número de registro electoral | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Número de identificación nacional | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Número de seguro nacional (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Número de pasaporte | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Número de Seguro Social (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Número de la Seguridad Social (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Número de identificación o referencia del contribuyente | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## Actualizaciones del conjunto recomendado
En la siguiente tabla se describen los cambios en el conjunto de identificadores de datos administrados que recomendamos para los trabajos de detección de datos confidenciales. Para obtener alertas automáticas sobre cambios, suscríbase a la fuente RSS en la página de [historial de documentos de Macie](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Disponibilidad general | Versión inicial de la serie recomendada. | 27 de junio de 2023 |
# Análisis de objetos de Amazon S3 cifrados
Cuando habilitas Amazon Macie para ti Cuenta de AWS, Macie crea un [rol vinculado a un servicio](service-linked-roles.md) que otorga a Macie los permisos necesarios para llamar a Amazon Simple Storage Service (Amazon S3) y a otros en tu nombre. Servicios de AWS Un rol vinculado a un servicio simplifica el proceso de configuración de un, Servicio de AWS ya que no es necesario añadir permisos manualmente para que el servicio complete acciones en su nombre. Para obtener más información sobre este tipo de rol, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) en la *Guía del usuario de AWS Identity and Access Management *.
La política de permisos del rol vinculado a un servicio de Macie (`AWSServiceRoleForAmazonMacie`) permite a Macie realizar acciones que incluyen la recuperación de información sobre los buckets y objetos de S3 y la recuperación y el análisis de los objetos de los buckets de S3. Si su cuenta es la cuenta de administrador de Macie de una organización, la política también permite a Macie llevar a cabo estas acciones en su nombre para las cuentas miembro de su organización.
Si cifra un objeto de S3, la política de permisos de la función vinculada al servicio de Macie suele conceder a Macie los permisos que necesita para descifrar la lista. Sin embargo, esto depende del tipo de cifrado utilizado. También puede depender de si Macie puede utilizar la clave de cifrado adecuada.
**Topics**
+ [Opciones de cifrado para objetos de S3](#discovery-supported-encryption-types-matrix)
+ [Permitir a Macie utilizar un sistema gestionado por clientes AWS KMS key](#discovery-supported-encryption-cmk-configuration)
## Opciones de cifrado para objetos de Amazon S3
Amazon S3 admite varias opciones de cifrado para los objetos S3. En la mayoría de estas opciones, Amazon Macie puede descifrar un objeto mediante el rol vinculado al servicio de Macie de su cuenta. Sin embargo, esto depende del tipo de cifrado utilizado para desencriptar un objeto.
**Cifrado del servidor con claves administradas por Amazon S3 (SSE-S3)**
Si un objeto se cifra utilizando el cifrado en el servidor con una clave administrada de Amazon S3 (SSE-S3), Macie puede descifrar el objeto.
Para obtener información sobre este tipo de cifrado, consulte [Uso del cifrado del lado del servidor con claves administradas por Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) en la *Guía del usuario de Amazon Simple Storage Service*.
**Cifrado del lado del servidor con (DSSE-KMS y SSE-KMS AWS KMS keys )**
Si un objeto se cifra mediante un cifrado de doble capa del lado del servidor o un cifrado del lado del servidor con un cifrado AWS gestionado AWS KMS key (DSSE-KMS o SSE-KMS), Macie puede descifrar el objeto.
[Si un objeto se cifra mediante un cifrado de doble capa del lado del servidor o un cifrado del lado del servidor gestionado por el cliente AWS KMS key (DSSE-KMS o SSE-KMS), Macie solo podrá descifrar el objeto si usted permite que Macie utilice la clave.](#discovery-supported-encryption-cmk-configuration) Este es el caso de los objetos que se cifran con claves KMS gestionadas íntegramente desde un almacén de claves externo y claves KMS gestionadas íntegramente. AWS KMS Si a Macie no se le permite usar la clave KMS correspondiente, Macie solo puede almacenar los metadatos del objeto y generar informes al respecto.
Para obtener más información sobre estos tipos de cifrado, consulte [Uso del cifrado del servidor de doble capa con AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html) y [Uso del cifrado del servidor con AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Puede generar automáticamente una lista de todos los clientes gestionados a los AWS KMS keys que Macie necesita acceder para analizar los objetos de los depósitos de S3 para su cuenta. Para ello, ejecute el script AWS KMS Permission Analyzer, que está disponible en el repositorio de [Amazon Macie](https://github.com/aws-samples/amazon-macie-scripts) Scripts en. GitHub El script también puede generar un script adicional de comandos AWS Command Line Interface (AWS CLI). Si lo desea, puede ejecutar esos comandos para actualizar las políticas y los ajustes de configuración necesarios para las claves de KMS que especifique.
**Cifrado en el servidor con claves proporcionadas por el cliente (SSE-C)**
Si un objeto se cifra utilizando el cifrado en el servidor con una clave proporcionada por el cliente (SSE-C), Macie no puede descifrar el objeto. Macie solo puede almacenar y reportar metadatos para el objeto.
Para obtener más información sobre este tipo de cifrado, consulte [Uso del cifrado del lado del servidor con claves](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) en la *Guía del usuario de Amazon Simple Storage Service*.
**Cifrado del cliente**
Si un objeto se cifra mediante un cifrado del cliente, Macie puede descifrar el objeto. Macie solo puede almacenar y reportar metadatos para el objeto. Por ejemplo, Macie puede indicar el tamaño del objeto y las etiquetas asociadas al mismo.
Para obtener más información sobre este tipo de cifrado en el contexto de Amazon S3, consulte [Protección de datos mediante el cifrado del cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Puede [filtrar su inventario de buckets](monitoring-s3-inventory-filter.md) en Macie para determinar qué buckets de S3 contienen objetos que utilizan determinados tipos de cifrado. También puede determinar qué buckets utilizan determinados tipos de cifrado del lado del servidor de forma predeterminada al almacenar objetos nuevos. La siguiente tabla proporciona algunos filtros de ejemplo que puede aplicar a su inventario de buckets para encontrar esta información.
| Para mostrar los buckets que... | Aplicar este filtro... |
| --- | --- |
| Almacenan objetos que utilizan el cifrado SSE-C | El recuento de objetos mediante cifrado es Proporcionado por el cliente y Desde = 1 |
| Almacenan objetos que utilizan el cifrado DSSE-KMS o SSE-KMS | El recuento de objetos mediante cifrado es Administrado por AWS KMS y Desde = 1 |
| Almacenan objetos que utilizan el cifrado SSE-S3 | El recuento de objetos mediante cifrado es Administrado por Amazon S3 y Desde = 1 |
| Almacenan objetos que utilizan el cifrado del cliente (o no están cifrados) | El recuento de objetos mediante cifrado está Sin encriptar y Desde = 1 |
| Cifran los objetos nuevos de forma predeterminada mediante el cifrado DSSE-KMS | Cifrado predeterminado = aws:kms:dsse |
| Cifran los objetos nuevos de forma predeterminada mediante el cifrado SSE-KMS | Cifrado predeterminado = aws:kms |
| Cifran los objetos nuevos de forma predeterminada mediante el cifrado SSE-S3 | Cifrado predeterminado = AES256 |
Si un depósito está configurado para cifrar objetos nuevos de forma predeterminada mediante el cifrado DSSE-KMS o SSE-KMS, también puede determinar cuál se utiliza. AWS KMS key Para ello, elija el bucket en la página **Buckets de S3**. En el panel de detalles del bucket, en **Cifrado del lado del servidor**, consulte el campo **AWS KMS key**. Este campo muestra el nombre de recurso de Amazon (ARN) o identificador único (ID de clave) de la clave.
## Permitir a Macie utilizar un sistema gestionado por el cliente AWS KMS key
Si un objeto de Amazon S3 se cifra mediante un cifrado de doble capa del lado del servidor o un cifrado del lado del servidor gestionado por el cliente AWS KMS key (DSSE-KMS o SSE-KMS), Amazon Macie solo podrá descifrar el objeto si se le permite usar la clave. La forma de proporcionar este acceso depende de si la cuenta propietaria de la clave también es propietaria del bucket de S3 que almacena el objeto:
+ Si el bucket AWS KMS key y el bucket son propiedad de la misma cuenta, el usuario de la cuenta debe actualizar la política de la clave.
+ Si una cuenta es propietaria del depósito AWS KMS key y otra cuenta es propietaria del depósito, el usuario de la cuenta propietaria de la clave debe permitir el acceso a la clave entre cuentas.
En este tema se describe cómo realizar estas tareas y se proporcionan ejemplos para ambos escenarios. Para obtener más información sobre cómo permitir el acceso a las claves gestionadas por el cliente AWS KMS keys, consulta las [claves de acceso y los permisos de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) en la *Guía para AWS Key Management Service desarrolladores*.
### Permitir el acceso de la misma cuenta a una clave administrada por el cliente
Si la misma cuenta es propietaria del bucket de S3 AWS KMS key y del bucket, el usuario de la cuenta tiene que añadir un extracto a la política de la clave. La instrucción adicional debe permitir que el rol vinculado a un servicio de Macie de la cuenta utilice la clave para descifrar los datos. Para obtener información sobre cómo modificar una política de claves, consulte [Modificación de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) en la *Guía del desarrollador de AWS Key Management Service *.
En la declaración:
+ El `Principal` elemento debe especificar el nombre de recurso de Amazon (ARN) del rol vinculado al servicio de Macie para la cuenta propietaria del bucket de S3 y del AWS KMS key bucket.
Si la cuenta es opcional Región de AWS, el ARN también debe incluir el código de región correspondiente a la región. Por ejemplo, si la cuenta se encuentra en la región de Oriente Medio (Baréin), que tiene el código de región *me-south-1*, `Principal` el elemento debe `arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` especificar *123456789012* dónde está el identificador de la cuenta. Para obtener una lista de todos los códigos de región de las regiones en las que Macie se encuentra disponible actualmente, consulte [Puntos de conexión y cuotas de Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) en la *Referencia general de AWS*.
+ La matriz `Action` debe especificar la acción `kms:Decrypt`. Esta es la única AWS KMS acción que Macie debe poder realizar para descifrar un objeto S3 cifrado con la clave.
A continuación, se muestra un ejemplo de la instrucción que se debe agregar a la política de una AWS KMS key.
```
{
"Sid": "Allow the Macie service-linked role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
En el ejemplo anterior:
+ El campo `AWS` del elemento `Principal` especifica el ARN del rol vinculado al servicio de Macie (`AWSServiceRoleForAmazonMacie`) de la cuenta. Permite que la función vinculada al servicio de Macie lleve a cabo la acción especificada en la declaración de política. *123456789012*es un ejemplo de ID de cuenta. Sustituya este valor por el ID de la cuenta del propietario de la clave de KMS y del bucket de S3.
+ La matriz `Action` especifica la acción que el rol vinculado a un servicio de Macie puede llevar a cabo con la clave de KMS: descifrar el texto cifrado que se cifró con la clave.
El lugar donde se añada esta declaración a una política de claves depende de la estructura y los elementos que la política contenga actualmente. Cuando añada la instrucción a la política, asegúrese de que la sintaxis sea válida. Las políticas de claves utilizan formato JSON. Esto significa que también hay que añadir una coma antes o después de la declaración, en función de dónde se añada la declaración a la política.
### Permitir el acceso entre cuentas a una clave administrada por el cliente
Si una cuenta es propietaria del AWS KMS key (*propietario de la clave*) y otra cuenta es propietaria del bucket de S3 (*propietario del bucket*), el propietario de la clave debe proporcionar al propietario del bucket acceso multicuenta a la clave de KMS. Para ello, el propietario de la clave primero se asegura de que la política de claves permita al propietario del bucket usar la clave y crear una concesión para ella. A continuación, el propietario del bucket crea una concesión para la clave. Una *concesión* es un instrumento de política que permite a las entidades principales de AWS utilizar claves KMS en operaciones criptográficas si se cumplen las condiciones especificadas por la concesión. En este caso, la concesión delega los permisos pertinentes en el rol vinculado a un servicio de Macie de la cuenta del propietario del bucket.
Para obtener información sobre cómo modificar una política de claves, consulte [Modificación de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) en la *Guía del desarrollador de AWS Key Management Service *. Para obtener más información, consulte [Concesiones en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS Key Management Service *.
**Paso 1: actualización de la política de claves**
En la política de claves, el propietario de la clave debe asegurarse de que esta incluya dos instrucciones:
+ La primera declaración permite al propietario del bucket utilizar la clave para descifrar los datos.
+ La segunda instrucción permite al propietario del bucket crear una concesión para el rol vinculado a un servicio de Macie de la cuenta (del propietario del bucket).
En la primera declaración, el elemento `Principal` debe especificar el ARN de la cuenta del propietario del bucket. La matriz `Action` debe especificar la acción `kms:Decrypt`. Esta es la única AWS KMS acción que Macie debe poder realizar para descifrar un objeto cifrado con la clave. A continuación, se muestra un ejemplo de esta instrucción en la política de una AWS KMS key.
```
{
"Sid": "Allow account 111122223333 to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
En el ejemplo anterior:
+ El `AWS` campo del `Principal` elemento especifica el ARN de la cuenta del propietario del bucket ()*111122223333*. Permite al propietario del bucket realizar la acción especificada en la declaración de política. *111122223333*es un ejemplo de ID de cuenta. Sustituya este valor por el ID de la cuenta del propietario del bucket.
+ La matriz `Action` especifica la acción que el propietario del bucket puede llevar a cabo mediante la clave de KMS: descifrar el texto cifrado con la clave.
La segunda declaración de la política de claves permite al propietario del bucket crear una concesión para el rol vinculado al servicio de Macie para su cuenta. En esta declaración, el elemento `Principal` debe especificar el ARN de la cuenta del propietario del bucket. La matriz `Action` debe especificar la acción `kms:CreateGrant`. Un elemento `Condition` puede filtrar el acceso a la acción `kms:CreateGrant` especificada en la declaración. A continuación, se muestra un ejemplo de esta instrucción en la política de una AWS KMS key.
```
{
"Sid": "Allow account 111122223333 to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
}
}
}
```
En el ejemplo anterior:
+ El `AWS` campo del `Principal` elemento especifica el ARN de la cuenta del propietario del bucket ()*111122223333*. Permite al propietario del bucket realizar la acción especificada en la declaración de política. *111122223333*es un ejemplo de ID de cuenta. Sustituya este valor por el ID de la cuenta del propietario del bucket.
+ La matriz `Action` especifica la acción que el propietario del bucket puede realizar en la clave de KMS: crear una concesión para la clave.
+ El elemento `Condition` utiliza el [operador condicional](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) `StringEquals` y la [clave condicional](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys) `kms:GranteePrincipal` para filtrar el acceso a la acción especificada por la declaración de la política. En este caso, el propietario del bucket puede crear una concesión solo para la `GranteePrincipal` especificada, que es el ARN del rol vinculado a un servicio de Macie de su cuenta. En ese ARN, *111122223333* hay un ejemplo de ID de cuenta. Sustituya este valor por el ID de la cuenta del propietario del bucket.
Si la cuenta del propietario del bucket es opcional Región de AWS, incluye también el código de región correspondiente en el ARN de la función vinculada al servicio de Macie. Por ejemplo, si la cuenta se encuentra en la región de Medio Oriente (Baréin), que tiene el código de región *me-south-1*, sustituya `macie.amazonaws.com` por `macie.me-south-1.amazonaws.com` en el ARN. Para obtener una lista de todos los códigos de región de las regiones en las que Macie se encuentra disponible actualmente, consulte [Puntos de conexión y cuotas de Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) en la *Referencia general de AWS*.
Cuando el propietario de la clave añade estas declaraciones a la política de claves, depende de la estructura y los elementos que la directiva contenga actualmente. Cuando el propietario de la clave agregue las instrucciones, debe asegurarse de que la sintaxis sea válida. Las políticas de claves utilizan el formato JSON. Esto significa que el propietario de la clave también debe agregar una coma antes o después de cada instrucción, en función de dónde agregue la instrucción a la política.
**Paso 2: creación de una concesión**
Una vez que el propietario de la clave actualice la política de claves según sea necesario, el propietario del bucket debe crear una concesión para la clave. La concesión delega los permisos pertinentes al rol vinculado al servicio de Macie para su cuenta (del propietario del bucket). Antes de que el propietario del bucket cree la concesión, debe comprobar que está autorizado a realizar la acción `kms:CreateGrant` en su cuenta. Esta acción le permite agregar una concesión a una AWS KMS key existente administrada por el cliente.
Para crear la concesión, el propietario del bucket puede utilizar el funcionamiento de la [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)API. AWS Key Management Service Cuando el propietario del bucket cree la concesión, debe especificar los siguientes valores para los parámetros necesarios:
+ `KeyId`: el ARN de la clave de KMS. Para el acceso entre cuentas a una clave de KMS, este valor debe ser un ARN. No puede ser una ID de clave.
+ `GranteePrincipal`: el ARN del rol vinculado a un servicio de Macie (`AWSServiceRoleForAmazonMacie`) de su cuenta. Este valor debe ser `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie` el *111122223333* ID de la cuenta del propietario del bucket.
Si la cuenta se encuentra en una región opcional, el ARN debe incluir el código de región apropiado. Por ejemplo, si su cuenta está en la región de Oriente Medio (Baréin), que tiene el código de región *me-south-1*, el ARN `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` debería ser*111122223333*, donde es el ID de cuenta de la cuenta del propietario del bucket.
+ `Operations`— La acción de AWS KMS desencriptación (). `Decrypt` Esta es la única AWS KMS acción que Macie debe poder realizar para descifrar un objeto que está cifrado con la clave KMS.
Para crear una concesión para una clave KMS gestionada por el cliente mediante AWS Command Line Interface (AWS CLI), ejecuta el comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html). El siguiente ejemplo muestra cómo. El ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"
```
Donde:
+ `key-id` especifica el ARN de la clave de KMS a la que se va a aplicar la concesión.
+ `grantee-principal` especifica el ARN del rol vinculado a un servicio de Macie de la cuenta que puede llevar a cabo la operación especificada en la concesión. Este valor debe coincidir con el ARN especificado en la condición `kms:GranteePrincipal` de la segunda instrucción de la política de claves.
+ `operations` especifica la acción que la concesión permite llevar a cabo a la entidad principal especificada: descifrar el texto cifrado que se cifró con la clave de KMS.
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
Donde `GrantToken` es una cadena única, no secreta, de longitud variable, codificada en base64 que representa la concesión que se creó y `GrantId` es el identificador único de la concesión.
# Almacenamiento y retención de los resultados de detección de datos confidenciales
Cuando ejecuta un trabajo de detección de datos confidenciales o Amazon Macie realiza una detección de datos confidenciales automatizada, Macie crea un registro de análisis para cada objeto de Amazon Simple Storage Service (Amazon S3) que se incluye en el ámbito del análisis. Estos registros, denominados *resultados de la detección de datos confidenciales*, registran detalles sobre el análisis que Macie realiza en objetos S3 individuales. Esto incluye objetos en los que Macie no detecta datos confidenciales y, por lo tanto, no produce resultados, y objetos que Macie no puede analizar debido a errores o problemas. Si Macie detecta datos confidenciales en un objeto, el registro incluye los datos del resultado correspondiente, además de información adicional. Los resultados del detección de datos confidenciales le proporcionan registros de análisis que pueden resultar útiles para auditorías o investigaciones sobre la privacidad y la protección de los datos.
Macie almacena los resultados de la detección de datos confidenciales solo durante 90 días. Para acceder a sus resultados y permitir su almacenamiento y conservación a largo plazo, configure Macie para que cifre los resultados con una clave AWS Key Management Service (AWS KMS) y los almacene en un bucket de S3. El bucket puede servir como un repositorio definitivo y a largo plazo para todos sus resultados de detección de datos confidenciales. A continuación, si lo desea, puede acceder a los resultados de ese repositorio y consultarlos.
Este tema lo guía a través del proceso de uso del Consola de administración de AWS para configurar un repositorio para los resultados del descubrimiento de datos confidenciales. La configuración es una combinación de una AWS KMS key que cifra los resultados, un bucket de uso general de S3 que almacena los resultados y los ajustes de Macie que especifican qué clave y qué bucket utilizar. Si prefiere configurar los ajustes de Macie mediante programación, puede utilizar el [PutClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)funcionamiento de la API de Amazon Macie.
Al configurar los ajustes en Macie, sus elecciones se aplica únicamente a la Región de AWS actual. Si usted es el administrador de Macie para una organización, sus opciones se aplican solo a su cuenta. No se aplican a ninguna cuenta de miembro asociada. Si habilita la detección de datos confidenciales automatizada o ejecuta tareas de detección de datos confidenciales para analizar los datos de las cuentas de los miembros, Macie almacena los resultados de la detección de datos confidenciales en el repositorio de su cuenta de administrador.
Si utiliza Macie en varias ocasiones Regiones de AWS, configure los ajustes del repositorio para cada región en la que utilice Macie. De forma opcional, puede almacenar los resultados de la detección de información confidencial de varias regiones en el mismo bucket de S3. Sin embargo, tenga en cuenta los siguientes requisitos:
+ Para almacenar los resultados de una región que esté AWS habilitada de forma predeterminada Cuentas de AWS, como la región EE.UU. Este (Virginia del Norte), debe elegir un segmento de una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional (región que está deshabilitada de forma predeterminada).
+ Para almacenar los resultados de una región opcional, como la región Medio Oriente (Baréin), debe elegir un bucket de una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional diferente.
Para determinar si una región está habilitada de forma predeterminada, consulta la [sección Habilitar o deshabilitar Regiones de AWS tu cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) en la *Guía del AWS Account Management usuario*. Además de los requisitos anteriores, considere también si desea [recuperar muestras de datos confidenciales](findings-retrieve-sd.md) que Macie notifique en resultados individuales. Para recuperar muestras de datos confidenciales de un objeto de S3 afectado, todos los siguientes datos y recursos deben estar almacenados en la misma región: el objeto afectado, el resultado pertinente y el resultado de la detección de datos confidenciales correspondiente.
**Topics**
+ [Antes de empezar: aprendizaje de conceptos clave](#discovery-results-repository-s3-overview)
+ [Paso 1: verificación de los permisos](#discovery-results-repository-s3-permissions)
+ [Paso 2: Configurar un AWS KMS key](#discovery-results-repository-s3-key-policy)
+ [Paso 3: Elegir un bucket de S3](#discovery-results-repository-s3-choose-bucket)
## Antes de empezar: aprendizaje de conceptos clave
Amazon Macie crea automáticamente un resultado de detección de datos confidenciales para cada objeto de Amazon S3 que analiza o intenta analizar cuando usted ejecuta un trabajo de detección de datos confidenciales o cuando Macie lleva a cabo una detección de datos confidenciales automatizada. Esto incluye:
+ Los objetos en los que Macie detecta datos confidenciales y, por lo tanto, también producen resultados de datos confidenciales.
+ Los objetos en los que Macie no detecta datos confidenciales y, por lo tanto, también producen resultados de datos confidenciales.
+ Objetos que Macie no puede analizar debido a errores o problemas, como la configuración de los permisos o el uso de un archivo o formato de almacenamiento no compatible.
Si Macie encuentra datos confidenciales en un objeto, el resultado de la detección de datos confidenciales incluirá los datos del resultado correspondiente. También proporciona información adicional, como la ubicación de hasta 1000 apariciones de cada tipo de datos confidenciales que Macie encontró en el objeto. Por ejemplo:
+ El número de columna y fila de una celda o campo de un libro de Microsoft Excel, un archivo CSV o un archivo TSV
+ La ruta a un campo o matriz en un archivo JSON o líneas JSON
+ El número de línea de una línea de un archivo de texto no binario que no sea un archivo CSV, JSON, líneas JSON o TSV, por ejemplo, un archivo HTML, TXT o XML
+ El número de página de una página de un archivo en formato de documento portátil (PDF) de Adobe
+ El índice de registro y la ruta a un campo de un registro en un contenedor de objetos de Apache Avro o un archivo de Apache Parquet
Si el objeto de S3 afectado es un archivo de almacenamiento, como un archivo .tar o .zip, el resultado de la detección de datos confidenciales también proporciona datos de ubicación detallados para la aparición de datos confidenciales en archivos individuales que Macie haya extraído del archivo. Macie no incluye esta información en los resultados de datos confidenciales para los archivos archivados. Para informar sobre los datos de ubicación, los resultados de la detección de datos confidenciales utilizan un [esquema JSON estandarizado](findings-locate-sd-schema.md).
Un resultado de detección de datos confidenciales no incluye los datos confidenciales que encontró Macie. En su lugar, le proporciona un registro de análisis que puede ser útil para auditorías o investigaciones.
Macie almacena los resultados de la detección de datos confidenciales durante 90 días. No puede acceder a ellos directamente en la consola de Amazon Macie ni con la API de Amazon Macie. En su lugar, siga los pasos de este tema para configurar Macie para que cifre sus resultados con la AWS KMS key que usted especifique y almacene los resultados en un depósito de uso general de S3 que también especifique. A continuación, Macie escribe los resultados en archivos de líneas JSON (.jsonl), agrega los archivos al bucket como archivos GNU Zip (.gz) y cifra los datos mediante el cifrado SSE-KMS. A partir del 8 de noviembre de 2023, Macie también firma los objetos S3 resultantes con un código de autenticación de mensajes (HMAC) basado en Hash. AWS KMS key
Cuando configure Macie para que almacene los resultados de la detección de datos confidenciales en un bucket de S3, puede usar el bucket como un repositorio definitivo y a largo plazo para los resultados. A continuación, si lo desea, puede acceder a los resultados de ese repositorio y consultarlos.
**Consejos**
Para ver un ejemplo detallado e instructivo de cómo puede consultar y utilizar los resultados del descubrimiento de datos confidenciales para analizar e informar sobre los posibles riesgos de seguridad de los datos, consulte la siguiente entrada del blog de *AWS seguridad*: [Cómo consultar y visualizar los resultados del descubrimiento de datos confidenciales de Macie con Amazon Athena y Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick.
Para ver ejemplos de consultas de Amazon Athena que puede utilizar para analizar los resultados del descubrimiento de datos confidenciales, visite el repositorio de [Amazon Macie Results](https://github.com/aws-samples/amazon-macie-results-analytics) Analytics en. GitHub Este repositorio también proporciona instrucciones para configurar Athena para recuperar y descifrar los resultados, y scripts para crear tablas para los resultados.
## Paso 1: verificación de los permisos
Antes de configurar un repositorio para los resultados de la detección de datos confidenciales, compruebe que dispone de los permisos necesarios para cifrar y almacenar los resultados. Para verificar sus permisos, utilice AWS Identity and Access Management (IAM) para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas directivas con la siguiente lista de acciones que debe poder realizar para configurar el repositorio.
**Amazon Macie**
Para Macie, verifique que se le permite realizar la siguiente acción:
`macie2:PutClassificationExportConfiguration`
Esta acción le permite añadir o cambiar la configuración del repositorio en Macie.
**Amazon S3**
Para Amazon S3, verifique que tiene permiso para realizar las siguientes acciones:
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
Estas acciones le permiten acceder a un bucket de S3 de uso general que puede funcionar como repositorio y configurarlo.
**AWS KMS**
Para usar la consola de Amazon Macie para añadir o cambiar la configuración del repositorio, verifique también que se le permita realizar las siguientes acciones de AWS KMS :
+ `kms:DescribeKey`
+ `kms:ListAliases`
Estas acciones le permiten extraer y mostrar información sobre la AWS KMS keys de su cuenta. A continuación, puede elegir una de estas claves para cifrar los resultados de la detección de datos confidenciales.
Si planea crear una nueva AWS KMS key para cifrar los datos, también debe poder realizar las siguientes acciones:`kms:CreateKey`, y. `kms:GetKeyPolicy` `kms:PutKeyPolicy`
Si no está autorizado a realizar las acciones necesarias, pida ayuda a su AWS administrador antes de continuar con el siguiente paso.
## Paso 2: Configurar un AWS KMS key
Tras verificar sus permisos, determine cuáles AWS KMS key desea que Macie utilice para cifrar los resultados de la detección de datos confidenciales. La clave debe ser una clave KMS de cifrado simétrico y administrada por el cliente que esté habilitada en el Región de AWS mismo lugar que el depósito de S3 en el que desea almacenar los resultados.
La clave puede ser una existente AWS KMS key de su propia cuenta o una existente AWS KMS key que sea propiedad de otra cuenta. Si quiere utilizar una clave de KMS nueva, cree la clave antes de continuar. Si desea utilizar una clave ya existente que es propiedad de otra cuenta, obtenga el nombre de recurso de Amazon (ARN) de la clave. Deberá ingresar este ARN cuando configure los ajustes del repositorio en Macie. Para obtener información sobre cómo crear y revisar la configuración de las claves de KMS, consulte la [Guía del desarrollador de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
**nota**
La clave puede estar AWS KMS key en un almacén de claves externo. Sin embargo, es posible que la clave sea más lenta y menos fiable que una clave que se gestione íntegramente dentro de AWS KMS. Puede reducir este riesgo almacenando los resultados de la detección de información confidencial en un bucket de S3 que esté configurado para utilizar la clave como una bucket de S3. De este modo, se reduce la cantidad de solicitudes de AWS KMS que se deben realizar para cifrar los resultados de la detección de datos confidenciales.
Para obtener información sobre el uso de claves de KMS en almacenes de claves externos, consulte [Almacenes de claves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) en la *AWS Key Management Service Guía para desarrolladores*. Para obtener más información sobre el uso de claves de Bucket de S3, consulte [Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Después de determinar qué clave de KMS quiere que utilice Macie, dé permiso a Macie para que utilice la clave. De lo contrario, Macie no podrá cifrar ni almacenar los resultados en el repositorio. Para dar permiso a Macie para usar la clave, actualiza la política de claves de la clave. Para obtener información detallada sobre las políticas clave y la administración del acceso a las claves de KMS, consulte la [Política de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) la *AWS Key Management Service Guía para desarrolladores*.
**Actualización de la política de claves**
1. Abra la AWS KMS consola en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. Elija la clave que quiera que Macie utilice para cifrar los resultados de la detección de datos confidenciales.
1. En la pestaña **Política de claves**, elija **Editar**.
1. Copie la siguiente declaración en el portapapeles y, a continuación, agréguela a la política:
```
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
}
```
**nota**
Cuando agregue la instrucción a la política, asegúrese de que la sintaxis sea válida. Las políticas utilizan formato JSON. Esto significa que también debe añadir una coma antes o después de la declaración, dependiendo de dónde añada la declaración a la directiva. Si añade la instrucción como la última instrucción de la política, inserte la coma después del corchete de cierre de la sección anterior. Si lo añade como la primera declaración o entre dos declaraciones existentes, añada una coma después de la llave de cierre para la declaración.
1. Actualice la declaración con los valores correctos para su entorno:
+ En los campos `Condition`, sustituya los valores de los marcadores de posición, donde:
+ *111122223333*es el identificador de su cuenta. Cuenta de AWS
+ *us-east-1*es el código de región Región de AWS en el que utilizas Macie y quieres permitir que Macie utilice la clave.
Si utiliza Macie en varias regiones y quiere permitir que Macie utilice la clave en otras regiones, añada `aws:SourceArn` condiciones para cada región adicional. Por ejemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
De forma alternativa, puede permitir a Macie utilizar la clave en todas las regiones. Para ello, sustituya el valor del marcador de posición por el carácter comodín (). `*` Por ejemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ Si utiliza Macie en una región opcional, agregue el código de región correspondiente al valor del campo `Service`. Por ejemplo, si utilizas Macie en la región de Oriente Medio (Baréin), que tiene el código *me-south-1*de región, sustitúyelo por. `macie.amazonaws.com` `macie.me-south-1.amazonaws.com`
Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte [Puntos de conexión y cuotas de Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) en la *Referencia general de AWS*.
Tenga en cuenta que los campos `Condition` utilizan dos claves de condición globales de IAM:
+ [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — Esta condición permite a Macie realizar las acciones especificadas solo para tu cuenta. Más específicamente, determina qué cuenta puede realizar las acciones especificadas para los recursos y acciones especificados por la condición `aws:SourceArn`.
Para permitir que Macie realice las acciones especificadas para cuentas adicionales, añada el ID de cuenta para cada cuenta adicional a esta condición. Por ejemplo:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Esta condición impide que otras personas Servicios de AWS realicen las acciones especificadas. También impide que Macie utilice la clave mientras realiza otras acciones en su cuenta. En otras palabras, permite a Macie cifrar objetos de S3 con la clave solo si se trata de resultados de detección de datos confidenciales y esos resultados corresponden a una detección de datos confidenciales automatizada o a trabajos de detección de datos confidenciales creados por la cuenta especificada en la región especificada.
Para permitir que Macie lleve a cabo las acciones especificadas para cuentas adicionales, añada esta condición ARNs para cada cuenta adicional. Por ejemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
Las cuentas que se especifican en las condiciones `aws:SourceAccount` y `aws:SourceArn` deberían coincidir.
Estas condiciones ayudan a evitar que Macie sea utilizado como un [ayudante confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante las transacciones con. AWS KMS Aunque no lo recomendamos, puede eliminar estas condiciones de la declaración.
1. Cuando termine de añadir y actualizar la declaración, seleccione **Guardar cambios**.
## Paso 3: Elegir un bucket de S3
Tras comprobar sus permisos y configurarlos AWS KMS key, podrá especificar qué depósito de S3 quiere utilizar como repositorio para los resultados de su descubrimiento de datos confidenciales. Tiene dos opciones:
+ **Usa un nuevo depósito S3 creado por Macie**: si eliges esta opción, Macie crea automáticamente un nuevo depósito S3 de uso general en la versión actual Región de AWS para los resultados de tu descubrimiento. Macie también aplica una política de bucket al bucket. La política permite a Macie añadir objetos al bucket. También requiere que los objetos estén cifrados con la AWS KMS key que especifique, mediante el cifrado SSE-KMS. Para revisar la política, seleccione **Ver política** en la consola de Amazon Macie después de especificar un nombre para el bucket y la clave de KMS que se va a utilizar.
+ **Utilice un bucket de S3 existente que haya creado**: si prefiere almacenar los resultados de su detección en un bucket de S3 concreto que haya creado, cree el bucket antes de continuar. El bucket debe ser un bucket de uso general. Además, la configuración y la política del bucket deben permitir a Macie agregar objetos al bucket. En este tema se explica qué ajustes se deben comprobar y cómo actualizar la política. También proporciona ejemplos de las declaraciones que se deben añadir a la política.
Las siguientes secciones proporcionan instrucciones para cada opción. Elija la sección para la opción que desee.
### Usa un nuevo bucket de S3 creado por Macie
Si prefiere utilizar un nuevo bucket de S3 que Macie cree para usted, el último paso del proceso consiste en configurar los ajustes del repositorio en Macie.
**Para configurar los ajustes del repositorio en Macie**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Ajustes**, seleccione **Resultados de la detección**.
1. En **Repositorio de resultados de detección de datos confidenciales**, seleccione **Crear bucket**.
1. En el cuadro de diálogo **Crear un bucket** escriba un nombre para el bucket.
El nombre debe ser único en todos los buckets de S3. Los nombres de bucket pueden consistir únicamente de letras minúsculas, números, puntos (.) y guiones (-). Para conocer los requisitos de nomenclatura adicionales, consulte [Reglas de nomenclatura de buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) en la *Guía del usuario de Amazon Simple Storage Service*.
1. Expanda la sección **Avanzado**.
1. (Opcional) Para especificar un prefijo que se utilizará en la ruta a una ubicación del bucket, introdúzcalo en el cuadro de prefijo del **resultado de la detección de datos**.
Al introducir un valor, Macie actualiza el ejemplo situado debajo del cuadro para mostrar la ruta a la ubicación del bucket en la que almacenará los resultados de la detección.
1. En **Bloquear todo el acceso público**, elija **Sí** para activar todos los ajustes de bloqueo de acceso público del bucket.
Para obtener información sobre estos ajustes, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) en la *Guía del usuario de Amazon Simple Storage Service*.
1. En **Configuración del cifrado**, especifique la AWS KMS key que Macie tiene que utilizar para cifrar los resultados:
+ Para usar una clave de su propia cuenta, elija **Seleccionar una clave de su cuenta**. Luego, en la lista **AWS KMS key**, seleccione la clave que desea usar. La lista muestra las claves KMS de cifrado simétrico administradas por el cliente para su cuenta.
+ Para usar una clave que pertenezca a otra cuenta, seleccione **Ingrese el ARN de una clave de otra cuenta**. A continuación, en el cuadro **AWS KMS key ARN**, introduzca el nombre de recurso de Amazon (ARN) de la clave de que se debe utilizar, por ejemplo, **`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`**.
1. Cuando termine con la configuración, elija **Guardar**.
Macie comprueba la configuración para verificar que es correcta. Si alguna configuración es incorrecta, Macie muestra un mensaje de error que lo ayuda a solucionar el problema.
Tras guardar la configuración del repositorio, Macie añade al mismo los resultados de detección existentes de los 90 días anteriores. Macie también comienza a añadir nuevos resultados de detección al repositorio.
### Uso de un bucket de S3 existente que ya haya creado
Si prefiere almacenar los resultados de la detección de datos confidenciales en un bucket de S3 concreto que debe crear, cree y configure el bucket antes de configurar los ajustes en Macie. Al crear el bucket, tenga en cuenta los siguientes requisitos:
+ El bucket debe ser un bucket de uso general. No puede ser otro tipo de depósito, como un depósito de directorios.
+ Para almacenar los resultados de tus descubrimientos en una región que esté habilitada de forma predeterminada Cuentas de AWS, como la región EE.UU. Este (Virginia del Norte), el depósito debe estar en una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional (región que está deshabilitada de forma predeterminada).
+ Para almacenar los resultados de la detección de una región opcional, como la región Medio Oriente (Baréin), el bucket debe estar en esa misma región o en una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional diferente.
Para determinar si una región está habilitada de forma predeterminada, consulte [Enable or disable Regiones de AWS in your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) en la *Guía del usuario de AWS Account Management *.
Tras crear el bucket, actualice la política del bucket para que Macie pueda extraer información sobre el bucket y añadir objetos al bucket. A continuación, puede configurar los ajustes en Macie.
**Actualización de la política de bucket para el bucket**
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Elija el bucket en el que desea almacenar sus resultados de detección.
1. Elija la pestaña **Permisos**.
1. Elija **Editar** en la sección **Política de bucket**.
1. Copie el siguiente ejemplo de política en su portapapeles:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Macie to use the GetBucketLocation operation",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Allow Macie to add objects to the bucket",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Deny unencrypted object uploads. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption headers. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/KMSKeyId"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Pegue la política de ejemplo en el editor **de políticas de Bucket** de la consola de Amazon S3.
1. Actualice la política de ejemplo con los valores correctos para su entorno:
+ En la declaración opcional que niega los encabezados de cifrado incorrectos:
+ Sustituya *amzn-s3-demo-bucket* por el nombre del bucket. Para especificar también un prefijo para la ruta a una ubicación del depósito, sustitúyalo por *[optional prefix/]* el prefijo. De lo contrario, elimina el valor del *[optional prefix/]* marcador de posición.
+ En este `StringNotEquals` estado, *arn:aws:kms:us-east-1:111122223333:key/KMSKeyId* sustitúyalo por el nombre de recurso de Amazon (ARN) que se utilizará AWS KMS key para cifrar los resultados de su descubrimiento.
+ En todas las demás instrucciones, sustituya los valores de los marcadores de posición, donde:
+ *amzn-s3-demo-bucket*es el nombre del depósito.
+ *[optional prefix/]*es el prefijo de la ruta a una ubicación del depósito. Elimine el valor de este marcador de posición si no desea especificar ningún prefijo.
+ *111122223333*es el ID de cuenta de su. Cuenta de AWS
+ *us-east-1*es el código de región Región de AWS en el que utilizas Macie y quieres permitir que Macie añada los resultados de los descubrimientos al depósito.
Si utiliza Macie en varias regiones y quiere permitir que Macie añada resultados al bucket de regiones adicionales, añada `aws:SourceArn` condiciones para cada región adicional. Por ejemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
Como alternativa, puede permitir que Macie añada resultados al bucket para todas las regiones en las que utilice Macie. Para ello, sustituya el valor del marcador de posición por el carácter comodín (). `*` Por ejemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ Si está utilizando Macie en una región opcional, agregue el código de región correspondiente al valor del campo `Service` en cada instrucción que especifique la entidad principal del servicio de Macie. Por ejemplo, si utilizas Macie en la región de Oriente Medio (Baréin), que tiene el código de región *me-south-1*, sustitúyelo por `macie.me-south-1.amazonaws.com` en cada `macie.amazonaws.com` afirmación aplicable.
Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte [Puntos de conexión y cuotas de Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) en la *Referencia general de AWS*.
Tenga en cuenta que la política de ejemplo incluye instrucciones que permiten a Macie determinar en qué región reside el bucket (`GetBucketLocation`) y agregar objetos al bucket (`PutObject`). Estas declaraciones definen condiciones que utilizan dos claves de condición globales de IAM:
+ [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — Esta condición permite a Macie añadir los resultados del descubrimiento de datos confidenciales al depósito solo para tu cuenta. Impide que Macie añada los resultados de detección de otras cuentas al bucket. Más específicamente, la condición especifica qué cuenta puede usar el bucket para los recursos y las acciones especificados en la `aws:SourceArn` condición.
Para almacenar los resultados de cuentas adicionales en el bucket, añada el identificador de cada cuenta adicional a esta condición. Por ejemplo:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Esta condición restringe el acceso al depósito en función del origen de los objetos que se van a añadir al depósito. Impide que otras Servicios de AWS personas añadan objetos al depósito. También evita que Macie añada objetos al bucket mientras realiza otras acciones en su cuenta. Más concretamente, la condición permite a Macie agregar objetos al bucket solo si se trata de resultados de detección de datos confidenciales y esos resultados corresponden a una detección de datos confidenciales automatizada o a trabajos de detección de datos confidenciales creados por la cuenta especificada en la región especificada.
Para permitir que Macie lleve a cabo las acciones especificadas para cuentas adicionales, añada esta condición ARNs para cada cuenta adicional. Por ejemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
Las cuentas especificadas en las condiciones `aws:SourceAccount` y `aws:SourceArn` deben coincidir.
Ambas condiciones ayudan a evitar que Macie sea utilizado como un [ayudante confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante las transacciones con Amazon S3. Aunque no lo recomendamos, puede eliminar estas condiciones de la política del bucket.
1. Cuando haya terminado de actualizar la política del bucket, elija **Guardar cambios**.
Ahora, puede configurar los ajustes del repositorio en Macie.
**Configuración de los ajustes del repositorio en Macie**
1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. En el panel de navegación, en **Ajustes**, seleccione **Resultados de la detección**.
1. En **Repositorio para ver los resultados de la detección de datos confidenciales**, elija **Bucket existente**.
1. En **Elegir un bucket**, seleccione el bucket en el que desee almacenar los resultados de la detección.
1. Para especificar un prefijo para una ruta a una ubicación en el bucket, amplíe la sección **Avanzado**. Luego, para el **Prefijo de resultado de detección de datos**, introduzca el prefijo.
Al introducir un valor, Macie actualiza el ejemplo situado debajo del cuadro para mostrar la ruta a la ubicación del bucket en la que almacenará los resultados de la detección.
1. En **Configuración del cifrado**, especifique la AWS KMS key que Macie tiene que utilizar para cifrar los resultados:
+ Para usar una clave de su propia cuenta, elija **Seleccionar una clave de su cuenta**. Luego, en la lista **AWS KMS key**, seleccione la clave que desea usar. La lista muestra las claves KMS de cifrado simétrico administradas por el cliente para su cuenta.
+ Para usar una clave que pertenezca a otra cuenta, seleccione **Ingrese el ARN de una clave de otra cuenta**. A continuación, en el cuadro **AWS KMS key ARN**, introduzca el ARN de la clave que se va a utilizar, como por ejemplo, **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**.
1. Cuando termine con la configuración, elija **Guardar**.
Macie comprueba la configuración para verificar que es correcta. Si alguna configuración es incorrecta, Macie muestra un mensaje de error que lo ayuda a solucionar el problema.
Tras guardar la configuración del repositorio, Macie añade al mismo los resultados de detección existentes de los 90 días anteriores. Macie también comienza a añadir nuevos resultados de detección al repositorio.
**nota**
Si posteriormente cambia la configuración de **Prefijo de resultados de detección de datos**, actualice también la política de buckets en Amazon S3. Las instrucciones de política que especifica el prefijo anterior deben especificar el nuevo prefijo. De lo contrario, Macie no podrá agregar los resultados de la detección al bucket.
**sugerencia**
Para reducir los costos de cifrado del lado del servidor, configure también el depósito de S3 para que utilice una clave de depósito de S3 y especifique la AWS KMS key que configuró para el cifrado de los resultados de la detección de datos confidenciales. El uso de una clave de depósito de S3 reduce el número de llamadas AWS KMS, lo que puede reducir los costes de las AWS KMS solicitudes. Si la clave de KMS se encuentra en un almacén de claves externo, el uso de una clave de bucket de S3 también puede minimizar el impacto en el rendimiento de usar una clave. Para obtener más información, consulte [Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) en la *Guía del usuario de Amazon Simple Storage Service*.
# Clases y formatos de almacenamiento compatibles
Para ayudarle a detectar datos confidenciales en su patrimonio de datos de Amazon Simple Storage Service (Amazon S3), Amazon Macie es compatible con la mayoría de las clases de almacenamiento de Amazon S3 y con una amplia variedad de formatos de archivos y almacenamiento. Esta compatibilidad se aplica al uso de [identificadores de datos administrados](managed-data-identifiers.md) y al uso de [identificadores de datos personalizados](custom-data-identifiers.md) para analizar objetos de S3.
Para que Macie analice un objeto de S3, el objeto debe almacenarse en un bucket de uso general de Amazon S3 mediante una clase de almacenamiento compatible. El objeto también debe utilizar un archivo o un formato de almacenamiento compatible. En los temas de esta sección se enumeran las clases de almacenamiento y los formatos de archivo y almacenamiento que Macie admite actualmente.
**sugerencia**
Aunque Macie está optimizado para Amazon S3, puede usarlo para detectar datos confidenciales en recursos que actualmente almacena en otros lugares. Para ello, puede mover los datos a Amazon S3 de forma temporal o permanente. Por ejemplo, exporte instantáneas Amazon Relational Database Service o Amazon Aurora a Amazon S3 en formato Apache Parquet. O exporte una tabla de Amazon DynamoDB a Amazon S3. A continuación, puede crear un trabajo de detección de datos confidenciales para analizar los datos en Amazon S3.
**Topics**
+ [Clases de almacenamiento compatibles](#discovery-supported-s3-classes)
+ [Formatos de archivo y almacenamiento compatibles](#discovery-supported-formats)
## Clases de almacenamiento compatbles de Amazon S3
Para la detección de datos confidenciales, Amazon Macie admite las siguientes clases de almacenamiento de Amazon S3:
+ Redundancia reducida (RRS)
+ S3 Glacier Instant Retrieval
+ S3 Intelligent-Tiering
+ S3 One Zone‐Infrequent Access (S3 One Zone‐IA)
+ S3 Standard
+ S3 Standard‐Infrequent Access (S3 Standard‐IA)
Macie no analiza objetos de S3 que utilizan otras clases de almacenamiento de Amazon S3, como S3 Glacier Deep Archive o S3 Express One Zone. Además, Macie no analiza los objetos que están almacenados en los buckets de directorio de S3.
Si configura un trabajo de detección de datos confidenciales para analizar objetos de S3 que no utilizan una clase de almacenamiento de Amazon S3 compatible, Macie omite esos objetos cuando se ejecuta el trabajo. Macie no intenta extraer ni analizar los datos de los objetos: los trata como *objetos no clasificables*. Un *objeto no clasificables* es un objeto que no utiliza una clase de almacenamiento de compatible o un archivo o formato de almacenamiento compatible. Macie analiza solo aquellos objetos que utilizan una clase, archivo o formato de almacenamiento compatibles.
Igualmente, si se configura Macie para que realice la detección automática de datos confidenciales, los objetos no clasificables no podrán seleccionarse ni analizarse. Macie selecciona solo los objetos que utilizan una clase de almacenamiento Amazon S3, un archivo o un formato de almacenamiento compatibles.
Para identificar los buckets de S3 que almacenan objetos no clasificables, se puede [filtrar el inventario de bucket de S3](monitoring-s3-inventory-filter.md). Para cada bucket del inventario, hay campos que indican el número y el tamaño total de almacenamiento de los objetos no clasificables del bucket.
Para obtener información detallada sobre las clases de almacenamiento que ofrece Amazon S3, consulte [Uso de las clases de almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) en la *Guía del usuario de Amazon Simple Storage Service*.
## Formatos de archivo y almacenamiento compatibles
Cuando Amazon Macie analiza un objeto de S3, recupera la última versión del objeto de Amazon S3 y luego realiza una inspección profunda de los contenidos del objeto. Esta inspección tiene en cuenta el formato de archivo o almacenamiento de los datos. Macie puede analizar los datos en muchos formatos diferentes, incluidos los formatos de compresión y archivo más utilizados.
Cuando Macie analiza los datos de un archivo comprimido o archivado, Macie inspecciona tanto el archivo completo como su contenido. Para revisar el contenido del archivo, Macie los descomprime y, a continuación, inspecciona cada archivo extraído que utiliza un formato compatible. Macie puede hacer esto para un máximo de 1 000 000 de archivos y hasta una profundidad anidada de 10 niveles. Para obtener información sobre las cuotas adicionales que se aplican a la detección de datos confidenciales, consulte [Cuotas para Macie](macie-quotas.md).
En la siguiente tabla se enumeran y describen los tipos de archivos y formatos de almacenamiento que Macie puede analizar para detectar datos confidenciales. Para cada tipo compatible, la tabla también muestra las extensiones de nombre de archivo aplicables.
| Tipo de archivo o almacenamiento | Descripción | Extensiones de nombre de archivo |
| --- | --- | --- |
| Macrodatos | Contenedores de objetos Apache Avro y archivos de Apache Parquet | .avro, .parquet |
| Compresión o archivo | Archivos comprimidos GNU Zip, TAR y ZIP | .gz, .gzip, .tar, .zip |
| Documento | Archivos de formato de documento portátil de Adobe, libros de trabajo de Microsoft Excel y documentos de Microsoft Word | .doc, .docx, .pdf, .xls, .xlsx |
| Mensaje de correo electrónico | Archivos de correo electrónico cuyo contenido cumpla los requisitos especificados en una RFC del IETF para los mensajes de correo electrónico, como la [RFC 2822](https://www.rfc-editor.org/rfc/rfc2822) | .eml |
| Texto | Archivos de texto no binario. Algunos ejemplos son: archivos de valores separados por comas (CSV), archivos de lenguaje de marcado extensible (XML), archivos de lenguaje de marcado de hipertexto (HTML), archivos de notación de JavaScript objetos (JSON), archivos de líneas JSON, documentos de texto sin formato, archivos de valores separados por tabulaciones (TSV) y archivos YAML | En función del tipo de archivo de texto no binario: .csv, .htm, .html, .json, .jsonl, .tsv, .txt, .xml, .yaml, .yml y otros. |
Macie no analiza los datos de las imágenes ni del audio, el vídeo ni otros tipos de contenido multimedia.
Si configura un trabajo de detección de datos confidenciales para analizar los objetos de S3 que no utilizan un formato de archivo o almacenamiento compatible, Macie omite esos objetos cuando se ejecuta el trabajo. Macie no intenta extraer ni analizar los datos de los objetos: los trata como *objetos no clasificables*. Un *objeto no clasificable* es un objeto que no utiliza una clase de almacenamiento de Amazon S3 compatible ni un archivo o formato de almacenamiento compatible. Macie analiza solo aquellos objetos que utilizan una clase, archivo o formato de almacenamiento compatibles.
Igualmente, si se configura Macie para que realice la detección automática de datos confidenciales, los objetos no clasificables no podrán seleccionarse ni analizarse. Macie selecciona solo los objetos que utilizan una clase de almacenamiento Amazon S3, un archivo o un formato de almacenamiento compatibles.
Para identificar los buckets de S3 que almacenan objetos no clasificables, se puede [filtrar el inventario de bucket de S3](monitoring-s3-inventory-filter.md). Para cada bucket del inventario, hay campos que indican el número y el tamaño total de almacenamiento de los objetos no clasificables del bucket.