Ajuste de las puntuaciones de confidencialidad para buckets de S3

A medida que revise y evalúe las estadísticas, los datos y otros resultados de la detección de datos confidenciales automatizada, es posible que desee afinar las evaluaciones de confidencialidad de sus buckets de Amazon Simple Storage Service (Amazon S3). Puede que quiera también capturar los resultados de las investigaciones que realice usted o su organización para buckets específicos. Si eres el administrador de Amazon Macie de una organización o tienes una cuenta de Macie independiente, puedes realizar estos cambios ajustando la puntuación de sensibilidad y otros ajustes para los cubos individuales. Si tiene una cuenta de miembro en una organización, contacte con su administrador de Macie para ajustar la configuración de los buckets de su propiedad. Solo el administrador de Macie de su organización puede ajustar esta configuración para sus buckets.

Si es administrador de Macie o tiene una cuenta de Macie independiente, puede ajustar la puntuación de sensibilidad de un bucket de S3 de las siguientes maneras:

Asigne una puntuación de sensibilidad: de forma predeterminada, Macie calcula automáticamente la puntuación de sensibilidad de un cubo. La puntuación se basa principalmente en la cantidad de datos confidenciales que Macie ha encontrado en un bucket y en la cantidad de datos que Macie ha analizado en un bucket. Para obtener más información, consulte Puntuación de confidencialidad para buckets de S3.

Puede anular la puntuación calculada de un bucket y asignar manualmente la puntuación máxima (100), con lo que también se aplica la etiqueta de Confidencialidad al bucket. Si lo hace, Macie seguirá realizando la detección de datos confidenciales automatizada del bucket. Sin embargo, los análisis posteriores no afectan a la puntuación del bucket. Para volver a calcular la puntuación automáticamente, vuelva a cambiar la configuración.
Excluya o incluya tipos de datos confidenciales en la puntuación de sensibilidad: si se calcula automáticamente, la puntuación de sensibilidad de un segmento se basa en parte en la cantidad de datos confidenciales que Macie ha encontrado en el depósito. Esto se debe principalmente a la naturaleza y el número de tipos de datos confidenciales que Macie ha encontrado y al número de veces que aparece cada tipo. De forma predeterminada, Macie incluye las apariciones de todos los tipos de datos confidenciales al calcular la puntuación de un bucket.

Puede ajustar el cálculo excluyendo o incluyendo tipos específicos de datos confidenciales en la puntuación de un segmento. Por ejemplo, si Macie detectó direcciones postales en un bucket y usted determina que esto es aceptable, puede excluir todas las direcciones postales que aparezcan en la puntuación del bucket. Si excluye un tipo de datos confidenciales, Macie seguirá inspeccionando el bucket en busca de ese tipo de datos e informando de los casos que encuentre. Sin embargo, esas ocurrencias no afectan a la puntuación del bucket. Para volver a incluir un tipo de datos confidenciales en la puntuación, vuelva a cambiar la configuración.

También puede excluir un bucket de S3 de los análisis posteriores. Si excluye un bucket, las estadísticas y los detalles de detección de datos confidenciales existentes del bucket persisten. Por ejemplo, la puntuación de confidencialidad actual del bucket permanece inalterada. Sin embargo, Macie deja de analizar los objetos del bucket cuando realiza una detección de datos confidenciales automatizada para su cuenta. Tras excluir un bucket, puede volver a incluirlo posteriormente.

Si cambias una configuración que afecta a la puntuación de sensibilidad de un bucket de S3, Macie empezará inmediatamente a recalcular la puntuación. Macie también actualiza las estadísticas y otra información que proporciona sobre el bucket y los datos de Amazon S3 en general. Por ejemplo, si asignas la puntuación máxima a un segmento, Macie incrementará el recuento de grupos sensibles en las estadísticas agregadas.

Para ajustar la puntuación de sensibilidad u otros ajustes de un cubo de S3

Para ajustar la puntuación de confidencialidad u otros ajustes de un bucket de S3, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

Console

Siga estos pasos para ajustar la puntuación de sensibilidad o la configuración de un bucket S3 mediante la consola Amazon Macie.

Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/
En el panel de navegación, elija Buckets de S3. La página Buckets de S3 muestra su inventario de buckets.

De forma predeterminada, la página no muestra los datos de los buckets que actualmente están excluidos de los análisis. Si es el administrador de Macie de una organización, tampoco muestra los datos de las cuentas para las que la detección de datos confidenciales automatizada esté deshabilitada actualmente. Para mostrar estos datos, seleccione una X en el marcador del filtro ¿Está supervisado por la detección automatizada? situado debajo del cuadro de filtro.
Elija el bucket de S3 cuya configuración quiera ajustar. Puede elegir el bucket mediante la vista de tabla ( ) o el mapa interactivo ( ).
En la página de detalles, realice alguna de las siguientes acciones:
- Para anular la puntuación de confidencialidad calculada y asignar manualmente una puntuación, active Asignar puntuación máxima ( ). Esto cambia la puntuación del bucket a 100 y se aplica la etiqueta de confidencial al bucket.
- Para asignar una puntuación de confidencialidad que Macie calcule automáticamente, desactive Asignar puntuación máxima ( ).
- Para excluir o incluir tipos específicos de datos confidenciales en la puntuación de confidencialidad, seleccione la pestaña Confidencialidad. En la tabla de detecciones, seleccione la casilla de verificación correspondiente al tipo de datos confidenciales que desee excluir o incluir. A continuación, en el menú Acciones, elija Excluir de la puntuación para excluir el tipo o elija Incluir en la puntuación para incluir el tipo.
  
  En la tabla, el campo Tipo de datos confidenciales especifica el identificador de datos administrados o el identificador de datos personalizado que detectó los datos. Para un identificador de datos administrados, se trata de un identificador (ID) único que describe el tipo de datos confidenciales que el identificador está diseñado para detectar; por ejemplo, USA_PASSPORT_NUMBER para los números de pasaporte estadounidenses. Para obtener más información sobre cada identificador de datos administrados, consulte Uso de identificadores de datos administrados.
- Para excluir el bucket de los análisis posteriores, active Excluir de la detección automatizada ( ).
- Para incluir el bucket en los análisis subsiguientes, si antes lo hubiera excluido, desactive Excluir de la detección automatizada ( ).

API

Para ajustar la puntuación de sensibilidad o un ajuste de un bucket de S3 mediante programación, dispone de varias opciones. La opción adecuada depende de lo que desee ajustar.

Asignación de puntuación de confidencialidad

Para asignar una puntuación de sensibilidad a un bucket S3, utilice la UpdateResourceProfileoperación. En tu solicitud, usa el resourceArn parámetro para especificar el nombre de recurso de Amazon (ARN) del bucket. Para el sensitivityScoreOverride parámetro, realice una de las siguientes acciones:

Para anular la puntuación calculada y asignar manualmente la puntuación máxima, especifique100.
Para asignar una puntuación que Macie calcule automáticamente, omita el parámetro. Si este parámetro es nulo, Macie calcula y asigna la puntuación.

Si utiliza AWS Command Line Interface (AWS CLI), ejecute el update-resource-profilecomando para asignar una puntuación de sensibilidad a un bucket de S3. En su solicitud, utilice el resource-arn parámetro para especificar el ARN del depósito. Omita o utilice el sensitivity-score-override parámetro para especificar qué puntuación asignar.

Si la solicitud es correcta, Macie asigna la puntuación especificada y devuelve una respuesta vacía.

Excluya o incluya tipos de datos confidenciales en la puntuación de sensibilidad

Para excluir o incluir tipos de datos confidenciales en la puntuación de sensibilidad de un bucket de S3, utilice la UpdateResourceProfileDetectionsoperación. Al utilizar esta operación, se sobrescriben los ajustes de inclusión y exclusión actuales de la puntuación de un segmento. Por lo tanto, es una buena idea recuperar primero la configuración actual y determinar cuáles desea conservar. Para recuperar la configuración actual, utilice la ListResourceProfileDetectionsoperación.

Cuando esté listo para actualizar la configuración, utilice el resourceArn parámetro para especificar el ARN del bucket de S3. Para el suppressDataIdentifiers parámetro, realice una de las siguientes acciones:

Para excluir un tipo de datos confidenciales de la puntuación del segmento, utilice el type parámetro para especificar el tipo de identificador de datos que detectó los datos, un identificador de datos gestionados (MANAGED) o un identificador de datos personalizado (CUSTOM). Utilice el id parámetro para especificar el identificador único del identificador de datos gestionado o personalizado que detectó los datos.
Para incluir un tipo de datos confidenciales en la puntuación del segmento, no especifique ningún detalle del identificador de datos gestionado o personalizado que detectó los datos.
Para incluir todos los tipos de datos confidenciales en la puntuación del segmento, no especifiques ningún valor. Si el valor del suppressDataIdentifiers parámetro es nulo (vacío), Macie incluye todos los tipos de detecciones al calcular la puntuación.

Si está utilizando el AWS CLI, ejecute el update-resource-profile-detectionscomando para excluir o incluir tipos de datos confidenciales en la puntuación de sensibilidad de un bucket de S3. Utilice el resource-arn parámetro para especificar el ARN del depósito. Utilice el suppress-data-identifiers parámetro para especificar qué tipos de datos confidenciales debe excluir o incluir en la puntuación del depósito. Para recuperar y revisar primero la configuración actual del depósito, ejecute el list-resource-profile-detectionscomando.

Si la solicitud es correcta, Macie actualiza la configuración y devuelve una respuesta vacía.

Excluya o incluya un bucket de S3 en los análisis

Para excluir o incluir posteriormente un segmento de S3 en los análisis, utilice la UpdateClassificationScopeoperación. O bien, si está utilizando el AWS CLI, ejecute el update-classification-scopecomando. Para obtener detalles y ejemplos adicionales, consulteExcluir o incluir los depósitos de S3 en la detección automática de datos confidenciales.

Los siguientes ejemplos muestran cómo utilizarlos AWS CLI para ajustar la configuración individual de un bucket de S3. En este primer ejemplo, se asigna manualmente la puntuación de sensibilidad máxima (100) a un depósito. Anula la puntuación calculada del cubo.


$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100

¿Dónde arn:aws:s3:::amzn-s3-demo-bucket está el ARN del depósito S3?

El siguiente ejemplo cambia la puntuación de sensibilidad de un segmento S3 por una puntuación que Macie calcula automáticamente. Actualmente, el cubo tiene una puntuación asignada manualmente que anula la puntuación calculada. En este ejemplo, se elimina esa anulación al omitir el sensitivity-score-override parámetro de la solicitud.


$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2

¿Dónde arn:aws:s3:::amzn-s3-demo-bucket2 está el ARN del depósito S3?

Los siguientes ejemplos excluyen determinados tipos de datos confidenciales de la puntuación de sensibilidad de un bucket de S3. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.


$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'

Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.


C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]

Donde:

arn:aws:s3:::amzn-s3-demo-bucket3es el ARN del bucket S3.
ADDRESSes el identificador único del identificador de datos gestionados que detectó un tipo de datos confidenciales para excluirlos (direcciones postales).
3293a69d-4a1e-4a07-8715-208ddexamplees el identificador único del identificador de datos personalizado que detectó un tipo de datos confidenciales para excluirlos.

El siguiente conjunto de ejemplos incluye más adelante todos los tipos de datos confidenciales en la puntuación de sensibilidad del segmento S3. Sobrescribe la configuración de exclusión actual del depósito especificando un valor vacío (nulo) para el suppress-data-identifiers parámetro. Para Linux, macOS o Unix:


$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'

Para Microsoft Windows:


C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]

¿Dónde arn:aws:s3:::amzn-s3-demo-bucket3 está el ARN del depósito S3?

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas de cobertura

Puntuación de confidencialidad para buckets de S3