Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales

Cuando ejecuta un trabajo de detección de datos confidenciales o Amazon Macie realiza una detección automatizado de datos confidenciales, Macie crea un registro de análisis para cada objeto de Amazon Simple Storage Service (Amazon S3) que se incluye en el ámbito del análisis. Estos registros, denominados resultados de la detección de datos confidenciales, registran detalles sobre el análisis que Macie realiza en objetos S3 individuales. Esto incluye objetos en los que Macie no detecta datos confidenciales y, por lo tanto, no produce resultados, y objetos que Macie no puede analizar debido a errores o problemas. Si Macie detecta datos confidenciales en un objeto, el registro incluye los datos del hallazgo correspondiente, así como información adicional. Los resultados del detección de datos confidenciales le proporcionan registros de análisis que pueden resultar útiles para auditorías o investigaciones sobre la privacidad y la protección de los datos.

Macie almacena los resultados de la detección de datos confidenciales solo durante 90 días. Para acceder a sus resultados y permitir su almacenamiento y conservación a largo plazo, configure Macie para que cifre los resultados con una clave AWS Key Management Service (AWS KMS) y los almacene en un bucket de S3. El bucket puede servir como un repositorio definitivo y a largo plazo para todos sus resultados de detección de datos confidenciales. A continuación, si lo desea, puede acceder a los resultados de ese repositorio y consultarlos.

Este tema le guía a través del proceso de uso del AWS Management Console para configurar un repositorio para los resultados del descubrimiento de datos confidenciales. La configuración es una combinación de un depósito AWS KMS key que cifra los resultados, un depósito de uso general de S3 que almacena los resultados y los ajustes de Macie que especifican la clave y el depósito que se deben utilizar. Si prefiere configurar los ajustes de Macie mediante programación, puede utilizar el PutClassificationExportConfigurationfuncionamiento de Amazon Macie. API

Al configurar los ajustes en Macie, sus elecciones se aplica únicamente a la Región de AWS actual. Si usted es el administrador de Macie para una organización, sus opciones se aplican solo a su cuenta. No se aplican a ninguna cuenta de miembro asociada. Si habilita la detección automática de datos confidenciales o ejecuta tareas de detección de datos confidenciales para analizar los datos de las cuentas de los miembros, Macie almacena los resultados de la detección de datos confidenciales en el repositorio de su cuenta de administrador.

Si utiliza Macie en varias ocasiones Regiones de AWS, configure los ajustes del repositorio para cada región en la que utilice Macie. De forma opcional, puede almacenar los resultados de la detección de información confidencial de varias regiones en el mismo bucket de S3. Sin embargo, tenga en cuenta los siguientes requisitos:

  • Para almacenar los resultados de una región que esté AWS habilitada de forma predeterminada Cuentas de AWS, como la región EE.UU. Este (Virginia del Norte), debe elegir un segmento de una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional (región que está deshabilitada de forma predeterminada).

  • Para almacenar los resultados de una región opcional, como la región Medio Oriente (Baréin), debe elegir un bucket de una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional diferente.

Para determinar si una región está habilitada de forma predeterminada, consulta la sección Habilitar o deshabilitar Regiones de AWS tu cuenta en la Guía del AWS Account Management usuario. Además de los requisitos anteriores, considere también si desea recuperar muestras de datos confidenciales de los que Macie informa en sus hallazgos individuales. Para recuperar muestras de datos confidenciales de un objeto S3 afectado, todos los siguientes recursos y datos deben almacenarse en la misma región: el objeto afectado, el hallazgo correspondiente y el resultado del descubrimiento de los datos confidenciales correspondientes.

Antes de empezar: aprenda los conceptos clave

Amazon Macie crea automáticamente un resultado de descubrimiento de datos confidenciales para cada objeto de Amazon S3 que analiza o intenta analizar cuando ejecuta un trabajo de descubrimiento de datos confidenciales o realiza un descubrimiento automatizado de datos confidenciales. Esto incluye:

  • Los objetos en los que Macie detecta datos confidenciales y, por lo tanto, también producen resultados de datos confidenciales.

  • Los objetos en los que Macie no detecta datos confidenciales y, por lo tanto, también producen resultados de datos confidenciales.

  • Objetos que Macie no puede analizar debido a errores o problemas, como la configuración de los permisos o el uso de un archivo o formato de almacenamiento no compatible.

Si Macie encuentra datos confidenciales en un objeto, el resultado de la detección de datos confidenciales incluirá los datos del resultado correspondiente. También proporciona información adicional, como la ubicación de hasta 1000 apariciones de cada tipo de datos confidenciales que Macie encontró en el objeto. Por ejemplo:

  • El número de columna y fila de una celda o campo de un libro, CSV archivo o TSV archivo de Microsoft Excel

  • La ruta a un campo o matriz de un archivo JSON o de JSON líneas

  • El número de línea de una línea de un archivo de texto no binario que no sea un archivoCSV,JSON, JSON Líneas o TSV archivo (por ejemplo, unHTML, TXT o un archivo XML

  • El número de página de una página de un archivo con el formato de documento portátil de Adobe () PDF

  • El índice de registro y la ruta a un campo de un registro en un contenedor de objetos de Apache Avro o un archivo de Apache Parquet

Si el objeto S3 afectado es un archivo comprimido, como un archivo.tar o .zip, el resultado del descubrimiento de datos confidenciales también proporciona datos de ubicación detallados para la aparición de datos confidenciales en archivos individuales que Macie extrajo del archivo. Macie no incluye esta información en los resultados de datos confidenciales para los archivos archivados. Para informar sobre los datos de ubicación, los resultados del descubrimiento de datos confidenciales utilizan un esquema estandarizado. JSON

Un resultado de detección de datos confidenciales no incluye los datos confidenciales que encontró Macie. En su lugar, le proporciona un registro de análisis que puede ser útil para auditorías o investigaciones.

Macie almacena los resultados de la detección de datos confidenciales durante 90 días. No puede acceder a ellos directamente en la consola Amazon Macie ni con Amazon Macie. API En su lugar, siga los pasos de este tema para configurar Macie de forma que cifre los resultados con el AWS KMS key que usted especifique y almacene los resultados en un depósito de uso general de S3 que también especifique. A continuación, Macie escribe los resultados en archivos JSON Lines (.jsonl), añade los archivos al depósito como archivos GNU Zip (.gz) y cifra los datos mediante el cifrado. SSE KMS A partir del 8 de noviembre de 2023, Macie también firma los objetos S3 resultantes con un código de autenticación de mensajes basado en Hash (). HMAC AWS KMS key

Cuando configure Macie para que almacene los resultados de la detección de datos confidenciales en un bucket de S3, puede usar el bucket como un repositorio definitivo y a largo plazo para los resultados. A continuación, si lo desea, puede acceder a los resultados de ese repositorio y consultarlos.

Consejos

Para ver un ejemplo detallado e instructivo de cómo puede consultar y utilizar los resultados del descubrimiento de datos confidenciales para analizar e informar sobre los posibles riesgos de seguridad de los datos, consulte la siguiente entrada del blog de AWS seguridad: Cómo consultar y visualizar los resultados del descubrimiento de datos confidenciales de Macie con Amazon Athena y Amazon. QuickSight

Para ver ejemplos de consultas de Amazon Athena que puede utilizar para analizar los resultados del descubrimiento de datos confidenciales, visite el repositorio de Amazon Macie Results Analytics en. GitHub Este repositorio también proporciona instrucciones para configurar Athena para recuperar y descifrar los resultados, y scripts para crear tablas para los resultados.

Paso 1: Verificar sus permisos

Antes de configurar un repositorio para los resultados de la detección de datos confidenciales, compruebe que dispone de los permisos necesarios para cifrar y almacenar los resultados. Para verificar sus permisos, utilice AWS Identity and Access Management (IAM) para revisar las IAM políticas asociadas a su IAM identidad. A continuación, compare la información de esas directivas con la siguiente lista de acciones que debe poder realizar para configurar el repositorio.

Amazon Macie

Para Macie, verifique que se le permite realizar la siguiente acción:

macie2:PutClassificationExportConfiguration

Esta acción le permite añadir o cambiar la configuración del repositorio en Macie.

Amazon S3

Para Amazon S3, verifique que tiene permiso para realizar las siguientes acciones:

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

Estas acciones le permiten acceder a un depósito de uso general de S3 y configurarlo, que puede servir como repositorio.

AWS KMS

Para usar la consola de Amazon Macie para añadir o cambiar la configuración del repositorio, verifique también que se le permita realizar las siguientes acciones AWS KMS :

  • kms:DescribeKey

  • kms:ListAliases

Estas acciones le permiten extraer y mostrar información sobre la AWS KMS keys de su cuenta. A continuación, puede elegir una de estas claves para cifrar los resultados de la detección de datos confidenciales.

Si planea crear uno nuevo AWS KMS key para cifrar los datos, también debe poder realizar las siguientes acciones: kms:CreateKeykms:GetKeyPolicy, ykms:PutKeyPolicy.

Si no está autorizado a realizar las acciones necesarias, pida ayuda a su AWS administrador antes de continuar con el siguiente paso.

Paso 2: Configurar en AWS KMS key

Tras verificar sus permisos, determine cuáles AWS KMS key desea que Macie utilice para cifrar los resultados de la detección de datos confidenciales. La clave debe ser una KMS clave de cifrado simétrica y administrada por el cliente que esté habilitada en el Región de AWS mismo lugar que el depósito de S3 en el que desea almacenar los resultados.

La clave puede ser una existente AWS KMS key de su propia cuenta o una existente AWS KMS key que sea propiedad de otra cuenta. Si quieres usar una KMS clave nueva, créala antes de continuar. Si quieres usar una clave existente que sea propiedad de otra cuenta, obtén el nombre de recurso de Amazon (ARN) de la clave. Deberá introducirlo ARN cuando configure los ajustes del repositorio en Macie. Para obtener información sobre cómo crear y revisar la configuración de KMS las claves, consulte la Guía para AWS Key Management Service desarrolladores.

nota

La clave puede estar AWS KMS key en un almacén de claves externo. Sin embargo, es posible que la clave sea más lenta y menos fiable que una clave que se gestione íntegramente dentro de AWS KMS. Puede reducir este riesgo almacenando los resultados de la detección de información confidencial en un bucket de S3 que esté configurado para utilizar la clave como una bucket de S3. De este modo, se reduce la cantidad de solicitudes de AWS KMS que se deben realizar para cifrar los resultados de la detección de datos confidenciales.

Para obtener información sobre el uso de KMS claves en almacenes de claves externos, consulte Almacenes de claves externos en la Guía para AWS Key Management Service desarrolladores. Para obtener información sobre el uso de las claves de bucket de S3, consulte Cómo reducir el coste deSSE... KMS con las claves de bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Una vez que hayas determinado qué KMS clave quieres que utilice Macie, dale permiso a Macie para que utilice la clave. De lo contrario, Macie no podrá cifrar ni almacenar los resultados en el repositorio. Para dar permiso a Macie para usar la clave, actualiza la política de claves de la clave. Para obtener información detallada sobre las políticas clave y la administración del acceso a KMS las claves, consulte las políticas clave AWS KMS en la Guía para AWS Key Management Service desarrolladores.

Actualización de la política de claves
  1. Abra la AWS KMS consola en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. Elija la clave que quiera que Macie utilice para cifrar los resultados de la detección de datos confidenciales.

  4. En la pestaña Política de claves, elija Editar.

  5. Copie la siguiente declaración en el portapapeles y, a continuación, agréguela a la política:

    { "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }
    nota

    Cuando agregue la instrucción a la política, asegúrese de que la sintaxis sea válida. Las políticas utilizan el JSON formato. Esto significa que también debe añadir una coma antes o después de la declaración, dependiendo de dónde añada la declaración a la directiva. Si añade la instrucción como la última instrucción de la política, inserte la coma después del corchete de cierre de la sección anterior. Si lo añade como la primera declaración o entre dos declaraciones existentes, añada una coma después de la llave de cierre para la declaración.

  6. Actualice la declaración con los valores correctos para su entorno:

    • En los campos Condition, sustituya los valores de los marcadores de posición, donde:

      • 111122223333 es el identificador de su cuenta Cuenta de AWS.

      • Region es Región de AWS en la que estás usando Macie y quieres permitir que Macie use la clave.

        Si utilizas Macie en varias regiones y quieres permitir que Macie utilice la clave en otras regiones, añade aws:SourceArn condiciones para cada región adicional. Por ejemplo:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        De forma alternativa, puede permitir a Macie utilizar la clave en todas las regiones. Para ello, sustituya el valor del marcador de posición por el carácter comodín (*). Por ejemplo:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • Si utiliza Macie en una región opcional, agregue el código de región correspondiente al valor del campo Service. Por ejemplo, si está usando Macie en la región de Medio Oriente (Baréin), que tiene el código de región me-sur-1, reemplace macie.amazonaws.com con macie.me-south-1.amazonaws.com. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie cuotas en la Referencia general de AWS.

    Tenga en cuenta que los Condition campos utilizan dos claves de condición IAM globales:

    • aws: SourceAccount — Esta condición permite a Macie realizar las acciones especificadas solo para su cuenta. Más específicamente, determina qué cuenta puede realizar las acciones especificadas para los recursos y acciones especificados por la condición aws:SourceArn.

      Para permitir que Macie realice las acciones especificadas para cuentas adicionales, añada el ID de cuenta para cada cuenta adicional a esta condición. Por ejemplo:

      "aws:SourceAccount": [111122223333,444455556666]
    • aws: SourceArn — Esta condición impide que otras personas Servicios de AWS realicen las acciones especificadas. También impide que Macie utilice la clave mientras realiza otras acciones en su cuenta. En otras palabras, permite a Macie cifrar los objetos de S3 con la clave solo si: los objetos son resultados de descubrimiento de datos confidenciales y los resultados son trabajos de descubrimiento de datos confidenciales automatizados o de descubrimiento de datos confidenciales creados por la cuenta especificada en la región especificada.

      Para permitir que Macie lleve a cabo las acciones especificadas para cuentas adicionales, añada ARNs esta condición para cada cuenta adicional. Por ejemplo:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    Las cuentas que se especifican en las condiciones aws:SourceAccount y aws:SourceArn deberían coincidir.

    Estas condiciones ayudan a evitar que Macie sea utilizado como un ayudante confuso durante las transacciones con. AWS KMS Aunque no lo recomendamos, puede eliminar estas condiciones de la declaración.

  7. Cuando termine de añadir y actualizar la declaración, seleccione Guardar cambios.

Paso 3: Elegir un bucket de S3

Tras comprobar sus permisos y configurarlos AWS KMS key, podrá especificar qué depósito de S3 quiere utilizar como repositorio para los resultados de su descubrimiento de datos confidenciales. Dispone de dos opciones para hacerlo:

  • Utilice un nuevo depósito de S3 creado por Macie: si elige esta opción, Macie creará automáticamente un nuevo depósito de S3 de uso general en el actual Región de AWS para los resultados de su descubrimiento. Macie también aplica una política de bucket al bucket. La política permite a Macie añadir objetos al bucket. También requiere que los objetos se cifren con la información AWS KMS key que usted especifique, mediante SSE el cifrado. KMS Para revisar la política, selecciona Ver política en la consola de Amazon Macie después de especificar el nombre del depósito y la KMS clave que se va a usar.

  • Utilice un bucket de S3 existente que haya creado: si prefiere almacenar los resultados de su detección en un bucket de S3 concreto que haya creado, cree el bucket antes de continuar. La cubeta debe ser de uso general. Además, la configuración y la política del depósito deben permitir a Macie añadir objetos al depósito. En este tema se explica qué ajustes se deben comprobar y cómo actualizar la política. También proporciona ejemplos de las declaraciones que se deben añadir a la política.

Las siguientes secciones proporcionan instrucciones para cada opción. Elija la sección para la opción que desee.

Si prefiere utilizar un nuevo bucket de S3 que Macie cree para usted, el último paso del proceso consiste en configurar los ajustes del repositorio en Macie.

Para configurar los ajustes del repositorio en Macie
  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, en Ajustes, seleccione Resultados de la detección.

  3. En Repositorio de resultados de detección de datos confidenciales, seleccione Crear bucket.

  4. En el cuadro de diálogo Crear un bucket escriba un nombre para el bucket.

    El nombre debe ser único en todos los buckets de S3. Los nombres de bucket pueden consistir únicamente de letras minúsculas, números, puntos (.) y guiones (-). Para conocer los requisitos de nomenclatura adicionales, consulte Reglas de nomenclatura de buckets en la Guía del usuario de Amazon Simple Storage Service.

  5. Expanda la sección Advanced (Configuración avanzada).

  6. (Opcional) Para especificar un prefijo que se utilizará en la ruta a una ubicación del bucket, introdúzcalo en el cuadro de prefijo del resultado de la detección de datos.

    Al introducir un valor, Macie actualiza el ejemplo situado debajo del cuadro para mostrar la ruta a la ubicación del bucket en la que almacenará los resultados de la detección.

  7. En Bloquear todo el acceso público, elija para activar todos los ajustes de bloqueo de acceso público del bucket.

    Para obtener información sobre estos ajustes, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

  8. En Configuración del cifrado, especifique la AWS KMS key que Macie tiene que utilizar para cifrar los resultados:

    • Para usar una clave de su propia cuenta, elija Seleccionar una clave de su cuenta. Luego, en la lista AWS KMS key, seleccione la clave que desea usar. La lista muestra las KMS claves de cifrado simétricas administradas por el cliente para su cuenta.

    • Para usar una clave que pertenezca a otra cuenta, selecciona Introducir la ARN clave de otra cuenta. A continuación, en el AWS KMS key ARNcuadro, introduce el nombre del recurso de Amazon (ARN) de la clave que se va a utilizar, por ejemplo,. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. Cuando termine con la configuración, elija Guardar.

    Macie comprueba la configuración para verificar que es correcta. Si alguna configuración es incorrecta, Macie muestra un mensaje de error que lo ayuda a solucionar el problema.

Tras guardar la configuración del repositorio, Macie añade al mismo los resultados de detección existentes de los 90 días anteriores. Macie también comienza a añadir nuevos resultados de detección al repositorio.

Si prefiere almacenar los resultados de su descubrimiento de datos confidenciales en un depósito de S3 concreto que debe crear, cree y configure el depósito antes de configurar los ajustes en Macie. Al crear el bucket, tenga en cuenta los siguientes requisitos:

  • El depósito debe ser un depósito de uso general. No puede ser un depósito de directorios.

  • Si habilita el bloqueo de objetos para el bucket, debe deshabilitar la configuración de retención predeterminada para esa característica. De lo contrario, Macie no podrá añadir los resultados de la detección al bucket. Para obtener más información, consulte Funcionamiento de Object Lock de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

  • Para almacenar los resultados de descubrimiento de una región que está habilitada de forma predeterminada Cuentas de AWS, como la región EE.UU. Este (Virginia del Norte), el depósito debe estar en una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional (región que está deshabilitada de forma predeterminada).

  • Para almacenar los resultados de la detección de una región opcional, como la región Medio Oriente (Baréin), el bucket debe estar en esa misma región o en una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional diferente.

Para determinar si una región está habilitada de forma predeterminada, consulta la sección Habilitar o deshabilitar Regiones de AWS tu cuenta en la Guía del AWS Account Management usuario.

Tras crear el bucket, actualice la política del bucket para que Macie pueda extraer información sobre el bucket y añadir objetos al bucket. A continuación, podrá configurar los ajustes en Macie.

Para actualizar la política de bucket
  1. Abra la consola Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Elija el bucket en el que desea almacenar sus resultados de detección.

  3. Elija la pestaña Permisos.

  4. Elija Editar en la sección Política de bucket.

  5. Copie el siguiente ejemplo de política en su portapapeles:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
  6. Pegue la política de ejemplo en el editor de políticas de Bucket de la consola de Amazon S3.

  7. Actualice la política de ejemplo con los valores correctos para su entorno:

    • En la declaración opcional que niega los encabezados de cifrado incorrectos:

      • Reemplazar amzn-s3-demo-bucket con el nombre del depósito. Para especificar también un prefijo para la ruta a una ubicación del depósito, sustituya [optional prefix/] con el prefijo. De lo contrario, elimine el [optional prefix/] valor de marcador de posición.

      • En este StringNotEquals estado, sustituya arn:aws:kms:Region:111122223333:key/KMSKeyId con el nombre de recurso de Amazon (ARN) del AWS KMS key que se utilizará para cifrar los resultados de su descubrimiento.

    • En todas las demás sentencias, sustituya los valores de los marcadores de posición, donde:

      • amzn-s3-demo-bucket es el nombre del depósito.

      • [optional prefix/] es el prefijo de la ruta a una ubicación del depósito. Elimine este valor de marcador de posición si no desea especificar un prefijo.

      • 111122223333 es el identificador de cuenta de su. Cuenta de AWS

      • Region es Región de AWS en la que utilizas Macie y quieres permitir que Macie añada los resultados de los descubrimientos al depósito.

        Si utiliza Macie en varias regiones y quiere permitir que Macie añada resultados al bucket de regiones adicionales, añada aws:SourceArn condiciones para cada región adicional. Por ejemplo:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        Como alternativa, puede permitir que Macie añada resultados al bucket para todas las regiones en las que utilice Macie. Para ello, sustituya el valor del marcador de posición por el carácter comodín (*). Por ejemplo:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • Si está utilizando Macie en una región opcional, agregue el código de región correspondiente al valor del campo Service en cada instrucción que especifique la entidad principal del servicio de Macie. Por ejemplo, si utiliza Macie en la región de Medio Oriente (Baréin), que tiene el código de región me-south-1, sustituya macie.amazonaws.com por macie.me-south-1.amazonaws.com en cada afirmación aplicable. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie cuotas en la Referencia general de AWS.

    Tenga en cuenta que la política de ejemplo incluye instrucciones que permiten a Macie determinar en qué región reside el bucket (GetBucketLocation) y agregar objetos al bucket (PutObject). Estas declaraciones definen condiciones que utilizan dos claves de condición IAM globales:

    • aws: SourceAccount — Esta condición permite a Macie añadir los resultados del descubrimiento de datos confidenciales al depósito solo para su cuenta. Impide que Macie añada los resultados de detección de otras cuentas al bucket. Más específicamente, la condición especifica qué cuenta puede usar el bucket para los recursos y las acciones especificados en la aws:SourceArn condición.

      Para almacenar los resultados de cuentas adicionales en el bucket, añada el identificador de cada cuenta adicional a esta condición. Por ejemplo:

      "aws:SourceAccount": [111122223333,444455556666]
    • aws: SourceArn — Esta condición restringe el acceso al depósito en función del origen de los objetos que se van a añadir al depósito. Impide que otras Servicios de AWS personas añadan objetos al depósito. También evita que Macie añada objetos al bucket mientras realiza otras acciones en su cuenta. Más específicamente, la condición permite a Macie añadir objetos al depósito solo si: los objetos son resultados de la detección de datos confidenciales y los resultados son para tareas automatizadas de descubrimiento de datos confidenciales o de descubrimiento de datos confidenciales creadas por la cuenta especificada en la región especificada.

      Para permitir que Macie lleve a cabo las acciones especificadas para cuentas adicionales, añada esta condición ARNs para cada cuenta adicional. Por ejemplo:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    Las cuentas especificadas en las condiciones aws:SourceAccount y aws:SourceArn deben coincidir.

    Ambas condiciones ayudan a evitar que Macie sea utilizado como un ayudante confuso durante las transacciones con Amazon S3. Aunque no lo recomendamos, puedes eliminar estas condiciones de la política del bucket.

  8. Cuando haya terminado de actualizar la política del bucket, elija Guardar cambios.

Ahora, puede configurar los ajustes del repositorio en Macie.

Configuración de los ajustes del repositorio en Macie
  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, en Ajustes, seleccione Resultados de la detección.

  3. En Repositorio para ver los resultados de la detección de datos confidenciales, elija Bucket existente.

  4. En Elegir un bucket, seleccione el bucket en el que desea almacenar los resultados de la detección.

  5. Para especificar un prefijo para la ruta a una ubicación del depósito, amplíe la sección Avanzadas. A continuación, en Prefijo del resultado del descubrimiento de datos, introduzca el prefijo.

    Al introducir un valor, Macie actualiza el ejemplo situado debajo del cuadro para mostrar la ruta a la ubicación del bucket en la que almacenará los resultados de la detección.

  6. En Configuración del cifrado, especifique la AWS KMS key que Macie tiene que utilizar para cifrar los resultados:

    • Para usar una clave de su propia cuenta, elija Seleccionar una clave de su cuenta. Luego, en la lista AWS KMS key, seleccione la clave que desea usar. La lista muestra las KMS claves de cifrado simétricas administradas por el cliente para su cuenta.

    • Para usar una clave que pertenezca a otra cuenta, selecciona Introducir la ARN clave de otra cuenta. Luego, en el AWS KMS key ARNcuadro, ingresa ARN la clave que deseas usar, por ejemplo,. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. Cuando termine con la configuración, elija Guardar.

    Macie comprueba la configuración para verificar que es correcta. Si alguna configuración es incorrecta, Macie muestra un mensaje de error que lo ayuda a solucionar el problema.

Tras guardar la configuración del repositorio, Macie añade al mismo los resultados de detección existentes de los 90 días anteriores. Macie también comienza a añadir nuevos resultados de detección al repositorio.

nota

Si posteriormente cambia la configuración de Prefijo de resultados de detección de datos, actualice también la política de buckets en Amazon S3. Las declaraciones de política que especifican el prefijo anterior deben especificar el nuevo prefijo. De lo contrario, Macie no podrá agregar los resultados de la detección al bucket.

sugerencia

Para reducir los costes de cifrado del lado del servidor, configure también el bucket de S3 para que utilice una clave de bucket de S3 y especifique la AWS KMS key que ha configurado para cifrar los resultados de la detección de datos confidenciales. El uso de una clave de depósito de S3 reduce el número de llamadas AWS KMS, lo que puede reducir los costes de las AWS KMS solicitudes. Si la KMS clave está en un almacén de claves externo, el uso de una clave de depósito de S3 también puede minimizar el impacto en el rendimiento del uso de la clave. Para obtener más información, consulte Reducir el coste deSSE... KMS con las claves de bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.