Antes de empezar Configuración y habilitación de los ajustes de Macie Deshabilitación de la configuración de Macie

Configuración de Macie para recuperar muestras de datos confidenciales

Si lo desea, puede configurar y usar Amazon Macie de manera opcional para recuperar y revelar muestras de datos confidenciales que Macie notifica en resultados individuales. Las muestras pueden ayudarle a verificar la naturaleza de los datos confidenciales que encontró Macie. También pueden ayudarle a personalizar la investigación de un objeto y un bucket de Amazon Simple Storage Service (Amazon S3) afectados. Puede recuperar y revelar muestras de datos confidenciales en todas las Regiones de AWS que Macie está disponible actualmente, excepto las de Asia-Pacífico (Osaka) e Israel (Tel Aviv).

Al recuperar y revelar muestras de datos confidenciales para un resultados, Macie utiliza los datos del correspondiente resultado de la detección de datos confidenciales para localizar las ocurrencias de datos confidenciales en el objeto S3 afectado. A continuación, Macie extrae muestras de esas ocurrencias del objeto afectado. Macie cifra los datos extraídos con una clave AWS Key Management Service (AWS KMS) que usted especifique, almacena temporalmente los datos cifrados en una memoria caché y devuelve los datos de los resultados para su búsqueda. Poco después de la extracción y el cifrado, Macie elimina permanentemente los datos de la memoria caché, a menos que se requiera una retención adicional temporal para resolver un problema operativo.

Para recuperar y revelar muestras de datos confidenciales para los resultados, primero tiene que configurar y habilitar la configuración de su cuenta de Macie. También debe configurar los recursos y permisos de ayuda para su cuenta. Los temas de esta sección le guiarán por el proceso de configuración de Macie para que recupere y revele muestras de datos confidenciales, así como por el proceso de administración del estado de la configuración de su cuenta.

Temas

Antes de empezar
Configuración y habilitación de los ajustes de Macie
Deshabilitación de la configuración de Macie

sugerencia

Para ver recomendaciones y ejemplos de políticas que puede usar para controlar el acceso a esta funcionalidad, consulte la siguiente entrada de blog en el AWS Security Blog: How to use Amazon Macie to preview sensitive data in S3 buckets.

Antes de empezar

Antes de configurar Amazon Macie para que recupere y revele muestras de datos confidenciales de los resultados, complete las siguientes tareas para garantizar que disponga de los permisos y recursos que necesita.

Tareas

Paso 1: configuración de un repositorio para los resultados de detección de datos confidenciales
Paso 2: elección del método de acceso a los objetos de S3 afectados
Paso 3: configuración de una AWS KMS key
Paso 4: verificación de los permisos

Estas tareas son opcionales si ya ha configurado Macie para que recupere y revele muestras de datos confidenciales y solo desea cambiar los ajustes de configuración.

Paso 1: configuración de un repositorio para los resultados de detección de datos confidenciales

Al recuperar y revelar muestras de datos confidenciales para un resultado, Macie utiliza los datos del correspondiente resultado de la detección de datos confidenciales para localizar las ocurrencias de datos confidenciales en el objeto de S3 afectado. Por lo tanto, es importante verificar que haya configurado un repositorio para los resultados de la detección de datos confidenciales. De lo contrario, Macie no podrá localizar las muestras de datos confidenciales que desee recuperar y revelar.

Para comprobar que haya configurado este repositorio para su cuenta, puede usar la consola de Amazon Macie: elija Resultados de la detección (en Configuración) en el panel de navegación. Para hacerlo mediante programación, utilice la GetClassificationExportConfigurationoperación de la API Amazon Macie. Para obtener más información sobre los resultados de la detección de datos confidenciales y sobre cómo configurar este repositorio, consulte Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales.

Paso 2: elección del método de acceso a los objetos de S3 afectados

Para acceder a los objetos de S3 afectados y recuperar muestras de datos confidenciales de ellos, tiene dos opciones. Puede configurar Macie para que utilice sus credenciales de usuario AWS Identity and Access Management (IAM). O bien, puede configurar Macie para que asuma un rol de IAM que delegue el acceso a Macie. Puede utilizar cualquier configuración con cualquier tipo de cuenta de Macie: la cuenta de administrador de Macie delegada para una organización, una cuenta de miembro de Macie de una organización o una cuenta de Macie independiente. Antes de configurar los ajustes de Macie, determine qué método de acceso desea utilizar. Para obtener información detallada sobre las opciones y los requisitos de cada método, consulte Opciones de configuración para recuperar muestras.

Si planea usar un rol de IAM, cree y configure el rol antes de configurar los ajustes en Macie. Asegúrese también de que las políticas de confianza y permisos del rol cumplan con todos los requisitos para que Macie lo asuma. Si su cuenta forma parte de una organización que administra varias cuentas de Macie de forma centralizada, consúltelo antes con su administrador de Macie para determinar si desea configurar el rol de su cuenta y cómo hacerlo.

Paso 3: Configura un AWS KMS key

Al recuperar y revelar muestras de datos confidenciales para encontrarlas, Macie cifra las muestras con la clave AWS Key Management Service (AWS KMS) que usted especifique. Por lo tanto, debe determinar qué AWS KMS key desea utilizar para cifrar las muestras. La clave puede ser una clave de KMS existente de su propia cuenta o una clave de KMS existente que pertenezca a otra cuenta. Si desea utilizar una clave de otra cuenta, ingrese el nombre de recurso de Amazon (ARN) de la clave. Deberá especificar este ARN cuando configure los ajustes en Macie.

La clave de KMS debe ser una clave de cifrado simétrico administrada por el cliente. También debe ser una clave de una sola región que esté habilitada en la Región de AWS misma cuenta de Macie. La clave de KMS puede estar en un almacén de claves externo. Sin embargo, es posible que la clave sea más lenta y menos fiable que una clave que se gestione íntegramente dentro de AWS KMS. Si la latencia o un problema de disponibilidad impiden a Macie cifrar las muestras de datos confidenciales que desea recuperar y revelar, se produce un error y Macie no devuelve ninguna muestra para el resultado.

Además, la política clave de la clave debe permitir a los responsables correspondientes (funciones de IAM, usuarios de IAM o Cuentas de AWS) realizar las siguientes acciones:

kms:Decrypt
kms:DescribeKey
kms:GenerateDataKey

importante

Para tener una capa de control de acceso adicional, le recomendamos que cree también una clave de KMS dedicada para el cifrado de las muestras de datos confidenciales que se recuperen y que restrinja el uso de la clave únicamente a las entidades principales a las que se les debe permitir recuperar y revelar las muestras de datos confidenciales. Si a un usuario no se le permite llevar a cabo las acciones anteriores con la clave, Macie rechaza su solicitud para recuperar y revelar muestras de datos confidenciales. Macie no devuelve ninguna muestra para el resultado.

Para obtener más información sobre la creación y configuración de claves de KMS, consulte Create a KMS key en la Guía para desarrolladores de AWS Key Management Service . Para obtener información sobre las políticas de claves para administrar el acceso a claves de KMS, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service .

Paso 4: verificación de los permisos

Antes de configurar los ajustes de Macie, compruebe también que disponga de los permisos que necesita. Para verificar sus permisos, utilice AWS Identity and Access Management (IAM) para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones que debe estar autorizado a realizar.

Amazon Macie

En el caso de Macie, compruebe que está autorizado a realizar las siguientes acciones:

macie2:GetMacieSession
macie2:UpdateRevealConfiguration

La primera acción le permite acceder a su cuenta de Macie. La segunda acción le permite cambiar los ajustes de configuración de la cuenta para recuperar y revelar las muestras de datos confidenciales. Esto incluye habilitar y deshabilitar la configuración de su cuenta.

Si lo desea, compruebe que también está autorizado a realizar la acción macie2:GetRevealConfiguration. Esta acción le permite recuperar los ajustes de configuración actuales y el estado actual de la configuración de su cuenta.

AWS KMS

Si planea usar la consola Amazon Macie para introducir los ajustes de configuración, compruebe también que está autorizado a realizar las siguientes AWS Key Management Service (AWS KMS) acciones:

kms:DescribeKey
kms:ListAliases

Estas acciones le permiten recuperar información sobre la AWS KMS keys de su cuenta. A continuación, puede elegir una de estas claves al especificar la configuración.

IAM

Si planea configurar Macie para que asuma un rol de IAM a fin de recuperar y revelar muestras de datos confidenciales, compruebe también que cuenta con autorización para llevar a cabo la siguiente acción de IAM: iam:PassRole. Esta acción le permite transferir el rol a Macie, lo que a su vez le permite a Macie asumir el rol. Cuando ingrese los ajustes de configuración de su cuenta, Macie también podrá comprobar que el rol exista en esta y que esté configurado correctamente.

Si no está autorizado a realizar las acciones necesarias, pida ayuda a su AWS administrador.

Configuración y habilitación de los ajustes de Macie

Tras comprobar que disponga de los recursos y los permisos que necesita, puede configurar los ajustes en Amazon Macie y habilitar la configuración de su cuenta.

Si su cuenta forma parte de una organización que administra varias cuentas de Macie de forma centralizada, tenga en cuenta lo siguiente antes de configurar o cambiar los ajustes de su cuenta:

Si tiene una cuenta de miembro, consúltelo con su administrador de Macie para determinar si desea configurar los ajustes de su cuenta y cómo hacerlo. El administrador de Macie puede brindarle ayuda para determinar los ajustes de configuración correctos para su cuenta.
Si tiene una cuenta de administrador de Macie y cambia la configuración de acceso a los objetos de S3 afectados, los cambios podrían afectar a otras cuentas y recursos de su organización. Esto depende de si Macie está configurado actualmente para asumir una función AWS Identity and Access Management (IAM) a fin de recuperar muestras de datos confidenciales. Si es así y vuelve a configurar Macie para que utilice las credenciales de usuario de IAM, Macie eliminará permanentemente la configuración existente del rol de IAM: el nombre del rol y el ID externo de la configuración. Si, posteriormente, su organización decide volver a utilizar los roles de IAM, tendrá que especificar un nuevo ID externo en la política de confianza para el rol en cada cuenta de miembro correspondiente.

Para obtener más información sobre las opciones de configuración y los requisitos para cada tipo de cuenta, consulte Opciones de configuración para recuperar muestras.

Para configurar los ajustes de Macie y habilitar la configuración de su cuenta, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

Console

Para configurar y habilitar los ajustes mediante la consola de Amazon Macie, siga estos pasos.

Configuración y habilitación de los ajustes de Macie

Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/
Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee configurar y permita que Macie recupere y muestre muestras de datos confidenciales.
En el panel de navegación, en Configuración, seleccione Revelar muestras.
En la sección Configuración, elija Editar.
Para Estado, elija Habilitado.
En Acceso, especifique el método de acceso y la configuración que desee utilizar al recuperar muestras de datos confidenciales de los objetos de S3 afectados:
- Para usar un rol de IAM que delegue el acceso a Macie, elija Asumir un rol de IAM. Si eliges esta opción, Macie recupera las muestras asumiendo la función de IAM que creaste y configuraste en tu. Cuenta de AWS En el recuadro Nombre de función, ingrese el nombre del rol.
- Para usar las credenciales del usuario de IAM que solicita las muestras, elija Usar credenciales de usuario de IAM. Si elige esta opción, cada usuario de su cuenta utilizará su identidad de IAM individual para recuperar las muestras.
En Cifrado, especifique lo AWS KMS key que quiere usar para cifrar las muestras de datos confidenciales que se recuperen:
- Para usar una clave de su propia cuenta, elija Seleccionar una clave de la cuenta. Luego, en la lista AWS KMS key, seleccione la clave que desea usar. La lista muestra las claves KMS de cifrado simétrico para su cuenta.
- Para usar una clave de KMS que pertenezca a otra cuenta, seleccione Ingrese el ARN de una clave de otra cuenta. A continuación, en el cuadro ARN de AWS KMS key , introduzca el nombre de recurso de Amazon (ARN) de la clave de que se debe utilizar, por ejemplo, arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Cuando termine con la configuración, elija Guardar.

Macie prueba la configuración para verificar que sea correcta. Si ha configurado Macie para que asuma un rol de IAM, Macie también comprueba que el rol exista en su cuenta y que las políticas de confianza y permisos estén configuradas correctamente. Si hay algún problema, Macie muestra un mensaje que describe el problema.

Para solucionar un problema relacionado con AWS KMS key, consulte los requisitos del tema anterior y especifique una clave KMS que cumpla con los requisitos. Para solucionar un problema relacionado con el rol de IAM, comience por comprobar que haya ingresado el nombre correcto del rol. Si el nombre es correcto, asegúrese de que las políticas del rol cumplan con todos los requisitos para que Macie lo asuma. Para obtener estos detalles, consulte Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados. Puede guardar y habilitar la configuración cuando solucione los problemas.

nota

Si es el administrador de Macie de una organización y ha configurado Macie para que asuma un rol de IAM, Macie generará y mostrará un identificador externo después de guardar la configuración de su cuenta. Anote este ID. La política de confianza del rol de IAM de cada una de sus cuentas de miembro correspondientes debe especificar este ID. De lo contrario, no podrá recuperar muestras de datos confidenciales de los objetos de S3 de las cuentas.

API

Para configurar y habilitar los ajustes mediante programación, utilice el UpdateRevealConfigurationfuncionamiento de la API Amazon Macie. En la solicitud, especifique los valores apropiados para los parámetros admitidos:

En cuanto a los parámetros retrievalConfiguration, especifique el método de acceso y la configuración que quiera utilizar al recuperar muestras de datos confidenciales de los objetos de S3 afectados:
- Para asumir un rol de IAM que delegue el acceso a Macie, especifique ASSUME_ROLE en el parámetro retrievalMode y especifique el nombre del rol para el parámetro roleName. Si especifica estos ajustes, Macie recupera las muestras asumiendo la función de IAM que creó y configuró en su cuenta. Cuenta de AWS
- Para usar las credenciales del usuario de IAM que solicita las muestras, especifique CALLER_CREDENTIALS para el parámetro retrievalMode. Si especifica esta configuración, cada usuario de su cuenta utilizará su identidad de IAM individual para recuperar las muestras.
importante
Si no especifica valores para estos parámetros, Macie establece el método de acceso (retrievalMode) en CALLER_CREDENTIALS. Si Macie está configurado actualmente para usar un rol de IAM para recuperar las muestras, Macie también eliminará permanentemente el nombre del rol actual y el ID externo de su configuración. Para conservar estos ajustes para una configuración existente, incluya los parámetros retrievalConfiguration en su solicitud y especifique la configuración actual para esos parámetros. Para recuperar la configuración actual, utilice la GetRevealConfigurationoperación o, si utiliza AWS Command Line Interface (AWS CLI), ejecute el comando. get-reveal-configuration
Para el kmsKeyId parámetro, especifique el parámetro AWS KMS key que desee usar para cifrar las muestras de datos confidenciales que se recuperen:
- Para usar una clave de KMS de su propia cuenta, especifique el nombre de recurso de Amazon (ARN), ID o alias de la clave. Si especifica un alias, incluya el prefijo de alias/, por ejemplo, alias/ExampleAlias.
- Para usar una clave KMS que sea propiedad de otra cuenta, especifique el ARN de la clave, por ejemplo, arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. O bien, especifique el ARN del alias de la clave, por ejemplo, arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias.
Para el parámetro status, especifique ENABLED si desea habilitar la configuración de su cuenta de Macie.

En su solicitud, asegúrese también de especificar la configuración Región de AWS en la que desea habilitar y usar la configuración.

Para configurar y habilitar los ajustes mediante el AWS CLI, ejecute el update-reveal-configurationcomando y especifique los valores adecuados para los parámetros admitidos. Por ejemplo, si utilizas el AWS CLI en Microsoft Windows, ejecuta el siguiente comando:


C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

Donde:

us-east-1es la región en la que se debe habilitar y usar la configuración. En este ejemplo, la region Este de EE. UU. (Norte de Virginia)
arn:aws:kms:us-east-1:111122223333:alias/ExampleAliases el ARN del alias que se va AWS KMS key a utilizar. En este ejemplo, la clave pertenece a otra cuenta.
El estado de la configuración es ENABLED.
ASSUME_ROLEes el método de acceso que se va a utilizar. En este ejemplo, asuma el rol de IAM especificado.
MacieRevealRolees el nombre de la función de IAM que debe asumir Macie al recuperar muestras de datos confidenciales.

En el ejemplo anterior, se utiliza el carácter de continuación de línea de marca de inserción (^) para mejorar la legibilidad.

Al enviar la solicitud, Macie comprueba la configuración. Si ha configurado Macie para que asuma un rol de IAM, Macie también comprueba que el rol exista en su cuenta y que las políticas de confianza y permisos estén configuradas correctamente. Si se produce un problema, la solicitud fallará y Macie devolverá un mensaje que describe el problema. Para solucionar un problema relacionado con AWS KMS key, consulte los requisitos del tema anterior y especifique una clave KMS que cumpla con los requisitos. Para solucionar un problema relacionado con el rol de IAM, comience por comprobar que haya especificado el nombre correcto del rol. Si el nombre es correcto, asegúrese de que las políticas del rol cumplan con todos los requisitos para que Macie lo asuma. Para obtener estos detalles, consulte Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados. Después de abordar el problema, envíe la solicitud de nuevo.

Si la solicitud es correcta, Macie habilita la configuración de su cuenta en la región especificada y recibirá un resultado similar al siguiente.


{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

Donde se kmsKeyId especifica la AWS KMS key que se utilizará para cifrar las muestras de datos confidenciales que se recuperen y status es el estado de la configuración de su cuenta de Macie. Los valores de retrievalConfiguration especifican el método de acceso y la configuración que se utilizarán al recuperar las muestras.

nota

Si es el administrador de Macie de una organización y ha configurado Macie para que asuma un rol de IAM, anote el ID externo (externalId) en la respuesta. La política de confianza del rol de IAM de cada una de sus cuentas de miembro correspondientes debe especificar este ID. De lo contrario, no podrá recuperar muestras de datos confidenciales de los objetos de S3 afectados de las cuentas.

Para comprobar posteriormente los ajustes o el estado de la configuración de su cuenta, utilice la GetRevealConfigurationoperación o ejecute el AWS CLIget-reveal-configurationcomando.

Deshabilitación de la configuración de Macie

Puede deshabilitar los ajustes de configuración de su cuenta de Amazon Macie en cualquier momento. Si deshabilita la configuración, Macie conserva la configuración que especifica qué se debe utilizar AWS KMS key para cifrar las muestras de datos confidenciales que se recuperen. Macie elimina permanentemente la configuración de acceso de Amazon S3 de la configuración.

aviso

Al deshabilitar los ajustes de configuración de su cuenta de Macie, también elimina permanentemente la configuración actual que especifica cómo acceder a los objetos de S3 afectados. Si Macie está configurado actualmente para acceder a los objetos afectados asumiendo una función AWS Identity and Access Management (IAM), esto incluye: el nombre de la función y el identificador externo que Macie generó para la configuración. Estas configuraciones no se pueden recuperar después de eliminarlas.

Para deshabilitar los ajustes de configuración de la cuenta de Macie, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

Console

Para deshabilitar los ajustes de configuración de la cuenta mediante la consola de Amazon Macie, siga estos pasos.

Deshabilitación de la configuración de Macie

Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/
Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee deshabilitar los ajustes de configuración de su cuenta de Macie.
En el panel de navegación, en Configuración, seleccione Revelar muestras.
En la sección Configuración, elija Editar.
En Estado, elija Desactivar.
Seleccione Guardar.

API

Para deshabilitar los ajustes de configuración mediante programación, utilice el UpdateRevealConfigurationfuncionamiento de la API Amazon Macie. En su solicitud, asegúrese de especificar Región de AWS en qué desea deshabilitar la configuración. En el parámetro status, especifique DISABLED.

Para deshabilitar los ajustes de configuración mediante AWS Command Line Interface (AWS CLI), ejecute el update-reveal-configurationcomando. Utilice el parámetro region para especificar la región en la que desea deshabilitar la configuración. En el parámetro status, especifique DISABLED. Por ejemplo, si utilizas el AWS CLI en Microsoft Windows, ejecuta el siguiente comando:


C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

Donde:

us-east-1es la región en la que se deshabilitará la configuración. En este ejemplo, la region Este de EE. UU. (Norte de Virginia)
DISABLED es el nuevo estado de la configuración.

Si la solicitud es correcta, Macie deshabilita la configuración de su cuenta en la región especificada y recibirá un resultado similar al siguiente.


{
    "configuration": {
        "status": "DISABLED"
    }
}

Donde status es el nuevo estado de la configuración de su cuenta de Macie.

Si Macie se configuró para asumir un rol de IAM a fin de recuperar muestras de datos confidenciales, si lo desea, puede eliminar el rol y la política de permisos de este. Macie no elimina estos recursos cuando deshabilita los ajustes de configuración de su cuenta. Además, Macie no utiliza estos recursos para llevar a cabo ninguna otra tarea en su cuenta. Para eliminar el rol y su política de permisos, puede utilizar la consola de IAM o la API de IAM. Para obtener más información, consulte Eliminación de roles en la Guía del usuario de AWS Identity and Access Management .

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Opciones de configuración para recuperar muestras

Recuperación de muestras