Configuration des paramètres pour la découverte automatique des données sensibles - Amazon Macie
Options de configuration pour les organisationsÀ l'exclusion ou à l'inclusion des compartiments S3Ajouter ou supprimer des identifiants de données géréesAjouter ou supprimer des identifiants de données personnalisésAjouter ou supprimer des listes d'autorisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des paramètres pour la découverte automatique des données sensibles

Si vous activez la découverte automatique des données sensibles pour votre compte ou votre organisation, vous pouvez ajuster vos paramètres de découverte automatique pour affiner les analyses effectuées par Amazon Macie. Ces paramètres spécifient les compartiments Amazon Simple Storage Service (Amazon S3) à exclure des analyses. Ils spécifient également les types et les occurrences de données sensibles à détecter et à signaler : les identifiants de données gérés, les identifiants de données personnalisés et les listes d'autorisations à utiliser lors de l'analyse des objets S3.

Par défaut, Macie effectue la découverte automatique des données sensibles pour tous les compartiments S3 à usage général qu'il surveille et analyse pour votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres. Vous pouvez exclure des compartiments spécifiques des analyses. Par exemple, vous pouvez exclure les compartiments qui stockent généralement des données de AWS journalisation, telles que les journaux AWS CloudTrail d'événements. Si vous excluez un bucket, vous pourrez l'inclure à nouveau ultérieurement.

En outre, Macie analyse les objets S3 en utilisant uniquement l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique des données sensibles. Macie n'utilise pas d'identificateurs de données personnalisés et n'autorise pas les listes que vous avez définies. Pour personnaliser les analyses, vous pouvez ajouter ou supprimer des identifiants de données gérés spécifiques, des identifiants de données personnalisés et des listes d'autorisations.

Si vous modifiez un paramètre, Macie applique votre modification au début du cycle d'évaluation et d'analyse suivant, généralement dans les 24 heures. De plus, votre modification ne s'applique qu'au courant Région AWS. Pour effectuer la même modification dans d'autres régions, répétez les étapes applicables dans chaque région supplémentaire.

Note

Pour configurer les paramètres de découverte automatique des données sensibles, vous devez être l'administrateur Macie d'une organisation ou disposer d'un compte Macie autonome. Si votre compte fait partie d'une organisation, seul l'administrateur Macie de votre organisation peut configurer et gérer ces paramètres pour les comptes de votre organisation. Si vous avez un compte membre, contactez votre administrateur Macie pour en savoir plus sur les paramètres de votre compte et de votre organisation.

Options de configuration pour les organisations

Si un compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Amazon Macie, l'administrateur Macie de l'organisation configure et gère la découverte automatique des données sensibles pour les comptes de l'organisation. Cela inclut les paramètres qui définissent la portée et la nature des analyses effectuées par Macie pour les comptes. Les membres ne peuvent pas accéder à ces paramètres pour leurs propres comptes.

Si vous êtes l'administrateur Macie d'une organisation, vous pouvez définir la portée des analyses de plusieurs manières :

  • Activer automatiquement la découverte automatique des données sensibles pour les comptes : lorsque vous activez la découverte automatique des données sensibles, vous spécifiez si vous souhaitez l'activer automatiquement pour tous les comptes existants et les nouveaux comptes membres, uniquement pour les nouveaux comptes membres ou aucun compte. Si vous l'activez automatiquement pour les nouveaux comptes membres, elle est activée pour tout compte qui rejoint ultérieurement votre organisation, lorsque le compte rejoint votre organisation dans Macie. S'il est activé pour un compte, Macie inclut les compartiments S3 détenus par le compte. Si elle est désactivée pour un compte, Macie exclut les buckets détenus par le compte.

  • Activez de manière sélective la découverte automatique des données sensibles pour les comptes : avec cette option, vous activez ou désactivez la découverte automatique des données sensibles pour les comptes individuels sur une case-by-case base individuelle. Si vous l'activez pour un compte, Macie inclut les compartiments S3 détenus par le compte. Si vous ne l'activez pas ou si vous le désactivez pour un compte, Macie exclut les buckets détenus par le compte.

  • Exclure des compartiments S3 spécifiques de la découverte automatique des données sensibles — Si vous activez la découverte automatique des données sensibles pour un ou plusieurs comptes, vous pouvez exclure des compartiments S3 spécifiques détenus par les comptes. Macie ignore ensuite les compartiments lorsqu'il effectue une découverte automatique pour votre organisation. Pour exclure des buckets spécifiques, ajoutez-les à la liste d'exclusion dans les paramètres de configuration de votre compte administrateur. Vous pouvez exclure jusqu'à 1 000 compartiments pour votre organisation.

Par défaut, la découverte automatique des données sensibles est activée automatiquement pour tous les comptes nouveaux et existants d'une organisation. De plus, Macie inclut tous les compartiments S3 que possèdent les comptes. Si vous conservez les paramètres par défaut, Macie effectue une découverte automatique de tous les compartiments qu'il surveille et analyse pour votre compte administrateur, y compris tous les compartiments que possèdent vos comptes membres.

En tant qu'administrateur Macie, vous définissez également la nature des analyses que Macie effectue pour votre organisation. Pour ce faire, configurez des paramètres supplémentaires pour votre compte administrateur : les identifiants de données gérés, les identifiants de données personnalisés et les listes d'autorisations que vous souhaitez que Macie utilise lorsqu'il analyse des objets S3. Macie utilise les paramètres de votre compte administrateur lorsqu'il analyse les objets S3 pour d'autres comptes de votre organisation.

À l'exclusion ou à l'inclusion des compartiments S3

Par défaut, Amazon Macie effectue la découverte automatique des données sensibles pour tous les compartiments S3 à usage général qu'il surveille et analyse pour votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres.

Pour affiner la portée, vous pouvez exclure jusqu'à 1 000 compartiments S3 des analyses. Si vous excluez un compartiment, Macie arrête de sélectionner et d'analyser les objets qu'il contient lorsqu'il effectue la découverte automatique de données sensibles. Les statistiques existantes relatives à la découverte de données sensibles et les informations relatives au compartiment sont conservées. Par exemple, le score de sensibilité actuel du bucket reste inchangé. Après avoir exclu un bucket, vous pouvez l'inclure à nouveau ultérieurement.

Pour exclure ou inclure un compartiment S3

Vous pouvez exclure ou inclure ultérieurement un compartiment S3 à l'aide de la console Amazon Macie ou Amazon Macie. API Pour ce faire par programmation, utilisez les opérations suivantes : GetClassificationScope, pour consulter la liste des compartiments actuellement exclus des analyses UpdateClassificationScope, ou pour exclure ou inclure un compartiment dans les analyses suivantes.

Pour exclure ou inclure ultérieurement un compartiment S3 à l'aide de la console, procédez comme suit.

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez exclure ou inclure des compartiments S3 spécifiques dans les analyses.

  3. Dans le volet de navigation, sous Paramètres, choisissez Découverte automatisée des données sensibles.

    La page Découverte automatique des données sensibles apparaît et affiche vos paramètres actuels. Sur cette page, la section des compartiments S3 répertorie les compartiments S3 actuellement exclus ou indique que tous les compartiments sont actuellement inclus.

  4. Dans la section compartiments S3, choisissez Modifier.

  5. Effectuez l’une des actions suivantes :

    • Pour exclure un ou plusieurs compartiments S3, choisissez Ajouter des compartiments à la liste d'exclusion. Ensuite, dans le tableau des compartiments S3, cochez la case correspondant à chaque compartiment à exclure. Le tableau répertorie tous les compartiments à usage général pour votre compte ou votre organisation dans la région actuelle.

    • Pour inclure un ou plusieurs compartiments S3 que vous avez précédemment exclus, choisissez Supprimer les compartiments de la liste d'exclusion. Ensuite, dans le tableau des compartiments S3, cochez la case correspondant à chaque compartiment à inclure. Le tableau répertorie tous les compartiments actuellement exclus des analyses.

    Pour trouver plus facilement des compartiments spécifiques, entrez des critères de recherche dans le champ de recherche situé au-dessus du tableau. Vous pouvez également trier le tableau en choisissant un titre de colonne.

  6. Lorsque vous avez fini de sélectionner des compartiments, choisissez Ajouter ou Supprimer, selon l'option que vous avez choisie à l'étape précédente.

Astuce

Vous pouvez également exclure ou inclure des compartiments S3 individuels sur une case-by-case base pendant que vous consultez les détails des compartiments sur la console. Pour ce faire, choisissez le compartiment sur la page des compartiments S3. Ensuite, dans le panneau de détails, modifiez le paramètre Exclure de la découverte automatique pour le bucket.

Ajouter ou supprimer des identifiants de données gérées

Un identifiant de données géré est un ensemble de critères et de techniques intégrés conçus pour détecter un type spécifique de données sensibles, par exemple les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport d'un pays ou d'une région en particulier. Par défaut, Amazon Macie analyse les objets S3 à l'aide de l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique de données sensibles. Pour consulter la liste de ces identifiants, consultezParamètres par défaut pour la découverte automatique des données sensibles.

Vous pouvez adapter les analyses pour qu'elles se concentrent sur des types spécifiques de données sensibles :

  • Ajoutez des identifiants de données gérés pour les types de données sensibles que vous souhaitez que Macie détecte et signale, et

  • Supprimez les identifiants de données gérées pour les types de données sensibles que vous ne souhaitez pas que Macie détecte et signale.

Si vous supprimez un identifiant de données gérées, votre modification n'affectera pas les statistiques de découverte de données sensibles existantes ni les détails relatifs aux compartiments S3. Par exemple, si vous supprimez l'identifiant des données gérées pour les clés d'accès AWS secrètes et que Macie a précédemment détecté ces données dans un compartiment, Macie continue de signaler ces détections.

Astuce

Au lieu de supprimer un identifiant de données géré, qui affecte les analyses ultérieures de tous les compartiments S3, vous pouvez exclure ses détections des scores de sensibilité pour des compartiments spécifiques uniquement. Pour de plus amples informations, veuillez consulter Ajustement des scores de sensibilité pour les compartiments S3.

Pour ajouter ou supprimer un identifiant de données gérées

Vous pouvez ajouter ou supprimer un identifiant de données gérées à l'aide de la console Amazon Macie ou Amazon Macie. API Pour ce faire par programmation, utilisez les opérations suivantes : GetSensitivityInspectionTemplatepour déterminer les identifiants de données gérées que vous avez ajoutés ou supprimés dans les analyses en cours UpdateSensitivityInspectionTemplate, ou pour ajouter ou supprimer un identifiant de données gérées dans les analyses ultérieures.

Pour ajouter ou supprimer un identifiant de données gérées à l'aide de la console, procédez comme suit.

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter ou supprimer un identifiant de données gérées dans les analyses.

  3. Dans le volet de navigation, sous Paramètres, choisissez Découverte automatisée des données sensibles.

    La page Découverte automatique des données sensibles apparaît et affiche vos paramètres actuels. Sur cette page, la section Identifiants de données gérés affiche vos paramètres actuels, organisés en deux onglets :

    • Ajouté par défaut : cet onglet répertorie les identifiants de données gérées que vous avez ajoutés. Macie utilise ces identifiants en plus de ceux qui sont définis par défaut et que vous n'avez pas supprimés.

    • Supprimé par défaut : cet onglet répertorie les identifiants de données gérées que vous avez supprimés. Macie n'utilise pas ces identifiants.

  4. Dans la section Identifiants de données gérés, choisissez Modifier.

  5. Effectuez l’une des actions suivantes :

    • Pour ajouter un ou plusieurs identifiants de données gérées, cliquez sur l'onglet Ajouté par défaut. Dans le tableau, cochez ensuite la case correspondant à chaque identifiant de données gérées à ajouter. Si une case à cocher est déjà sélectionnée, vous avez déjà ajouté cet identifiant.

    • Pour supprimer un ou plusieurs identifiants de données gérés, sélectionnez l'onglet Supprimé par défaut. Dans le tableau, cochez ensuite la case correspondant à chaque identifiant de données gérées à supprimer. Si une case est déjà cochée, vous avez déjà supprimé cet identifiant.

    Sur chaque onglet, le tableau affiche une liste de tous les identifiants de données gérés actuellement fournis par Macie. Dans le tableau, la première colonne indique l'ID de chaque identifiant de données gérées. L'identifiant décrit le type de données sensibles qu'un identifiant est conçu pour détecter, par exemple, USA_ PASSPORT _ NUMBER pour les numéros de passeport américains. Pour trouver plus facilement des identifiants de données gérées spécifiques, entrez des critères de recherche dans le champ de recherche situé au-dessus du tableau. Vous pouvez également trier le tableau en choisissant un titre de colonne. Pour plus de détails sur chaque identifiant, consultezUtilisation des identificateurs de données gérés.

  6. Lorsque vous avez terminé, choisissez Enregistrer.

Ajouter ou supprimer des identifiants de données personnalisés

Un identificateur de données personnalisé est un ensemble de critères que vous définissez pour détecter les données sensibles. Les critères sont constitués d'une expression régulière (regex) qui définit un modèle de texte à mettre en correspondance et, éventuellement, des séquences de caractères et une règle de proximité qui affinent les résultats. Pour en savoir plus, consultez Création d'identificateurs de données personnalisés.

Par défaut, Amazon Macie n'utilise pas d'identifiants de données personnalisés lorsqu'il effectue la découverte automatique de données sensibles. Si vous souhaitez que Macie utilise des identifiants de données personnalisés spécifiques, vous pouvez les ajouter aux analyses. Macie utilise ensuite les identifiants de données personnalisés en plus des identifiants de données gérés pour lesquels vous configurez Macie.

Si vous ajoutez un identifiant de données personnalisé, vous pourrez le supprimer ultérieurement. Votre modification n'affecte pas les statistiques de découverte de données sensibles existantes ni les détails relatifs aux compartiments S3. En d'autres termes, si vous supprimez un identifiant de données personnalisé qui a précédemment généré des détections pour un bucket, Macie continue de signaler ces détections. Toutefois, au lieu de supprimer l'identifiant, qui affecte les analyses ultérieures de tous les compartiments, envisagez d'exclure ses détections des scores de sensibilité pour des compartiments particuliers uniquement. Pour de plus amples informations, veuillez consulter Ajustement des scores de sensibilité pour les compartiments S3.

Pour ajouter ou supprimer un identifiant de données personnalisé

Vous pouvez ajouter ou supprimer un identifiant de données personnalisé à l'aide de la console Amazon Macie ou Amazon Macie. API Pour ce faire par programmation, utilisez les opérations suivantes : GetSensitivityInspectionTemplate, pour déterminer quels identificateurs de données personnalisés sont actuellement utilisés dans les analyses UpdateSensitivityInspectionTemplate, ou pour ajouter ou supprimer un identifiant de données personnalisé pour les analyses ultérieures.

Pour ajouter ou supprimer un identifiant de données personnalisé à l'aide de la console, procédez comme suit.

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter ou supprimer un identifiant de données personnalisé dans les analyses.

  3. Dans le volet de navigation, sous Paramètres, choisissez Découverte automatisée des données sensibles.

    La page Découverte automatique des données sensibles apparaît et affiche vos paramètres actuels. Sur cette page, la section Identifiants de données personnalisés répertorie les identifiants de données personnalisés que vous avez déjà ajoutés, ou indique que vous n'avez ajouté aucun identifiant de données personnalisé.

  4. Dans la section Identifiants de données personnalisés, choisissez Modifier.

  5. Effectuez l’une des actions suivantes :

    • Pour ajouter un ou plusieurs identifiants de données personnalisés, cochez la case correspondant à chaque identifiant de données personnalisé à ajouter. Si une case à cocher est déjà sélectionnée, vous avez déjà ajouté cet identifiant.

    • Pour supprimer un ou plusieurs identifiants de données personnalisés, décochez la case correspondant à chaque identifiant de données personnalisé à supprimer. Si une case est déjà décochée, Macie n'utilise pas cet identifiant actuellement.

    Astuce

    Pour vérifier ou tester les paramètres d'un identifiant de données personnalisé avant de l'ajouter ou de le supprimer, cliquez sur l'icône de lien ( The link icon, which is a gray box that has an arrow in it. ) à côté du nom de l'identifiant. Macie ouvre une page qui affiche les paramètres de l'identifiant. Pour tester également l'identifiant avec des exemples de données, entrez jusqu'à 1 000 caractères de texte dans la zone Exemple de données de cette page. Choisissez ensuite Test. Macie évalue les échantillons de données et indique le nombre de correspondances.

  6. Lorsque vous avez terminé, choisissez Enregistrer.

Ajouter ou supprimer des listes d'autorisation

Dans Amazon Macie, une liste d'autorisation définit un texte spécifique ou un modèle de texte que vous souhaitez que Macie ignore lorsqu'il inspecte les objets S3 pour détecter la présence de données sensibles. Si le texte correspond à une entrée ou à un modèle d'une liste d'autorisation, Macie ne le signale pas. C'est le cas même si le texte correspond aux critères d'un identifiant de données géré ou personnalisé. Pour en savoir plus, consultez Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation.

Par défaut, Macie n'utilise pas de listes d'autorisation lorsqu'il effectue la découverte automatique de données sensibles. Si vous souhaitez que Macie utilise des listes d'autorisations spécifiques, vous pouvez les ajouter aux analyses. Si vous ajoutez une liste d'autorisations, vous pourrez la supprimer ultérieurement.

Pour ajouter ou supprimer une liste d'autorisations

Vous pouvez ajouter ou supprimer une liste d'autorisations à l'aide de la console Amazon Macie ou d'Amazon Macie. API Pour ce faire par programmation, utilisez les opérations suivantes : GetSensitivityInspectionTemplate, pour déterminer quelles listes d'autorisations sont actuellement utilisées dans les analyses UpdateSensitivityInspectionTemplate, ou pour ajouter ou supprimer une liste d'autorisations dans les analyses ultérieures.

Pour ajouter ou supprimer une liste d'autorisations à l'aide de la console, procédez comme suit.

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter ou supprimer une liste d'autorisation dans les analyses.

  3. Dans le volet de navigation, sous Paramètres, choisissez Découverte automatisée des données sensibles.

    La page Découverte automatique des données sensibles apparaît et affiche vos paramètres actuels. Sur cette page, la section Listes autorisées indique les listes autorisées que vous avez déjà ajoutées ou indique que vous n'en avez ajouté aucune.

  4. Dans la section Autoriser les listes, choisissez Modifier.

  5. Effectuez l’une des actions suivantes :

    • Pour ajouter une ou plusieurs listes d'autorisations, cochez la case correspondant à chaque liste d'autorisation à ajouter. Si une case à cocher est déjà sélectionnée, vous avez déjà ajouté cette liste.

    • Pour supprimer une ou plusieurs listes d'autorisations, décochez la case correspondant à chaque liste d'autorisation à supprimer. Si une case est déjà décochée, Macie n'utilise pas cette liste actuellement.

    Astuce

    Pour vérifier les paramètres d'une liste d'autorisation avant de l'ajouter ou de la supprimer, cliquez sur l'icône de lien ( The link icon, which is a gray box that has an arrow in it. ) à côté du nom de la liste. Macie ouvre une page qui affiche les paramètres de la liste. Si la liste indique une expression régulière (regex), vous pouvez également utiliser cette page pour tester l'expression régulière avec des exemples de données. Pour ce faire, entrez jusqu'à 1 000 caractères de texte dans la zone Exemple de données, puis choisissez Test. Macie évalue les échantillons de données et indique le nombre de correspondances.

  6. Lorsque vous avez terminé, choisissez Enregistrer.