Ajustement des scores de sensibilité pour les compartiments S3

Lorsque vous examinez et évaluez les statistiques, les données et les autres résultats de la découverte automatique de données sensibles, il peut arriver que vous souhaitiez affiner les évaluations de sensibilité de vos compartiments Amazon Simple Storage Service (Amazon S3). Vous souhaiterez peut-être également saisir les résultats des enquêtes que vous ou votre organisation effectuez pour des compartiments spécifiques. Si vous êtes l'administrateur Amazon Macie d'une organisation ou si vous possédez un compte Macie autonome, vous pouvez apporter ces modifications en ajustant le score de sensibilité et d'autres paramètres pour les compartiments individuels. Si vous avez un compte membre dans une organisation, contactez votre administrateur Macie pour ajuster les paramètres des buckets dont vous êtes propriétaire. Seul l'administrateur Macie de votre organisation peut ajuster ces paramètres pour vos buckets.

Si vous êtes administrateur Macie ou si vous possédez un compte Macie autonome, vous pouvez ajuster le score de sensibilité d'un compartiment S3 de la manière suivante :

Attribuer un score de sensibilité : par défaut, Macie calcule automatiquement le score de sensibilité d'un bucket. Le score est basé principalement sur la quantité de données sensibles que Macie a trouvées dans un compartiment et sur la quantité de données que Macie a analysées dans un compartiment. Pour de plus amples informations, veuillez consulter Notation de sensibilité pour les compartiments S3.

Vous pouvez annuler le score calculé d'un bucket et attribuer manuellement le score maximum (100), qui applique également le label Sensitive au bucket. Dans ce cas, Macie continue à effectuer la découverte automatique des données sensibles pour le compartiment. Cependant, les analyses ultérieures n'affectent pas le score du bucket. Pour calculer à nouveau le score automatiquement, modifiez à nouveau le paramètre.
Exclure ou inclure les types de données sensibles dans le score de sensibilité : s'il est calculé automatiquement, le score de sensibilité d'un compartiment est basé en partie sur la quantité de données sensibles que Macie a trouvées dans le compartiment. Cela tient principalement à la nature et au nombre de types de données sensibles découverts par Macie, ainsi qu'au nombre d'occurrences de chaque type. Par défaut, Macie inclut les occurrences de tous les types de données sensibles lorsqu'il calcule le score d'un bucket.

Vous pouvez ajuster le calcul en excluant ou en incluant des types spécifiques de données sensibles dans le score d'un bucket. Par exemple, si Macie a détecté des adresses postales dans un bucket et que vous déterminez que cela est acceptable, vous pouvez exclure toutes les occurrences d'adresses postales du score du bucket. Si vous excluez un type de données sensibles, Macie continue d'inspecter le compartiment pour détecter ce type de données et de signaler les occurrences détectées. Toutefois, ces occurrences n'affectent pas le score du bucket. Pour inclure à nouveau un type de données sensibles dans le score, modifiez à nouveau le paramètre.

Vous pouvez également exclure un compartiment S3 des analyses ultérieures. Si vous excluez un compartiment, les statistiques de découverte de données sensibles existantes et les détails relatifs au compartiment sont conservés. Par exemple, le score de sensibilité actuel du bucket reste inchangé. Cependant, Macie arrête d'analyser les objets du compartiment lorsqu'il effectue une découverte automatique de données sensibles. Après avoir exclu un bucket, vous pouvez l'inclure à nouveau ultérieurement.

Si vous modifiez un paramètre qui affecte le score de sensibilité d'un compartiment S3, Macie commence immédiatement à recalculer le score. Macie met également à jour les statistiques pertinentes et les autres informations qu'il fournit sur le compartiment et sur l'ensemble de vos données Amazon S3. Par exemple, si vous attribuez le score maximum à un bucket, Macie augmente le nombre de buckets sensibles dans les statistiques agrégées.

Pour ajuster le score de sensibilité ou d'autres paramètres d'un compartiment S3

Pour ajuster le score de sensibilité ou d'autres paramètres d'un compartiment S3, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

Console

Suivez ces étapes pour ajuster le score de sensibilité ou un paramètre pour un compartiment S3 à l'aide de la console Amazon Macie.

Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/
Dans le volet de navigation, choisissez S3 buckets (Compartiments S3). La page des compartiments S3 affiche l'inventaire de vos compartiments.

Par défaut, la page n'affiche pas les données relatives aux compartiments actuellement exclus des analyses. Si vous êtes l'administrateur Macie d'une organisation, elle n'affiche pas non plus les données des comptes pour lesquels la découverte automatique des données sensibles est actuellement désactivée. Pour afficher ces données, choisissez X dans le jeton de filtre Est surveillé par détection automatique situé sous le filtre.
Choisissez le compartiment S3 dont le paramètre doit être ajusté. Vous pouvez choisir le compartiment à l'aide de la vue tabulaire ( ) ou de la carte interactive ( ).
Dans le panneau de détails, effectuez l'une des opérations suivantes :
- Pour annuler le score de sensibilité calculé et attribuer un score manuellement, activez l'option Attribuer le score maximum ( ). Cela fait passer le score du bucket à 100 et applique le label Sensitive au bucket.
- Pour attribuer un score de sensibilité que Macie calcule automatiquement, désactivez Attribuer un score maximum () .
- Pour exclure ou inclure des types spécifiques de données sensibles dans le score de sensibilité, choisissez l'onglet Sensibilité. Dans le tableau des détections, cochez la case correspondant au type de données sensibles à exclure ou à inclure. Ensuite, dans le menu Actions, choisissez Exclure du score pour exclure le type ou choisissez Inclure dans le score pour inclure le type.
  
  Dans le tableau, le champ Type de données sensibles indique l'identifiant des données gérées ou l'identifiant de données personnalisé qui a détecté les données. Pour un identifiant de données géré, il s'agit d'un identifiant unique (ID) qui décrit le type de données sensibles que l'identifiant est conçu pour détecter, par exemple, USA_PASSPORT_NUMBER pour les numéros de passeport américains. Pour plus de détails sur chaque identifiant de données gérées, consultezUtilisation des identificateurs de données gérés.
- Pour exclure le bucket des analyses ultérieures, activez Exclure de la découverte automatique ( ).
- Pour inclure le bucket dans les analyses suivantes, si vous l'avez précédemment exclu, désactivez Exclure de la découverte automatique ( ).

API

Pour ajuster le score de sensibilité ou un paramètre d'un compartiment S3 par programmation, plusieurs options s'offrent à vous. L'option appropriée dépend de ce que vous souhaitez ajuster.

Attribuer un score de sensibilité

Pour attribuer un score de sensibilité à un compartiment S3, utilisez l'UpdateResourceProfileopération. Dans votre demande, utilisez le resourceArn paramètre pour spécifier le nom de ressource Amazon (ARN) du compartiment. Pour le sensitivityScoreOverride paramètre, effectuez l'une des opérations suivantes :

Pour annuler le score calculé et attribuer manuellement le score maximum, spécifiez100.
Pour attribuer un score que Macie calcule automatiquement, omettez le paramètre. Si ce paramètre est nul, Macie calcule et attribue le score.

Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la update-resource-profilecommande pour attribuer un score de sensibilité à un compartiment S3. Dans votre demande, utilisez le resource-arn paramètre pour spécifier l'ARN du bucket. Omettez ou utilisez le sensitivity-score-override paramètre pour spécifier le score à attribuer.

Si votre demande aboutit, Macie attribue le score spécifié et renvoie une réponse vide.

Exclure ou inclure les types de données sensibles dans le score de sensibilité

Pour exclure ou inclure des types de données sensibles dans le score de sensibilité d'un compartiment S3, utilisez l'UpdateResourceProfileDetectionsopération. Lorsque vous utilisez cette opération, vous remplacez les paramètres d'inclusion et d'exclusion actuels pour le score d'un bucket. Par conséquent, il est conseillé de récupérer d'abord les paramètres actuels et de déterminer ceux que vous souhaitez conserver. Pour récupérer les paramètres actuels, utilisez l'ListResourceProfileDetectionsopération.

Lorsque vous êtes prêt à mettre à jour les paramètres, utilisez le resourceArn paramètre pour spécifier l'ARN du compartiment S3. Pour le suppressDataIdentifiers paramètre, effectuez l'une des opérations suivantes :

Pour exclure un type de données sensibles du score du bucket, utilisez le type paramètre pour spécifier le type d'identifiant de données qui a détecté les données, un identifiant de données gérées (MANAGED) ou un identifiant de données personnalisé (CUSTOM). Utilisez le id paramètre pour spécifier l'identifiant unique de l'identifiant de données géré ou personnalisé qui a détecté les données.
Pour inclure un type de données sensibles dans le score du bucket, ne spécifiez aucun détail sur l'identifiant de données géré ou personnalisé qui a détecté les données.
Pour inclure tous les types de données sensibles dans le score du bucket, ne spécifiez aucune valeur. Si la valeur du suppressDataIdentifiers paramètre est nulle (vide), Macie inclut tous les types de détections lorsqu'il calcule le score.

Si vous utilisez le AWS CLI, exécutez la update-resource-profile-detectionscommande pour exclure ou inclure les types de données sensibles dans le score de sensibilité d'un compartiment S3. Utilisez le resource-arn paramètre pour spécifier l'ARN du bucket. Utilisez le suppress-data-identifiers paramètre pour spécifier les types de données sensibles à exclure ou à inclure dans le score du bucket. Pour d'abord récupérer et vérifier les paramètres actuels du bucket, exécutez la list-resource-profile-detectionscommande.

Si votre demande aboutit, Macie met à jour les paramètres et renvoie une réponse vide.

Exclure ou inclure un compartiment S3 dans les analyses

Pour exclure ou inclure ultérieurement un compartiment S3 dans les analyses, utilisez l'UpdateClassificationScopeopération. Ou, si vous utilisez le AWS CLI, exécutez la update-classification-scopecommande. Pour plus de détails et d'exemples, voirExclure ou inclure les compartiments S3 dans la découverte automatique des données sensibles.

Les exemples suivants montrent comment utiliser le AWS CLI pour ajuster les paramètres individuels d'un compartiment S3. Ce premier exemple attribue manuellement le score de sensibilité maximal (100) à un compartiment. Il remplace le score calculé du bucket.


$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100

Où se arn:aws:s3:::amzn-s3-demo-bucket trouve l'ARN du compartiment S3.

L'exemple suivant remplace le score de sensibilité d'un compartiment S3 par un score que Macie calcule automatiquement. Le bucket possède actuellement un score attribué manuellement qui remplace le score calculé. Cet exemple supprime cette dérogation en omettant le sensitivity-score-override paramètre dans la demande.


$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2

Où se arn:aws:s3:::amzn-s3-demo-bucket2 trouve l'ARN du compartiment S3.

Les exemples suivants excluent certains types de données sensibles du score de sensibilité d'un compartiment S3. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.


C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]

Où :

arn:aws:s3:::amzn-s3-demo-bucket3est l'ARN du compartiment S3.
ADDRESSest l'identifiant unique de l'identifiant de données gérées qui a détecté un type de données sensibles à exclure (adresses postales).
3293a69d-4a1e-4a07-8715-208ddexampleest l'identifiant unique de l'identifiant de données personnalisé qui a détecté un type de données sensibles à exclure.

La série d'exemples suivante inclut ultérieurement tous les types de données sensibles dans le score de sensibilité du compartiment S3. Il remplace les paramètres d'exclusion actuels pour le compartiment en spécifiant une valeur vide (nulle) pour le suppress-data-identifiers paramètre. Pour Linux, macOS ou Unix :


$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'

Pour Microsoft Windows :


C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]

Où se arn:aws:s3:::amzn-s3-demo-bucket3 trouve l'ARN du compartiment S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résolution des problèmes de couverture

Notation de sensibilité pour les compartiments S3